|
許多具有傳統(tǒng)思維定勢的網(wǎng)絡(luò)安全專業(yè)人員認(rèn)為,,安全架構(gòu)只不過是具有安全策略,、控制、工具和監(jiān)視,。實(shí)際上,,所有安全專業(yè)人員都必須了解業(yè)務(wù)目標(biāo),并嘗試通過實(shí)施適當(dāng)?shù)目刂苼碇С诌@些目標(biāo),。任何企業(yè)中的企業(yè)安全架構(gòu),,都必須基于該企業(yè)的可用風(fēng)險(xiǎn)來定義。本文提供了一種啟動(dòng)企業(yè)安全架構(gòu)計(jì)劃的簡化版敏捷方法,,用于確保企業(yè)安全架構(gòu)滿足業(yè)務(wù)需求并可自動(dòng)調(diào)整,。這是一種自上而下的方法論,,從業(yè)務(wù)目標(biāo)和愿景開始。自上而下的安全架構(gòu)方法論,,整合了不同的企業(yè)框架(如SABSA,、COBIT、TOGAF)和成熟度模型(CMMI),,可以幫助實(shí)現(xiàn)將安全需求與業(yè)務(wù)需求結(jié)合起來的目標(biāo),。? SABSA:是一個(gè)基于風(fēng)險(xiǎn)的業(yè)務(wù)驅(qū)動(dòng)的企業(yè)安全框架,是一種確保業(yè)務(wù)一致性的方法論,。? COBIT 5:是一個(gè)幫助企業(yè)實(shí)現(xiàn)其企業(yè)IT治理和管理目標(biāo)的綜合框架,,使得IT與業(yè)務(wù)保持一致。? TOGAF:是一個(gè)開發(fā)企業(yè)架構(gòu)的框架和一組支持工具集,,非常適合任何開始創(chuàng)建企業(yè)安全架構(gòu)的企業(yè),,可用于管理企業(yè)安全架構(gòu)的生命周期。? CMMI:是一種能力成熟度評估標(biāo)準(zhǔn),,可用于安全架構(gòu)成熟度的度量和管理,,為管理層和架構(gòu)委員會(huì)提供可見性。 關(guān)鍵詞:SABSA(Sherwood應(yīng)用業(yè)務(wù)安全架構(gòu),,Sherwood Applied Business Security Architecture),;COBIT(信息系統(tǒng)和技術(shù)控制目標(biāo),Control Objectives for Information and related Technology),;TOGAF(開放組織架構(gòu)框架,,The Open Group Architecture Framework);CMMI(能力成熟度模型集成,,Capability Maturity Model Integration) 一,、前言 二、SABSA,、COBIT,、TOGAF及其關(guān)系 三、使用框架開發(fā)企業(yè)安全架構(gòu) 四,、一個(gè)現(xiàn)實(shí)的例子 五,、使用CMMI來度量和管理安全架構(gòu) 六、結(jié)論 七,、參考資料 在企業(yè)中,實(shí)現(xiàn)安全架構(gòu)常常是一個(gè)令人困惑的過程,。傳統(tǒng)上,,安全架構(gòu)由一些預(yù)防性、檢測性,、糾正性控制組成,,這些控制是為了保護(hù)企業(yè)基礎(chǔ)設(shè)施和應(yīng)用程序而實(shí)現(xiàn)的,。有些企業(yè)通過添加指示性控制(包括策略和過程),在安全架構(gòu)方面做得更好,。許多具有傳統(tǒng)思維定勢的信息安全專業(yè)人員認(rèn)為,,安全架構(gòu)只不過是具有安全策略、控制,、工具和監(jiān)視,。世界發(fā)生了變化,今天的風(fēng)險(xiǎn)因素和威脅不像以前那么簡單,。新出現(xiàn)的技術(shù)和可能性,,例如物聯(lián)網(wǎng),改變了很多公司的運(yùn)作方式,、重點(diǎn)和目標(biāo),。所有安全專業(yè)人員都必須了解業(yè)務(wù)目標(biāo),并嘗試通過實(shí)施適當(dāng)?shù)目刂苼碇С诌@些目標(biāo),,這些控制對于干系人來說是合理的,,并與業(yè)務(wù)風(fēng)險(xiǎn)相關(guān)聯(lián)。企業(yè)框架,,如SABSA,、COBIT、TOGAF,,可以幫助實(shí)現(xiàn)將安全需求與業(yè)務(wù)需求結(jié)合起來的目標(biāo),。二、SABSA,、COBIT,、TOGAF及其關(guān)系SABSA是一個(gè)基于風(fēng)險(xiǎn)和機(jī)遇的業(yè)務(wù)驅(qū)動(dòng)的企業(yè)安全框架。