2.4 安全框架

一个安全规划是有很多实体构成的框架：逻辑、管理和物理的保护机制，程序、业务过程和人，这一切一起工作将为环境提供一个保护级别。每个实体在框架中都有一个重要位置，如果一个缺失或不完整，那么整个框架就会受到影响。安全规划应该分层工作：一层为上层提供支持，同时为下一层提供保护。

2.4.1 ISO/IEC 27000系统

ISO+IEC+BS7799=27000 英国标准7799.(BS7799)是由英国政府工贸部1995年开发并由英国标准机构发布。 英国标准分为两部分：BS77999第一部分，它描述了控制目标和为实现这些目标可使用的控制措施范围；BS7799第二部分描述了如何建立和维护安全规划（信息安全管理体系，ISMS）

安全包括一系列专题

1.组织信息安全策略（业务目标到安全的映射、管理层的支持、安全目标和职责） 2.信息安全框架建立（建立和维护组织的安全结构可通过以下环节开展，建立信息安全论坛，设立安全官，定义安全职责、授权流程、业务外包和独立审计） 3.资产分类和控制（开发安全基础设施去保护组织资产，包括：职责、资产清单、分类和操作流程） 4.人员安全（定义角色和职责） 5.物理和环境安全（建设和维护安全边界，实现访问控制，保护装备） 6.通信和运营管理（运营流程、正确的变更控制、事件处理、职责分离、承载能力规划、网络管理和媒体关系处理） 7.访问控制（基于业务需求的资产访问控制、用户管理、认证方法和控制） 8.系统开发和维护（在系统生命周期的各个阶段实现安全，包括：安全需求开发、加密、完整性保护和软件开发流程） 9.业务连续性管理（通过连续性计划和测试来应对正常运行的中断） 10.合规（通过技术控制、系统审计和法律意识普及来遵循管理、合同和法律方面的要求）

2.4.2企业构架开发

组织在试图从整体上保护环境时往往要进行选择。 1.提出单一解决方案或整体解决方案，随处放置产品，期望通过临时性的方法魔术般地保护环境安全并能覆盖到组织中的所有弱点。 2.组织花时间理解环境，理解业务和环境的安全需求，并布置可以将这两个方面映射到一起的总体框架和策略。

要开发一个架构，首先要识别出关注和使用这个架构的利益相关者。然后需要开发不同的视角，视角将能够以最有效的方式解释不同的利益相关方最关注的信息。

1.为何需要企业架构框架

让业务人员和技术人员双方以能理解的方式审视同一个组织。

2.Zachman架构框架

二维模型，它使用了6个基本的疑问词(什么、如何、哪里、谁、何时、为何)和不同的视角观点（计划人员、所有者、设计人员）二维交叉，给出了企业的一个整体性理解。Zachman架构框架已存在数年并已成功应用于众多组织中，主要用于建立或更好地定义组织业务环境。

3.开放群组架构框架

由美国国防部开发并提供了设计、实施和治理企业信息架构的方法。 TOGAF用来开发以下架构类型 1.业务架构 2.数据架构 3.应用程序架构 4.技术架构

4.面向军事的架构框架

DoDAF，这个 架构框架的焦点集中供在指令、控制、通信、计算机、情报、监视和侦察系统与过程。

5.企业安全架构

企业安全架构是企业架构的一个子集，它定义了信息安全战略，包括各层级的解决方案、流程和规程，以前整个企业的战略、战术和运营连接方式等。除了安全性之外，这种类型的架构让组织更好地实现互操作性、集成性、易用性、标准化和便于治理性。

