企业安全的一大趋势是创建和采用企业信息安全体系结构。但是,关于这个主题的大部分内容都非常含糊不清,可能让IT专业人员想知道企业信息安全架构究竟是什么,更不用说如何实现它了。在这种情况下,一些想尝试简化一些事情,以帮助企业了解构成企业信息安全体系结构的内容以及如何将其付诸实施。
要了解企业信息安全体系结构是什么以及它为何有益,有必要退后一步,检查传统上在企业中完成IT安全的方式。从历史上看,企业安全就是为了使组织像IT预算所允许的那样安全。IT专业人员将使用各种政策、程序和产品来强化组织以应对感知到的威胁(或响应监管要求)。
企业信息安全体系结构试图直接使IT部门的安全方法与组织的业务需求保持一致。这种方法有两个主要的好处。
首先,实施企业信息安全架构迫使IT部门将重点放在对业务影响最大的安全挑战上。它不再追求最新的安全趋势,而是专注于对业务最重要的问题。
其次,企业信息安全架构不仅仅涉及决定购买哪些安全产品或者要关注哪些安全挑战。该模型与业务紧密相连。它成为“我们如何做事”的关键部分。这种思维方式强调了将安全作为业务决策过程一部分的权力。
没有一个万能的解决方案
当然,这就提出了一个问题,即组织如何着手实施企业信息安全架构。要理解流程的重要一点是,“企业信息安全架构”是一个有点通用的术语。没有一个单一的、固定的流程来定义组织实现模型的意义。
那么,如果没有明确的标准,安全意识组织如何实施企业信息安全架构呢?幸运的是,有几个框架可用。一些比较流行的框架包括SABSA、COBIT和TOGAF。
为了描述这些框架,需要花费时间深入研究一些完全不相关的东西。如果已经在IT工作了一段时间,人们可能听说过开放式系统互联(OSI)模型。开放式系统互联(OSI)模模型定义构成网络堆栈的层。这些层包括应用程序、演示、会话、传输、网络、数据链接和物理层。每个图层都有一个特定的工作要做,每个图层都设计为与它上面的图层和它下面的图层接口。
一般来说,前面提到的框架也采用分层方法来定义安全体系结构。例如,SABSA框架包括诸如场景、概念、逻辑、物理和组件安全体系结构之类的层。这些层共同构成整体安全架构。
总的来说,各种框架提供了诸如架构图,流程图和文档之类的东西。这些资源可用于驱动组织内企业信息安全体系结构的实现。
请记住,没有规则规定一个组织必须严格遵守其中一个框架。一个组织可能会选择设计自己的体系结构,或者创建两个或多个可用框架的混搭。
无论组织如何选择接近其企业信息安全体系结构,目标始终应该是将组织的安全工作与关键业务目标联系起来。例如,如果企业要声明其在线商店必须始终可供客户使用,那么该流程的下一步将是识别可能影响该资源可用性的风险。
一些风险与安全性无关,而是以其他方式推动IT决策。例如,组织数据中心的电源故障可能会影响在线商店的可用性,因此IT部门需要制定控制风险的计划。同样,拒绝服务攻击可能会阻止客户访问在线商店。在这种情况下,拒绝服务攻击是一种已识别的安全风险,它直接与关键业务目标相关联。这为IT部门提供了专注于防止拒绝服务攻击的理由。