第 1 章 安全和风险管理...............................1
1.1 安全基本原则.................................. 2
1.1.1 可用性 ..................................... 3
1.1.2 完整性 ..................................... 3
1.1.3 机密性 ..................................... 3
1.1.4 平衡安全 .................................. 4
1.2 安全定义......................................... 5
1.3 控制类型......................................... 6
1.4 安全框架....................................... 10
1.4.1 ISO/IEC 27000 系列 ................... 12
1.4.2 企业安全架构开发 .................... 14
1.4.3 安全控制开发 .......................... 23
1.4.4 流程管理开发 .......................... 26
1.4.5 功能与安全性 .......................... 32
1.5 计算机犯罪法的难题..................... 32
1.6 网络犯罪的复杂性 ........................ 34
1.6.1 电子资产 ................................ 35
1.6.2 攻击的演变 ............................. 36
1.6.3 国际问题 ................................ 38
1.6.4 法律的类型 ............................. 41
1.7 知识产权法 ................................... 44
1.7.1 商业秘密 ................................ 44
1.7.2 版权 ...................................... 45
1.7.3 商标 ...................................... 45
1.7.4 专利 ...................................... 46
1.7.5 知识产权的内部保护 ................. 47
1.7.6 软件盗版 ................................ 48
1.8 隐私.............................................. 50
1.8.1 对隐私法不断增长的需求 ........... 51
1.8.2 法律、指令和法规 .................... 52
1.8.3 员工隐私问题 .......................... 58
1.9 数据泄露....................................... 59
1.9.1 美国的数据泄露相关法律 ........... 60
1.9.2 其他国家有关数据泄露的法律 ..... 61
1.10 策略、标准、基线、指南和
过程 ..............................................61
1.10.1 安全策略 ............................... 62
1.10.2 标准............................................. 64
1.10.3 基线 .....................................65
1.10.4 指南 .....................................66
1.10.5 措施 .....................................66
1.10.6 实施 .....................................66
1.11 风险管理 .....................................67
1.11.1 全面的风险管理 ...................... 68
1.11.2 信息系统风险管理策略 .............68
1.11.3 风险管理团队 ......................... 69
1.11.4 风险管理过程 ......................... 69
1.12 威胁建模 .....................................70
1.12.1 脆弱性 ..................................70
1.12.2 威胁 .....................................71
1.12.3 攻击 .....................................71
1.12.4 消减分析 ............................... 72
1.13 风险评估和分析 .......................... 73
1.13.1 风险分析团队 ......................... 74
1.13.2 信息和资产的价值 ...................74
1.13.3 构成价值的成本 ...................... 75
1.13.4 识别脆弱性和威胁 ...................75
1.13.5 风险评估方法 ......................... 76
1.13.6 风险分析方法 ......................... 80
1.13.7 定性风险分析 ......................... 83
1.13.8 保护机制 ............................... 86
1.13.9 综合考虑 ............................... 88
1.13.10 总风险与剩余风险 .................88
1.13.11 处理风险 .............................. 89
1.13.12 外包 ...................................90
1.14 风险管理框架.............................. 91
1.14.1 信息分类 ............................... 92
1.14.2 安全控制的选择 ...................... 92
1.14.3 安全控制的实现 ...................... 93
1.14.4 安全控制的评估 ...................... 93
1.14.5 信息系统的授权 ...................... 93
1.14.6 安全控制的监管 ...................... 93
1.15 业务连续性与灾难恢复 ............... 94
1.15.1 标准和最佳实践 ...................... 96
1.15.2 使 BCM 成为企业安全计划的
一部分 ................................... 98
1.15.3 BCP 项目的组成 ................... 100
1.16 人员安全....................................111
1.16.1 招聘实践 ............................. 112
1.16.2 解雇 ................................... 113
1.16.3 安全意识培训 ....................... 114
1.16.4 学位或证书 .......................... 115
1.17 安全治理................................... 115
1.18 道德 .......................................... 120
1.18.1 计算机道德协会 .................... 120
1.18.2 互联网架构研究委员会 .......... 121
1.18.3 企业道德计划 ....................... 122
1.19 小结 .......................................... 122
1.20 快速提示................................... 123
1.21 问题 .......................................... 126
1.22 答案 .......................................... 133
第 2 章 资产安全......................................137
2.1 信息生命周期.............................. 137
2.1.1 获取 .................................... 138