组织不开发或者不推出企业安全架构的主要原因是，他们并不完全了解企业架构是什么，甚至有的组织认为它是一项艰巨的任务。

6.企业架构与系统架构

企业架构解决的是组织的结构，系统架构解决的是软件和计算组件的结构。软件架构师需要了解公司的业务和技术背景，以确保开发的软件能够满足组织的需求。

2.4.3 安全控制开发

——有了架构，现在往里放什么？ ——整理、安排

帮助汇总安全规划中所列出的要求，并将之集成到公司现有业务结构中。

CobiT，

信息及相关技术的控制目标 CobiT分为4个部分 1.计划和组织 2.获得与实现 3.交付与支持 4.监控与评价

NIST 800-53

NIST（国家标准与技术研究所），通过推进测量科学、标准和技术的方式促进美国的创新和产业竞争力，提高经济安全。

2.4.4 COSO

CobiT派生于COSO框架，是由反欺诈财务报告全国委员会发起组织委员会于1985年开发的，用来处理财务欺诈活动。 COSO由以下组件构成。 1.控制环境（管理哲学和运营风格、涉及道德和欺诈的企业文化） 2.风险评估（建立风险目标、管理内部和外部变化的能力） 3.控制活动（为降低风险制定的策略、规程和实践） 4.信息和通信（确保正确的人在正确的时间获得正确信息的结构） 5.监控（应对控制不足的响应）

COSO是企业治理模型，CobiT是IT治理模型。COSO处理战略层的事情，而CobiT更关注运作层面。

2.4.5 流程管理开发

以结构化和可控的方式构造和完善业务、IT和安全过程。

ITIL（信息技术基础设施库）

ITIL产生源于业务需求对信息技术的依赖不断增加，

六西格玛

六西格玛是一种过程改进方法论。它的目标是通过使用测量运营有效率，减少编译、缺陷和浪费的统计方法来实现改善过程质量。 六西格玛是由摩托罗拉公司开发，其目标是在生产过程中识别和消除缺陷。

CMMI（能力成熟度模型集成）

来自于安全工程界。在CMMI模型里的每个成熟度等级代表一个改进阶段，有些安全规划是混乱的、临时的、不可预测的，而且通常是不安全的。

虽然这些标准和框架都是独立和独特的，但是对于任何安全规划和相应的控制，它们都是要建立的基本内容。这是因为无论他们被部署在公司、政府机构、企业、学校还是非营利组织中，安全的基本原则都是通用的。

CMMI的关键是开发出可以遵循的结构化步骤，依据它，组织就可以从一个层次升级到下一个层次，并能不断改进流程和安全态势。

安全规划应使用自顶向下的方法，这意味着启动、支持和方向都来自于高层管理人员；中层管理人员传达高层意图，最后下达到一线工作人员。

任何进程中的生命周期都可以用不同的方式描述。 1.计划和组织 2.实现 3.运维和维护 4.监控和评估

组织基于管理责任、业务驱动和法律义务提出了自己的安全需求，则必须定制蓝图以满足这些需求。

关键术语
1.隐匿安全 依赖于措施的保密和复杂性实现安全，而非采用最佳安全实践。
2.ISO/IEC 27000 系列  业界公认的最佳实践用于ISMS的开发与管理。
3.Zachman框架 该企业架构框架由John Zachman开发，用于定义和理解商业环境。
4.TOGAF 该企业架构框架由开放群组开发，用于定义和理解商业环境。
5.DoDAF 美国国防部架构框架，用于确保系统的互操作性，以满足军事任务的目标。
6.MODAF 这个架构框架由英国国防部开发，主要用于军事任务支援
7.COBIT  一组控制目标集，用来作为IT治理的框架，由ISACA和ITGI开发。
8.SP 800-53 由NIST开发的用于保障美国联邦系统安全的控制集。
9.COSO 有反欺诈财务委员会开发，用于公司治理以帮助防止欺诈行为的内部控制。
10.ITIL 信息技术服务管理流程的最佳实践，英国政府商务办公室开发。
11.六西格玛  摩托罗拉公司开发的企业管理战略，目的是改善业务流程。
12.CMMI  卡耐基梅隆大学开发的过程改进模型。

2.4.6 功能于安全性

安全管理活动的负责人必须认识到，他们需要理解环境，并在开始安全规划实施阶段之前做好充分的计划。