有关信息安全体系

  想初入职时,工作即为”体系“,可是工作了这么多年,感觉对体系的理解仍然浅尝辄止。从CPU的RISC,计算机的冯.诺伊曼,网络的分层模型,到林林总总的信息系统,无论是局部还是整体,都有自己的体系。而放眼万事万物,人体有自己生理体系,房屋有自己的建筑体系,社会也有自己的运转体系。所谓体系,是某件东西内部组成、相互关系及运行机制的客观规律。正如美国DoDAF(国防部体系框架)有关“体系”的定义,“体系就是系统的组成之间的相互关系,以及支配他们演进的指南。”建立体系,何其难也。这个DoDAF也只是建立起了一套用于描述信息系统体系的标准方法,有关信息系统的体系是什么,仍然需要设计人员自己去理解。

  后来在工作中接触到的所谓信息安全体系,也大多只是这种描述框架或方法。比较著名的包括美国NSA的IATF(信息保障技术框架),将信息系统的保护划分为保护计算环境、保护边界、保护网络基础设施、支撑性基础设施和检测响应基础设施,这仍然是一种非常经典的划分方法,在许多的信息安全解决方案中仍然可见IATF的影子,至今IATF的纵深防御思想仍然是各种安全机制叠加使用的依据。另外一个著名的体系是ITU-T X.805——提供端到端通信的系统安全体系,它将电信网络分为基础设施层、服务层和应用层三个层次,用户、控制和管理平面三个平面,以及访问控制、认证、数据机密性等八个安全维度的安全服务,IATF叙述了每个平面的每个层次需要用到哪些安全服务,去应对攻击。还有著名的PDR模型及其变种,这个模型描述了基于时间的安全观,所谓安全,就是防护时间大于检测时间+响应时间,换句话说,安全就是及时的检测和响应。

  基于上述信息安全体系的流行化描述框架,使信息安全系统更容易令人理解,也更有利与厂商去推销自己的各种安全设备,有利于项目规划者更好的组织自己的各个项目。然而,信息安全体系本身是什么,却难以一言以蔽之。组成可能可以说清,可是组成之间的关系及运行机制,较之于网络、计算机、软件,难以理清。这是一个各种安全产品、管理措施、评估方法堆砌的领域,难能说具有体系。这也是一个见招拆招的世界,有漏洞就补、有毒就杀、有重要数据就加密……各种零散的工程化方法和技术充斥其中,也很难说有其客观支配的一致规律。

  因此,安全无一致、统一的体系。更多的时候,安全体系只是为了迎合规划或决策者的需要,方便沟通理解的一种分类方法。关于安全体系背后的运行规律,除了密码学有坚实的理论基础外,我想每个人可能都有自己的观点。

 

发表评论

邮箱地址不会被公开。 必填项已用*标注