1.3\~1.4 控制措施类型、安全框架

1.3~1.4 控制措施类型、安全框架

1.3 控制措施类型

安全措施包含三种类型:管理性控件措施技术性控制措施物理性控制措施

  • 管理性控制措施(Administrative Control):主要是面向管理,也被称为软性控制管理措施(Soft Control),安全文档,风险管理、人员安全和培训等。
  • 技术性控制措施(Tecnical Control)也被称为逻辑控制措施(Logical Control)由软件或硬件组成,例如:防火墙,入侵检测系统,加密数据、身份验证等措施。
  • 物理性控制措施(Physical Control) 用来保护设备、硬件、资源、人员、警卫、锁、照明都属于物理控制措施。

** 安全控制措施功能:**

  • 预防性(Preventive):避免意外的事情发生
  • 检测性(Detecive):帮助识别意外活动和潜在入侵者
  • 纠正性(Corrective):意外事件发生后修正组件或系统
  • 威慑性(Deterrent):威慑潜在的攻击者
  • 恢复性(Recovery):使用环境恢复到正常
  • 补偿性(Compensating):提供可替代的控制措施方法

1.4 安全框架

隐匿式安全(Security Through Obscurity,STO)假设假想敌(攻击者)并不比组织更聪明,假想敌也猜不出组织的防御策略。

安全堡垒又称为安全计划(Security Program)是一个由很多实体结构构成的框架(Framework),包括逻辑性、管理性和物理性保护机制,也包括程序,业务流程及人员;所有的实体共同发辉作用将为业务环境提供特定安全水平保护。

标准、最佳实践和框架

drawio

企业安全架构(Enterprise Security Archiecture,EAS) 将其作为实施解决方案。

drawio

图:NIST 企业级架构框架

Zachman 框架一个二维模型,使用了6个基本疑问词(什么问题,如何解决,何地,谁,何时,为何:What,How,Where,Who,When,Why)

**TOGAF **(The Open Group Architecture Famework,TOGAF) 由美国国防部开发,并提供了设计、实施和治理企业信息架构的方法。

TOGAF 架构框架用来开发以下架构模型:

  • 业务架构
  • 数据架构
  • 应用程序架构
  • 技术架构

面向军事的架构框架 (Department of Defense Architecture Framework,DoDAF) 由美国国防部架构框架。

DoDAF 架构能确保所有系统,流程和人员协调一致共同完成业务的使命。

**面向军事的架构框架 **(British Ministry of Defence Architechure Framework,MODAF) 由英国国防部架构框架。

MODAF 是基于DoDAF,两个框架不仅可以支持军事业务,也可以用于商业领域扩张和革新。

企业安全架构(Enterprise Security Architechure ,ESA) 是企业架构的一个子集,ESA定义了信息安全战略,包括要层级的解决方案,流程和程序,为整个企业的战略、战术和运营的映射方式。

posted @ 2021-12-01 13:07  在 水 一 方  阅读(905)  评论(0编辑  收藏  举报