企業(yè)信息安全基礎(chǔ)架構(gòu)
以下是人們需要了解的有關(guān)企業(yè)信息安全體系結(jié)構(gòu)以及如何開(kāi)始實(shí)施計(jì)劃的信息。
企業(yè)安全的一大趨勢(shì)是創(chuàng)建和采用企業(yè)信息安全體系結(jié)構(gòu)。但是,關(guān)于這個(gè)主題的大部分內(nèi)容都非常含糊不清,可能讓IT專業(yè)人員想知道企業(yè)信息安全架構(gòu)究竟是什么,更不用說(shuō)如何實(shí)現(xiàn)它了。在這種情況下,一些想嘗試簡(jiǎn)化一些事情,以幫助企業(yè)了解構(gòu)成企業(yè)信息安全體系結(jié)構(gòu)的內(nèi)容以及如何將其付諸實(shí)施。
要了解企業(yè)信息安全體系結(jié)構(gòu)是什么以及它為何有益,有必要退后一步,檢查傳統(tǒng)上在企業(yè)中完成IT安全的方式。從歷史上看,企業(yè)安全就是為了使組織像IT預(yù)算所允許的那樣安全。IT專業(yè)人員將使用各種政策、程序和產(chǎn)品來(lái)強(qiáng)化組織以應(yīng)對(duì)感知到的威脅(或響應(yīng)監(jiān)管要求)。
企業(yè)信息安全體系結(jié)構(gòu)試圖直接使IT部門的安全方法與組織的業(yè)務(wù)需求保持一致。這種方法有兩個(gè)主要的好處。
首先,實(shí)施企業(yè)信息安全架構(gòu)迫使IT部門將重點(diǎn)放在對(duì)業(yè)務(wù)影響最大的安全挑戰(zhàn)上。它不再追求最新的安全趨勢(shì),而是專注于對(duì)業(yè)務(wù)最重要的問(wèn)題。
其次,企業(yè)信息安全架構(gòu)不僅僅涉及決定購(gòu)買哪些安全產(chǎn)品或者要關(guān)注哪些安全挑戰(zhàn)。該模型與業(yè)務(wù)緊密相連。它成為“我們?nèi)绾巫鍪?rdquo;的關(guān)鍵部分。這種思維方式強(qiáng)調(diào)了將安全作為業(yè)務(wù)決策過(guò)程一部分的權(quán)力。
沒(méi)有一個(gè)萬(wàn)能的解決方案
當(dāng)然,這就提出了一個(gè)問(wèn)題,即組織如何著手實(shí)施企業(yè)信息安全架構(gòu)。要理解流程的重要一點(diǎn)是,“企業(yè)信息安全架構(gòu)”是一個(gè)有點(diǎn)通用的術(shù)語(yǔ)。沒(méi)有一個(gè)單一的、固定的流程來(lái)定義組織實(shí)現(xiàn)模型的意義。
那么,如果沒(méi)有明確的標(biāo)準(zhǔn),安全意識(shí)組織如何實(shí)施企業(yè)信息安全架構(gòu)呢?幸運(yùn)的是,有幾個(gè)框架可用。一些比較流行的框架包括SABSA、COBIT和TOGAF。
為了描述這些框架,需要花費(fèi)時(shí)間深入研究一些完全不相關(guān)的東西。如果已經(jīng)在IT工作了一段時(shí)間,人們可能聽(tīng)說(shuō)過(guò)開(kāi)放式系統(tǒng)互聯(lián)(OSI)模型。開(kāi)放式系統(tǒng)互聯(lián)(OSI)模模型定義構(gòu)成網(wǎng)絡(luò)堆棧的層。這些層包括應(yīng)用程序、演示、會(huì)話、傳輸、網(wǎng)絡(luò)、數(shù)據(jù)鏈接和物理層。每個(gè)圖層都有一個(gè)特定的工作要做,每個(gè)圖層都設(shè)計(jì)為與它上面的圖層和它下面的圖層接口。
一般來(lái)說(shuō),前面提到的框架也采用分層方法來(lái)定義安全體系結(jié)構(gòu)。例如,SABSA框架包括諸如場(chǎng)景、概念、邏輯、物理和組件安全體系結(jié)構(gòu)之類的層。這些層共同構(gòu)成整體安全架構(gòu)。
總的來(lái)說(shuō),各種框架提供了諸如架構(gòu)圖,流程圖和文檔之類的東西。這些資源可用于驅(qū)動(dòng)組織內(nèi)企業(yè)信息安全體系結(jié)構(gòu)的實(shí)現(xiàn)。
請(qǐng)記住,沒(méi)有規(guī)則規(guī)定一個(gè)組織必須嚴(yán)格遵守其中一個(gè)框架。一個(gè)組織可能會(huì)選擇設(shè)計(jì)自己的體系結(jié)構(gòu),或者創(chuàng)建兩個(gè)或多個(gè)可用框架的混搭。
無(wú)論組織如何選擇接近其企業(yè)信息安全體系結(jié)構(gòu),目標(biāo)始終應(yīng)該是將組織的安全工作與關(guān)鍵業(yè)務(wù)目標(biāo)聯(lián)系起來(lái)。例如,如果企業(yè)要聲明其在線商店必須始終可供客戶使用,那么該流程的下一步將是識(shí)別可能影響該資源可用性的風(fēng)險(xiǎn)。
一些風(fēng)險(xiǎn)與安全性無(wú)關(guān),而是以其他方式推動(dòng)IT決策。例如,組織數(shù)據(jù)中心的電源故障可能會(huì)影響在線商店的可用性,因此IT部門需要制定控制風(fēng)險(xiǎn)的計(jì)劃。同樣,拒絕服務(wù)攻擊可能會(huì)阻止客戶訪問(wèn)在線商店。在這種情況下,拒絕服務(wù)攻擊是一種已識(shí)別的安全風(fēng)險(xiǎn),它直接與關(guān)鍵業(yè)務(wù)目標(biāo)相關(guān)聯(lián)。這為IT部門提供了專注于防止拒絕服務(wù)攻擊的理由。
