1.3~1.4 控制措施類型、安全框架
1.3 控制措施類型
安全措施包含三種類型:管理性控件措施、技術性控制措施、物理性控制措施。
- 管理性控制措施(Administrative Control):主要是面向管理,也被稱為軟性控制管理措施(Soft Control),安全文檔,風險管理、人員安全和培訓等。
- 技術性控制措施(Tecnical Control)也被稱為邏輯控制措施(Logical Control)由軟件或硬件組成,例如:防火牆,入侵檢測系統,加密數據、身份驗證等措施。
- 物理性控制措施(Physical Control) 用來保護設備、硬件、資源、人員、警衛、鎖、照明都屬於物理控制措施。
** 安全控制措施功能:**
- 預防性(Preventive):避免意外的事情發生
- 檢測性(Detecive):幫助識別意外活動和潛在入侵者
- 糾正性(Corrective):意外事件發生后修正組件或系統
- 威懾性(Deterrent):威懾潛在的攻擊者
- 恢復性(Recovery):使用環境恢復到正常
- 補償性(Compensating):提供可替代的控制措施方法
1.4 安全框架
隱匿式安全(Security Through Obscurity,STO)假設假想敵(攻擊者)並不比組織更聰明,假想敵也猜不出組織的防御策略。
安全堡壘又稱為安全計划(Security Program)是一個由很多實體結構構成的框架(Framework),包括邏輯性、管理性和物理性保護機制,也包括程序,業務流程及人員;所有的實體共同發輝作用將為業務環境提供特定安全水平保護。
標准、最佳實踐和框架
企業安全架構(Enterprise Security Archiecture,EAS) 將其作為實施解決方案。
圖:NIST 企業級架構框架
Zachman 框架一個二維模型,使用了6個基本疑問詞(什么問題,如何解決,何地,誰,何時,為何:What,How,Where,Who,When,Why)
**TOGAF **(The Open Group Architecture Famework,TOGAF) 由美國國防部開發,並提供了設計、實施和治理企業信息架構的方法。
TOGAF 架構框架用來開發以下架構模型:
- 業務架構
- 數據架構
- 應用程序架構
- 技術架構
面向軍事的架構框架 (Department of Defense Architecture Framework,DoDAF) 由美國國防部架構框架。
DoDAF 架構能確保所有系統,流程和人員協調一致共同完成業務的使命。
**面向軍事的架構框架 **(British Ministry of Defence Architechure Framework,MODAF) 由英國國防部架構框架。
MODAF 是基於DoDAF,兩個框架不僅可以支持軍事業務,也可以用於商業領域擴張和革新。
企業安全架構(Enterprise Security Architechure ,ESA) 是企業架構的一個子集,ESA定義了信息安全戰略,包括要層級的解決方案,流程和程序,為整個企業的戰略、戰術和運營的映射方式。