2.1.2 使用 .................................... 138
2.1.3 存档 .................................... 139
2.1.4 处置 .................................... 139
2.2 信息分类..................................... 140
2.2.1 分类等级 .............................. 141
2.2.2 分类控制 .............................. 143
2.3 责任分层..................................... 144
2.3.1 行政管理层 ........................... 144
2.3.2 数据所有者 ........................... 147
2.3.3 数据看管员 ........................... 147
2.3.4 系统所有者 ........................... 148
2.3.5 安全管理员 ........................... 148
2.3.6 主管 .................................... 148
2.3.7 变更控制分析员 ..................... 148
2.3.8 数据分析员 ........................... 149
2.3.9 用户 ..................................... 149
2.3.10 审计员 ................................ 149
2.3.11 为何需要这么多角色 .............. 149
2.4 保留策略..................................... 149
2.5 保护隐私..................................... 152
2.5.1 数据所有者 ........................... 153
2.5.2 数据处理者 ........................... 153
2.5.3 数据残留 .............................. 153
2.5.4 收集的限制 ........................... 156
2.6 保护资产..................................... 156
2.6.1 数据安全控制 ........................ 157
2.6.2 介质控制 .............................. 159
2.7 数据泄露..................................... 163
2.8 保护其他资产.............................. 170
2.8.1 保护移动设备 ........................ 170
2.8.2 纸质记录 .............................. 171
2.8.3 保险箱 ................................. 171
2.9 小结 ............................................ 172
2.10 快速提示 ................................... 172
2.11 问题........................................... 173
2.12 答案........................................... 176
第 3 章 安全工程..................................... 179
3.1 系统架构..................................... 180
3.2 计算机架构.................................. 183
3.2.1 中央处理单元 ........................ 183
3.2.2 多重处理 .............................. 186
3.2.3 存储器类型 ........................... 187
3.3 操作系统..................................... 197
3.3.1 进程管理 .............................. 197
3.3.2 存储器管理 ........................... 204
3.3.3 输入/输出设备管理 ................. 207
3.3.4 CPU架构集成 ........................ 209
3.3.5 操作系统架构 ........................ 212
3.3.6 虚拟机 ................................. 217
3.4 系统安全架构.............................. 219
3.4.1 安全策略 .............................. 219
3.4.2 安全架构要求 ........................ 220
3.5 安全模型..................................... 224
3.5.1 Bell-LaPadula 模型 .................. 224
3.5.2 Biba 模型 .............................. 225
3.5.3 Clark-Wilson 模型 ................... 225
3.5.4 无干扰模型 ........................... 226
3.5.5 Brewer and Nash 模型 ............... 227
3.5.6 Graham-Denning 模型 .............. 227
3.5.7 Harrison-Ruzzo-Ullman 模型 ...... 227
3.6 系统评估方法.............................. 228
3.6.1 通用准则 .............................. 229
3.6.2 对产品进行评估的原因 ............ 232
3.7 认证与认可 ................................. 232
3.7.1 认证 .................................... 232
3.7.2 认可 .................................... 233
3.8 开放系统与封闭系统................... 234
3.8.1 开放系统 .............................. 234
3.8.2 封闭系统 .............................. 234
3.9 分布式系统安全.......................... 234
3.9.1 云计算 ................................. 235
3.9.2 并行计算 .............................. 235
3.9.3 数据库 ................................. 236
3.9.4 Web 应用 .............................. 238
3.9.5 移动设备 .............................. 239
3.9.6 网络物理系统 ........................ 240
3.10 一些对安全模型和架构的威胁... 242
3.10.1 维护陷阱 ............................. 243
3.10.2 检验时间/使用时间攻击 .......... 243
3.11 密码学背景................................ 244
3.12 密码学定义与概念..................... 249
3.12.1 Kerckhoffs 原则 .................... 251
3.12.2 密码系统的强度 .................... 251
3.12.3 密码系统的服务 .................... 252
3.12.4 一次性密码本 ....................... 252
3.12.5 滚动密码与隐藏密码 ............. 254
3.12.6 隐写术 ................................ 255
3.13 密码的类型................................ 257
3.13.1 替代密码 ............................. 257
3.13.2 换位密码 ............................. 257
3.14 加密的方法................................ 259
3.14.1 对称算法与非对称算法 .......... 259