SABSA不提供任何特定的控制,,而依賴于其他組織,,如國際標(biāo)準(zhǔn)化組織(ISO)或COBIT過程。它純粹是一種確保業(yè)務(wù)一致性的方法論,。 SABSA方法論有六個(gè)層次(五個(gè)水平面和一個(gè)垂直面)。每一層都有不同的目的和視圖,。上下文層位于頂部,,包括業(yè)務(wù)需求和目標(biāo)。第二層是概念層,,即架構(gòu)視圖,。圖1顯示了此框架的六個(gè)層。圖1-SABSA框架層級 來自ISACA的COBIT 5是一個(gè)“幫助企業(yè)實(shí)現(xiàn)其企業(yè)IT治理和管理目標(biāo)的綜合框架”,。該框架包括一些工具集和流程,,這些工具集和流程彌合了技術(shù)問題,、業(yè)務(wù)風(fēng)險(xiǎn)和流程需求之間的差距。COBIT5框架的目標(biāo)是“通過在實(shí)現(xiàn)收益和優(yōu)化風(fēng)險(xiǎn)水平與資源使用之間保持平衡,,從IT中創(chuàng)造最佳價(jià)值,。”COBIT5使IT與業(yè)務(wù)保持一致,,同時(shí)圍繞IT提供治理,。
COBIT 5產(chǎn)品系列有很多文檔可供選擇,有時(shí)很難確切地知道在哪里查找特定信息,。圖2一目了然地展示了COBIT5產(chǎn)品系列,。COBIT使能器(Enabler)是單獨(dú)或集體地影響某些東西是否能工作的因素。圖2-COBIT 5產(chǎn)品家族 COBIT框架基于五個(gè)原則(圖3),。將這些原則應(yīng)用于任何架構(gòu)都可以確保業(yè)務(wù)支持,、一致性和流程優(yōu)化。
圖3-COBIT 5原則 通過使用SABSA框架和COBIT原則,、使能器和過程的組合,,可以為圖2中的每個(gè)類別,定義自頂向下的架構(gòu),。以計(jì)算機(jī)網(wǎng)絡(luò)架構(gòu)開發(fā)為例,,可以使用這些原則和過程,來定義從上下文層到組件層的自頂向下方法(圖4),。圖4-SABSA和COBIT的整合 TOGAF是一個(gè)開發(fā)企業(yè)架構(gòu)的框架和一組支持工具集,。TOGAF架構(gòu)開發(fā)周期非常適合任何開始創(chuàng)建企業(yè)安全架構(gòu)的企業(yè)。與其他框架類似,,TOGAF從業(yè)務(wù)視圖和層開始,,然后是技術(shù)和信息(圖5)。圖5-TOGAF框架生命周期 TOGAF是一個(gè)有用的框架,,用于定義架構(gòu),、目標(biāo)和遠(yuǎn)景,完成差距分析,,并監(jiān)視整個(gè)過程,。通過將SABSA、COBIT,、TOGAF結(jié)合使用,,可以定義一個(gè)與業(yè)務(wù)需求相一致并滿足所有干系人需求的安全架構(gòu)。在定義了架構(gòu)和目標(biāo)之后,,TOGAF框架可用于創(chuàng)建項(xiàng)目和步驟,,監(jiān)視安全架構(gòu)的實(shí)現(xiàn)過程以達(dá)成其目標(biāo)。三,、使用框架開發(fā)企業(yè)安全架構(gòu)正確的問題總是——“企業(yè)應(yīng)該從哪里開始,?”如果我們看看這些框架,,這個(gè)過程是相當(dāng)清楚的。這必須是一種自上而下的方法,,從業(yè)務(wù)目標(biāo),、目的和愿景開始。啟動(dòng)企業(yè)安全架構(gòu)計(jì)劃的簡化版敏捷方法的初始步驟是:識(shí)別業(yè)務(wù)目標(biāo),、目的和戰(zhàn)略 識(shí)別實(shí)現(xiàn)這些目標(biāo)所需的業(yè)務(wù)屬性 識(shí)別那些導(dǎo)致業(yè)務(wù)目標(biāo)無法實(shí)現(xiàn)的屬性相關(guān)的所有風(fēng)險(xiǎn) 識(shí)別管理風(fēng)險(xiǎn)所需的控制措施 定義一個(gè)計(jì)劃/程序來設(shè)計(jì)和實(shí)現(xiàn)這些控制: 定義業(yè)務(wù)風(fēng)險(xiǎn)的概念架構(gòu): 定義物理架構(gòu)并映射到概念架構(gòu): 定義組件架構(gòu)并映射到物理架構(gòu): 安全標(biāo)準(zhǔn)(例如,,美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST),、ISO) 安全產(chǎn)品和工具(例如,防病毒[AV],、虛擬專用網(wǎng)絡(luò)[VPN],、防火墻、無線安全,、漏洞掃描程序) Web服務(wù)安全(例如,,HTTP/HTTPS協(xié)議、應(yīng)用程序接口[API],、Web應(yīng)用防火墻[WAF])
