1.3\~1.4 控制措施类型、安全框架
1.3~1.4 控制措施类型、安全框架
1.3 控制措施类型
安全措施包含三种类型:管理性控件措施、技术性控制措施、物理性控制措施。
- 管理性控制措施(Administrative Control):主要是面向管理,也被称为软性控制管理措施(Soft Control),安全文档,风险管理、人员安全和培训等。
- 技术性控制措施(Tecnical Control)也被称为逻辑控制措施(Logical Control)由软件或硬件组成,例如:防火墙,入侵检测系统,加密数据、身份验证等措施。
- 物理性控制措施(Physical Control) 用来保护设备、硬件、资源、人员、警卫、锁、照明都属于物理控制措施。
** 安全控制措施功能:**
- 预防性(Preventive):避免意外的事情发生
- 检测性(Detecive):帮助识别意外活动和潜在入侵者
- 纠正性(Corrective):意外事件发生后修正组件或系统
- 威慑性(Deterrent):威慑潜在的攻击者
- 恢复性(Recovery):使用环境恢复到正常
- 补偿性(Compensating):提供可替代的控制措施方法
1.4 安全框架
隐匿式安全(Security Through Obscurity,STO)假设假想敌(攻击者)并不比组织更聪明,假想敌也猜不出组织的防御策略。
安全堡垒又称为安全计划(Security Program)是一个由很多实体结构构成的框架(Framework),包括逻辑性、管理性和物理性保护机制,也包括程序,业务流程及人员;所有的实体共同发辉作用将为业务环境提供特定安全水平保护。
标准、最佳实践和框架
企业安全架构(Enterprise Security Archiecture,EAS) 将其作为实施解决方案。
图:NIST 企业级架构框架
Zachman 框架一个二维模型,使用了6个基本疑问词(什么问题,如何解决,何地,谁,何时,为何:What,How,Where,Who,When,Why)
**TOGAF **(The Open Group Architecture Famework,TOGAF) 由美国国防部开发,并提供了设计、实施和治理企业信息架构的方法。
TOGAF 架构框架用来开发以下架构模型:
- 业务架构
- 数据架构
- 应用程序架构
- 技术架构
面向军事的架构框架 (Department of Defense Architecture Framework,DoDAF) 由美国国防部架构框架。
DoDAF 架构能确保所有系统,流程和人员协调一致共同完成业务的使命。
**面向军事的架构框架 **(British Ministry of Defence Architechure Framework,MODAF) 由英国国防部架构框架。
MODAF 是基于DoDAF,两个框架不仅可以支持军事业务,也可以用于商业领域扩张和革新。
企业安全架构(Enterprise Security Architechure ,ESA) 是企业架构的一个子集,ESA定义了信息安全战略,包括要层级的解决方案,流程和程序,为整个企业的战略、战术和运营的映射方式。