3.14.2 分组密码与流密码 ................. 263
3.14.3 混合加密方法 ....................... 267
3.15 对称系统的类型 ........................ 272
3.15.1 数据加密标准 ....................... 272
3.15.2 三重 DES ............................ 278
3.15.3 高级加密标准 ....................... 278
3.15.4 国际数据加密算法 ................. 279
3.15.5 Blowfish .............................. 279
3.15.6 RC4 ................................... 279
3.15.7 RC5 ................................... 279
3.15.8 RC6 ................................... 280
3.16 非对称系统的类型..................... 280
3.16.1 Diffie-Hellman 算法 ............... 280
3.16.2 RSA ................................... 282
3.16.3 El Gamal .............................. 284
3.16.4 椭圆曲线密码系统 ................. 284
3.16.5 背包算法 ............................. 285
3.16.6 零知识证明 .......................... 285
3.17 消息完整性................................ 286
3.17.1 单向散列 ............................. 286
3.17.2 各种散列算法 ....................... 290
3.17.3 MD4 ................................... 291
3.17.4 MD5 ................................... 291
3.17.5 SHA ................................... 291
3.17.6 针对单向散列函数的攻击 ........ 291
3.17.7 数字签名 ............................. 292
3.17.8 数字签名标准 ....................... 294
3.18 公钥基础设施............................ 294
3.18.1 认证授权机构 ....................... 295
3.18.2 证书 ................................... 297
3.18.3 注册授权机构 ....................... 297
3.18.4 PKI 步骤 ............................. 297
3.19 密钥管理 ................................... 299
3.19.1 密钥管理原则 ....................... 300
3.19.2 密钥和密钥管理的规则 ........... 301
3.20 可信平台模块............................ 301
3.21 针对密码学的攻击..................... 303
3.21.1 唯密文攻击 .......................... 303
3.21.2 已知明文攻击 ....................... 303
3.21.3 选定明文攻击 ....................... 303
3.21.4 选定密文攻击 ....................... 304
3.21.5 差分密码分析 ....................... 304
3.21.6 线性密码分析 ....................... 304
3.21.7 旁路攻击 ............................. 305
3.21.8 重放攻击 ............................. 305
3.21.9 代数攻击 ............................. 305
3.21.10 分析式攻击 ........................ 306
3.21.11 统计式攻击 ........................ 306
3.21.12 社会工程攻击 ..................... 306
3.21.13 中间相遇攻击 ..................... 306
3.22 站点和设施安全........................ 306
3.23 站点规划过程............................ 307
3.23.1 通过环境设计来预防犯罪 ....... 310
3.23.2 制订物理安全计划 ................. 314
3.24 保护资产................................... 324
3.24.1 保护移动设备 ....................... 324
3.24.2 使用保险柜 .......................... 325
3.25 内部支持系统............................ 325
3.25.1 电力 ................................... 325
3.25.2 环境问题 ............................. 329
3.25.3 火灾的预防、检测和扑灭 ....... 331
3.26 小结 .......................................... 335
3.27 快速提示................................... 336
3.28 问题 .......................................... 340
3.29 答案 .......................................... 346
第 4 章 通信与网络安全...........................351
4.1 通信............................................ 352
4.2 开放系统互连参考模型............... 353
4.2.1 协议 .................................... 354
4.2.2 应用层 ................................. 356
4.2.3 表示层 ................................. 356
4.2.4 会话层 ................................. 357
4.2.5 传输层 ................................. 359
4.2.6 网络层 ................................. 360
4.2.7 数据链路层 ........................... 360
4.2.8 物理层 ................................. 362
4.2.9 OSI 模型中的功能和协议 ......... 362
4.2.10 综合这些层 .......................... 364
4.2.11 多层协议 ............................. 365
4.3 TCP/IP 模型................................. 366
4.3.1 TCP ..................................... 367
4.3.2 IP 寻址 ................................. 371
4.3.3 IPv6 ..................................... 373
4.3.4 第 2 层安全标准 ..................... 376
4.3.5 汇聚协议 .............................. 377
4.4 传输类型..................................... 378
4.4.1 模拟和数字 ........................... 378
4.4.2 异步和同步 ........................... 379
4.4.3 宽带和基带 ........................... 381
4.5 线缆 ............................................ 382
4.5.1 同轴电缆 .............................. 382
4.5.2 双绞线 ................................. 382
4.5.3 光缆 ..................................... 383