定義運(yùn)行架構(gòu): 實(shí)施指南 行政管理 配置/補(bǔ)丁管理 監(jiān)測 日志記錄 滲透測試 訪問管理 變更管理 取證等,。
就這么簡單。在識(shí)別和評估所有風(fēng)險(xiǎn)之后,,企業(yè)可以開始設(shè)計(jì)架構(gòu)組件,,如策略、用戶意識(shí),、網(wǎng)絡(luò),、應(yīng)用程序和服務(wù)器。圖6描述了啟動(dòng)企業(yè)安全架構(gòu)計(jì)劃的簡化版敏捷方法,。
圖6-企業(yè)安全架構(gòu)模型 四,、一個(gè)現(xiàn)實(shí)的例子本節(jié)描述了為企業(yè)定義安全架構(gòu)可以采取的步驟的簡單實(shí)用示例。公司目標(biāo)是在未來兩年內(nèi)增加100萬用戶,。可用性:系統(tǒng)需要隨時(shí)提供給客戶使用,。 客戶隱私:客戶隱私需要得到保障。 準(zhǔn)確度:客戶和公司信息必須準(zhǔn)確,。 合規(guī)性:公司受到監(jiān)管(在本案例中是支付卡行業(yè)[PCI]監(jiān)管),,必須符合監(jiān)管要求。
一些業(yè)務(wù)風(fēng)險(xiǎn)包括:
沒有針對應(yīng)用程序的正確災(zāi)難恢復(fù)計(jì)劃:這與“可用性”屬性相關(guān),; 應(yīng)用程序中的漏洞:這與隱私和準(zhǔn)確性屬性相關(guān),; 缺乏職責(zé)分離(SoD):這與隱私屬性相關(guān),; 不符合支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI DSS):與合規(guī)屬性相關(guān),;
為應(yīng)用程序構(gòu)建災(zāi)難恢復(fù)環(huán)境:包含在COBIT DSS04過程中,; 實(shí)施漏洞管理程序和應(yīng)用程序防火墻:包含在COBIT DSS05過程中; 實(shí)施公鑰基礎(chǔ)設(shè)施(PKI)和加密控制:包含在COBIT DSS05過程中,; 在需要的區(qū)域?qū)嵤㏒oD:包含在COBIT DSS05過程中,; 實(shí)施PCI DSS控制;
所有控制都自動(dòng)對齊,,因?yàn)樗鼈兣c業(yè)務(wù)屬性直接關(guān)聯(lián),。與任何其他框架一樣,企業(yè)安全架構(gòu)的生命周期需要得到適當(dāng)?shù)墓芾?/strong>,。很重要的是,,必須不斷更新業(yè)務(wù)屬性和風(fēng)險(xiǎn),并定義和實(shí)施適當(dāng)?shù)目刂?/strong>,。安全計(jì)劃的生命周期可以使用TOGAF框架進(jìn)行管理,,具體包括創(chuàng)建架構(gòu)視圖和目標(biāo)、完成差距分析,、定義項(xiàng)目,、實(shí)現(xiàn)和監(jiān)控項(xiàng)目,直到完成并重新開始(圖5),。
最后,必須有足夠的監(jiān)視控制和關(guān)鍵績效指標(biāo)(KPI),,來度量架構(gòu)隨時(shí)間發(fā)展的成熟度,。第一階段使用能力成熟度模型集成(CMMI)模型,度量環(huán)境中所需控制的當(dāng)前成熟度,。CMMI模型有五個(gè)成熟度級別,,從初始級別到優(yōu)化級別。在本文中,,為那些不到位的控制,,添加了一個(gè)不存在的級別(0級)(圖7)。圖7-CMMI成熟度級別 其目的是定義期望的成熟度級別,,將當(dāng)前級別與期望級別進(jìn)行比較,,并創(chuàng)建一個(gè)計(jì)劃來實(shí)現(xiàn)期望的級別。
這種成熟度的識(shí)別,,可以針對一系列的控制措施而展開,。根據(jù)架構(gòu)的不同,它可能有更多或更少的控制,。過程控制 風(fēng)險(xiǎn)管理框架 用戶意識(shí) 安全治理 安全政策和標(biāo)準(zhǔn)
運(yùn)行控制 資產(chǎn)管理 事故管理 漏洞管理 變更管理 訪問控制 事件管理和監(jiān)控
應(yīng)用程序控制 應(yīng)用安全平臺(tái)(web應(yīng)用防火墻[WAF],、SIEM、高級持續(xù)威脅[APT]安全) 數(shù)據(jù)安全平臺(tái)(加密、電子郵件,、數(shù)據(jù)庫活動(dòng)監(jiān)視[DAM],、數(shù)據(jù)防泄露[DLP]) 訪問管理(身份管理[IDM],單點(diǎn)登錄[SSO])
