有關(guān)信息安全體系

       想初入職時(shí)，工作即為”體系“，可是工作了這么多年，感覺對體系的理解仍然淺嘗輒止。從CPU的RISC，計(jì)算機(jī)的馮.諾伊曼，網(wǎng)絡(luò)的分層模型，到林林總總的信息系統(tǒng)，無論是局部還是整體，都有自己的體系。而放眼萬事萬物，人體有自己生理體系，房屋有自己的建筑體系，社會也有自己的運(yùn)轉(zhuǎn)體系。所謂體系，是某件東西內(nèi)部組成、相互關(guān)系及運(yùn)行機(jī)制的客觀規(guī)律。正如美國DoDAF（國防部體系框架）有關(guān)“體系”的定義，“體系就是系統(tǒng)的組成之間的相互關(guān)系，以及支配他們演進(jìn)的指南?！苯Ⅲw系，何其難也。這個(gè)DoDAF也只是建立起了一套用于描述信息系統(tǒng)體系的標(biāo)準(zhǔn)方法，有關(guān)信息系統(tǒng)的體系是什么，仍然需要設(shè)計(jì)人員自己去理解。

      后來在工作中接觸到的所謂信息安全體系，也大多只是這種描述框架或方法。比較著名的包括美國NSA的IATF（信息保障技術(shù)框架），將信息系統(tǒng)的保護(hù)劃分為保護(hù)計(jì)算環(huán)境、保護(hù)邊界、保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施、支撐性基礎(chǔ)設(shè)施和檢測響應(yīng)基礎(chǔ)設(shè)施，這仍然是一種非常經(jīng)典的劃分方法，在許多的信息安全解決方案中仍然可見IATF的影子，至今IATF的縱深防御思想仍然是各種安全機(jī)制疊加使用的依據(jù)。另外一個(gè)著名的體系是ITU-T X.805——提供端到端通信的系統(tǒng)安全體系，它將電信網(wǎng)絡(luò)分為基礎(chǔ)設(shè)施層、服務(wù)層和應(yīng)用層三個(gè)層次，用戶、控制和管理平面三個(gè)平面，以及訪問控制、認(rèn)證、數(shù)據(jù)機(jī)密性等八個(gè)安全維度的安全服務(wù)，IATF敘述了每個(gè)平面的每個(gè)層次需要用到哪些安全服務(wù)，去應(yīng)對***。還有著名的PDR模型及其變種，這個(gè)模型描述了基于時(shí)間的安全觀，所謂安全，就是防護(hù)時(shí)間大于檢測時(shí)間+響應(yīng)時(shí)間，換句話說，安全就是及時(shí)的檢測和響應(yīng)。

     基于上述信息安全體系的流行化描述框架，使信息安全系統(tǒng)更容易令人理解，也更有利與廠商去推銷自己的各種安全設(shè)備，有利于項(xiàng)目規(guī)劃者更好的組織自己的各個(gè)項(xiàng)目。然而，信息安全體系本身是什么，卻難以一言以蔽之。組成可能可以說清，可是組成之間的關(guān)系及運(yùn)行機(jī)制，較之于網(wǎng)絡(luò)、計(jì)算機(jī)、軟件，難以理清。這是一個(gè)各種安全產(chǎn)品、管理措施、評估方法堆砌的領(lǐng)域，難能說具有體系。這也是一個(gè)見招拆招的世界，有漏洞就補(bǔ)、有毒就殺、有重要數(shù)據(jù)就加密......各種零散的工程化方法和技術(shù)充斥其中，也很難說有其客觀支配的一致規(guī)律。

      因此，安全無一致、統(tǒng)一的體系。更多的時(shí)候，安全體系只是為了迎合規(guī)劃或決策者的需要，方便溝通理解的一種分類方法。關(guān)于安全體系背后的運(yùn)行規(guī)律，除了密碼學(xué)有堅(jiān)實(shí)的理論基礎(chǔ)外，我想每個(gè)人可能都有自己的觀點(diǎn)。