4.5.4 布线问题 .............................. 384
4.6 网络互联基础.............................. 386
4.6.1 网络拓扑 .............................. 386
4.6.2 介质访问技术 ........................ 388
4.6.3 传输方法 .............................. 397
4.6.4 网络协议和服务 ..................... 398
4.6.5 域名服务 .............................. 405
4.6.6 电子邮件服务 ........................ 410
4.6.7 网络地址转换 ........................ 414
4.6.8 路由协议 .............................. 416
4.7 网络互联设备.............................. 419
4.7.1 中继器 ................................. 420
4.7.2 网桥 ..................................... 420
4.7.3 路由器 ................................. 422
4.7.4 交换机 ................................. 423
4.7.5 网关 ..................................... 427
4.7.6 PBX ..................................... 428
4.7.7 防火墙 ................................. 431
4.7.8 代理服务器 ........................... 448
4.7.9 蜜罐 ..................................... 450
4.7.10 统一威胁管理 ....................... 450
4.7.11 内容分发网络 ....................... 451
4.7.12 软件定义网络 ....................... 452
4.8 内联网与外联网.......................... 454
4.9 城域网......................................... 455
4.10 广域网....................................... 457
4.10.1 通信的发展 .......................... 458
4.10.2 专用链路 ............................. 459
4.10.3 WAN 技术 ........................... 462
4.11 远程连接 ................................... 478
4.11.1 拨号连接 ............................. 478
4.11.2 ISDN .................................. 479
4.11.3 DSL ................................... 480
4.11.4 线缆调制解调器 .................... 481
4.11.5 VPN ................................... 482
4.11.6 身份验证协议 ....................... 488
4.12 无线网络................................... 489
4.12.1 无线通信技术 ....................... 490
4.12.2 WLAN 组件 ......................... 492
4.12.3 WLAN 安全的演化 ................ 494
4.12.4 无线标准 ............................. 498
4.12.5 保护 WLAN 的最佳实践 ......... 502
4.12.6 卫星 ................................... 503
4.12.7 移动无线通信 ....................... 504
4.13 网络加密................................... 508
4.13.1 链路加密与端对端加密 .......... 508
4.13.2 电子邮件加密标准 ................. 510
4.13.3 互联网安全 .......................... 512
4.14 网络攻击................................... 516
4.14.1 拒绝服务 ............................. 516
4.14.2 嗅探 ................................... 518
4.14.3 DNS 劫持 ............................ 519
4.14.4 偷渡下载 ............................. 519
4.15 小结 .......................................... 520
4.16 快速提示................................... 520
4.17 问题 .......................................... 523
4.18 答案 .......................................... 530
第 5 章 身份与访问管理...........................535
5.1 访问控制概述.............................. 535
5.2 安全原则..................................... 536
5.2.1 可用性 ................................. 536
5.2.2 完整性 ................................. 537
5.2.3 机密性 ................................... 537
5.3 身份标识、身份验证、授权与
可问责性..................................... 538
5.3.1 身份标识与身份验证 ............... 539
5.3.2 身份验证 .............................. 548
5.3.3 授权 ..................................... 564
5.3.4 联合 ..................................... 574
5.3.5 身份即服务 ........................... 581
5.3.6 集成身份识别服务 .................. 581
5.4 访问控制模型.............................. 582
5.4.1 自主访问控制 ........................ 582
5.4.2 强制访问控制 ........................ 583
5.4.3 角色访问控制 ........................ 585
5.4.4 规则型访问控制 ..................... 587
5.5 访问控制方法和技术................... 588
5.5.1 限制性用户接口 ..................... 588
5.5.2 访问控制矩阵 ........................ 589
5.5.3 内容相关访问控制 .................. 590
5.5.4 上下文相关访问控制 ............... 591
5.6 访问控制管理.............................. 591
5.6.1 集中式访问控制管理 ............... 592
5.6.2 分散式访问控制管理 ............... 597
5.7 访问控制方法.............................. 597
5.7.1 访问控制层 ........................... 598
5.7.2 行政管理性控制 ..................... 598
5.7.3 物理性控制 ........................... 599
5.7.4 技术性控制 ........................... 600
5.8 可问责性..................................... 603
5.8.1 审计信息的检查 ..................... 604
5.8.2 保护审计数据和日志信息 ......... 605
5.8.3 击键监控 .............................. 605
5.9 访问控制实践.............................. 606
