安全行业里介于工程与学术之间的,是一个由模型、架构和框架等多种形态的方法论填充的“工程化学术层”,这一层次在以往的安全生意中作用不大,但是随着安全行业的纵深发展,作用将会越来越大。而且随着发展,数量会越来越多,因此需要一个好的理解模式和方法。
把目前流行的理论模型、架构和框架用一种容易理解的逻辑组织起来,可以形成一个方法论的整体架构。
整个架构分为四部分:EA模型、威胁模型、安全保障模型、方法论,目前有64个组成元素。
“EA”是企业架构(Enterprise Architecture)的简称,EA思想源于上世纪九十年代的美国,是信息化系统的实施规模与复杂性越来越大的前提下诞生的一种系统化的设计方法。
这里的“企业”指的是一种抽象的组织形态;“架构”指的是一种系统结构,并且描述了组成元素之间的相互关系、设计原则和指导以及动态演化原则。
EA模型其实就是一种用系统分析的思想来对数字化转型企业的信息化进行整体设计的方法论,目的是提升企业效率和行业竞争力。未来的企业将会越来越重视EA,并且未来的安全方法论也将会以EA方法论为基础,因此EA方法论将会成为安全人员的必修课。
“威胁模型”是针对威胁进行建模分析的方法论集合,按照性质又可以分为针对威胁本身分析的“威胁模型”、针对威胁过程分析的“攻击模型”和针对威胁能力分析的“能力模型”三大类。
“安全保障模型”是与安全建设相关的方法论集合,按性质可分为规划框架、建设框架、度量框架、领域框架和开发框架等五部分。
规划框架是用于前期安全设计的模型或框架,也经常被称为安全思想或安全理念;建设框架是研究安全如何建设的方法论;度量框架是研究对安全过程如何 进行评价的方法论,无法精准度量是目前整个安全行业的难题;领域框架是在细分的安全领域里出现的一些安全模型,用来清楚地描述该领域产品基本属性的方法论;开发框架是对软件开发商提供安全开发指导的方法论。
“方法论”是安全行业里的纯理论模型,未必实用,但是是一个很好的思考。
所有以上的框架与客户的实际需求和实际情况相结合,就形成了“参考架构”。
参考架构是国外很流行,但是国内很少提及的一个名词,厂商和客户目前都不够重视,但是未来重要性会不断提高。
在过去的以卖安全产品为主要商业逻辑的前提下,参考架构是没什么用的,但是随着安全系统趋于复杂化的发展趋势,安全建设会必然走向架构主导的道路上去,这时候参考架构则是安全架构的一个指导性框架和安全建设过程的一个有用的方法论。
但是,参考架构无法直接使用,需要客户根据自身的情况进行修改或剪裁。
参考资料:
题图:Henri Julien Félix Rousseau虚幻酒馆
题图创作者:晓兵Jason与AI小助手
算法提供:Disco Diffusion V5.61
声明:本文来自锐安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