端點(diǎn)控制 主機(jī)安全(AV,、主機(jī)入侵防御系統(tǒng)[HIPS],、補(bǔ)丁管理、配置和漏洞管理) 移動(dòng)安全(自帶設(shè)備[BYOD],、移動(dòng)設(shè)備管理[MDM],、網(wǎng)絡(luò)準(zhǔn)入控制[NAC]) 身份驗(yàn)證(認(rèn)證、授權(quán)和審計(jì)[AAA],,雙因素,,特權(quán)身份管理[PIM])
基礎(chǔ)設(shè)施控制 分布式拒絕服務(wù)[DDoS]、防火墻,、入侵防御系統(tǒng)[IPS],、VPN、web,、電子郵件,、無線、DLP等,。
此階段的輸出,,是對當(dāng)前狀態(tài)和期望狀態(tài)的任何控制進(jìn)行成熟度評級。在開發(fā)了計(jì)劃和控制了實(shí)施之后,,成熟度管理的第二階段就開始了,。在此階段,將更新評級,,并且管理團(tuán)隊(duì)對該評級的進(jìn)展具有可見性,。
圖8-安全架構(gòu)成熟度報(bào)告和儀表板示例 無論使用何種方法論或框架,,任何企業(yè)中的企業(yè)安全架構(gòu)都必須基于該企業(yè)的可用風(fēng)險(xiǎn)來定義。企業(yè)框架SABSA,、COBIT和TOGAF保證了定義的架構(gòu)與業(yè)務(wù)目標(biāo)和目的的一致性,。使用這些框架,可以產(chǎn)生一個(gè)符合業(yè)務(wù)需求的成功安全架構(gòu):
COBIT原則和使能技術(shù):提供了關(guān)于業(yè)務(wù)一致性,、最大化交付和收益的最佳實(shí)踐和指導(dǎo),。 COBIT過程評估模型(PAM):提供了企業(yè)級安全架構(gòu)的需求過程和控制的完整視圖。 SABSA層和框架:為COBIT中的每個(gè)需求,、控制和過程,,創(chuàng)建并定義了一個(gè)自頂向下的架構(gòu),。 TOGAF框架:對于定義架構(gòu)目標(biāo)、收益和遠(yuǎn)景,,以及建立和實(shí)施項(xiàng)目來實(shí)現(xiàn)這些目標(biāo)非常有用,。 CMMI模型:有助于為管理層和架構(gòu)委員會(huì)提供可見性,并報(bào)告架構(gòu)隨時(shí)間推進(jìn)的成熟度,。
啟動(dòng)企業(yè)安全架構(gòu)計(jì)劃的簡化版敏捷方法,確保企業(yè)安全架構(gòu)是業(yè)務(wù)需求的一部分,,尤其是要滿足業(yè)務(wù)需求,,并且可自動(dòng)調(diào)整。
1. ISACA, COBIT 5, USA, 2012, www.isaca.org/COBIT/Pages/COBIT-5-Framework-product-page.aspx2. Thomas,M.; “The Core COBIT Publications: A Quick Glance,” COBIT Focus, 13 April 2015, www.isaca.org/Knowledge-Center/Research/Documents/COBIT-Focus-The-Core-COBIT-Publications-A-Quick-Glance_nlt_Eng_0415.pdf4. The Open Group, “Welcome to TOGAF 9.1, an Open Group Standard, http://pubs./architecture/togaf9-doc/arch/5. The Open Group, “TOGAF 9.1 Architecture Development Cycle,” http://pubs./architecture/togaf9-doc/arch/chap05.html6. CMMI Institute, “CMMI Maturity Levels,” http:///capability-maturity-model-integration7. Rassoul Ghaznavi-Zadeh; “Enterprise Security Architecture - A Top-down Approach”. www.isaca.org/-/media/files/isacadp/project/isaca/articles/journal/2017/volume-4/enterprise-security-architecture-a-top-down-approach_joa_eng_0717.pdf
|
