企業(yè)信息安全基礎(chǔ)架構(gòu)
以下是人們需要了解的有關(guān)企業(yè)信息安全體系結(jié)構(gòu)以及如何開始實施計劃的信息。
企業(yè)安全的一大趨勢是創(chuàng)建和采用企業(yè)信息安全體系結(jié)構(gòu)。但是,關(guān)于這個主題的大部分內(nèi)容都非常含糊不清,可能讓IT專業(yè)人員想知道企業(yè)信息安全架構(gòu)究竟是什么,更不用說如何實現(xiàn)它了。在這種情況下,一些想嘗試簡化一些事情,以幫助企業(yè)了解構(gòu)成企業(yè)信息安全體系結(jié)構(gòu)的內(nèi)容以及如何將其付諸實施。
要了解企業(yè)信息安全體系結(jié)構(gòu)是什么以及它為何有益,有必要退后一步,檢查傳統(tǒng)上在企業(yè)中完成IT安全的方式。從歷史上看,企業(yè)安全就是為了使組織像IT預算所允許的那樣安全。IT專業(yè)人員將使用各種政策、程序和產(chǎn)品來強化組織以應對感知到的威脅(或響應監(jiān)管要求)。
企業(yè)信息安全體系結(jié)構(gòu)試圖直接使IT部門的安全方法與組織的業(yè)務需求保持一致。這種方法有兩個主要的好處。
首先,實施企業(yè)信息安全架構(gòu)迫使IT部門將重點放在對業(yè)務影響最大的安全挑戰(zhàn)上。它不再追求最新的安全趨勢,而是專注于對業(yè)務最重要的問題。
其次,企業(yè)信息安全架構(gòu)不僅僅涉及決定購買哪些安全產(chǎn)品或者要關(guān)注哪些安全挑戰(zhàn)。該模型與業(yè)務緊密相連。它成為“我們?nèi)绾巫鍪?rdquo;的關(guān)鍵部分。這種思維方式強調(diào)了將安全作為業(yè)務決策過程一部分的權(quán)力。
沒有一個萬能的解決方案
當然,這就提出了一個問題,即組織如何著手實施企業(yè)信息安全架構(gòu)。要理解流程的重要一點是,“企業(yè)信息安全架構(gòu)”是一個有點通用的術(shù)語。沒有一個單一的、固定的流程來定義組織實現(xiàn)模型的意義。
那么,如果沒有明確的標準,安全意識組織如何實施企業(yè)信息安全架構(gòu)呢?幸運的是,有幾個框架可用。一些比較流行的框架包括SABSA、COBIT和TOGAF。
為了描述這些框架,需要花費時間深入研究一些完全不相關(guān)的東西。如果已經(jīng)在IT工作了一段時間,人們可能聽說過開放式系統(tǒng)互聯(lián)(OSI)模型。開放式系統(tǒng)互聯(lián)(OSI)模模型定義構(gòu)成網(wǎng)絡(luò)堆棧的層。這些層包括應用程序、演示、會話、傳輸、網(wǎng)絡(luò)、數(shù)據(jù)鏈接和物理層。每個圖層都有一個特定的工作要做,每個圖層都設(shè)計為與它上面的圖層和它下面的圖層接口。
一般來說,前面提到的框架也采用分層方法來定義安全體系結(jié)構(gòu)。例如,SABSA框架包括諸如場景、概念、邏輯、物理和組件安全體系結(jié)構(gòu)之類的層。這些層共同構(gòu)成整體安全架構(gòu)。
總的來說,各種框架提供了諸如架構(gòu)圖,流程圖和文檔之類的東西。這些資源可用于驅(qū)動組織內(nèi)企業(yè)信息安全體系結(jié)構(gòu)的實現(xiàn)。
請記住,沒有規(guī)則規(guī)定一個組織必須嚴格遵守其中一個框架。一個組織可能會選擇設(shè)計自己的體系結(jié)構(gòu),或者創(chuàng)建兩個或多個可用框架的混搭。
無論組織如何選擇接近其企業(yè)信息安全體系結(jié)構(gòu),目標始終應該是將組織的安全工作與關(guān)鍵業(yè)務目標聯(lián)系起來。例如,如果企業(yè)要聲明其在線商店必須始終可供客戶使用,那么該流程的下一步將是識別可能影響該資源可用性的風險。
一些風險與安全性無關(guān),而是以其他方式推動IT決策。例如,組織數(shù)據(jù)中心的電源故障可能會影響在線商店的可用性,因此IT部門需要制定控制風險的計劃。同樣,拒絕服務攻擊可能會阻止客戶訪問在線商店。在這種情況下,拒絕服務攻擊是一種已識別的安全風險,它直接與關(guān)鍵業(yè)務目標相關(guān)聯(lián)。這為IT部門提供了專注于防止拒絕服務攻擊的理由。