5.10 访问控制监控.............................. 608
5.10.1 入侵检测 ............................. 608
5.10.2 入侵防御系统 ....................... 616
5.11 对访问控制的几种威胁.............. 618
5.11.1 字典攻击 ............................. 618
5.11.2 蛮力攻击 ............................. 619
5.11.3 登录欺骗 ............................. 619
5.11.4 网络钓鱼 ............................. 619
5.12 小结........................................... 622
5.13 快速提示 ................................... 622
5.14 问题........................................... 625
5.15 答案 .......................................... 632
第 6 章 安全评估与测试...........................635
6.1 审计策略..................................... 636
6.1.1 内部审计 .............................. 637
6.1.2 第三方审计 ........................... 638
6.2 审计技术控制.............................. 640
6.2.1 脆弱性测试 ........................... 640
6.2.2 渗透测试 .............................. 642
6.2.3 战争拨号攻击 ........................ 646
6.2.4 其他脆弱性类型 ..................... 646
6.2.5 事后检查 .............................. 648
6.2.6 日志审查 .............................. 649
6.2.7 综合事务 .............................. 651
6.2.8 误用案例测试 ........................ 652
6.2.9 代码审查 .............................. 653
6.2.10 接口测试 ............................. 655
6.3 审计管理控制.............................. 655
6.3.1 账户管理 .............................. 655
6.3.2 备份验证 .............................. 657
6.3.3 灾难恢复和业务连续性 ............ 659
6.3.4 安全培训和安全意识培训 ......... 664
6.3.5 关键绩效和风险指标 ............... 667
6.4 报告............................................ 669
6.4.1 技术报告 .............................. 669
6.4.2 执行摘要 .............................. 669
6.5 管理评审..................................... 670
6.5.1 管理评审前 ........................... 671
6.5.2 审查输入 .............................. 671
6.5.3 管理层的行动 ........................ 672
6.6 小结............................................ 672
6.7 快速提示..................................... 673
6.8 问题............................................ 674
6.9 答案............................................ 678
第 7 章 安全运营......................................681
7.1 运营部门的角色.......................... 682
7.2 行政管理..................................... 682
7.2.1 安全和网络人员 ..................... 684
7.2.2 可问责性 .............................. 685
7.2.3 阈值级别 .............................. 686
7.3 保证级别..................................... 686
7.4 运营责任..................................... 687
7.4.1 不寻常或无法解释的事件 ......... 687
7.4.2 偏离标准 .............................. 687
7.4.3 不定期的初始程序加载
(也称为重启) ......................... 688
7.5 配置管理..................................... 688
7.5.1 可信恢复 .............................. 688
7.5.2 输入与输出控制 ..................... 690
7.5.3 系统强化 .............................. 691
7.5.4 远程访问安全 ........................ 692
7.6 物理安全..................................... 693
7.6.1 设施访问控制 ........................ 694
7.6.2 人员访问控制 ........................ 699
7.6.3 外部边界保护机制 .................. 700
7.6.4 入侵检测系统 ........................ 707
7.6.5 巡逻警卫和保安 ..................... 709
7.6.6 安全狗 ................................. 710
7.6.7 对物理访问进行审计 ............... 710
7.7 安全资源配置.............................. 710
7.7.1 资产清单 .............................. 711
7.7.2 配置管理 .............................. 712
7.7.3 配置云资产 ........................... 714
7.8 网络和资源可用性....................... 715
7.8.1 平均故障间隔时间(MTBF) ........ 716
7.8.2 平均修复时间(MTTR) .............. 716
7.8.3 单点失败 .............................. 717
7.8.4 备份 ..................................... 723
7.8.5 应急计划 .............................. 725
7.9 预防措施..................................... 725
7.9.1 防火墙 ................................. 726
7.9.2 入侵检测与预防系统 ............... 727
7.9.3 反恶意软件 ........................... 728
7.9.4 补丁管理 .............................. 728
7.9.5 蜜罐技术 .............................. 730
7.10 事故管理流程............................ 731
7.10.1 检测 ................................... 735
7.10.2 响应 ................................... 735
7.10.3 缓解 ................................... 735
7.10.4 报告 ................................... 736
7.10.5 恢复 ................................... 736
7.10.6 修复 ................................... 737
7.11 灾难恢复 ................................... 738
7.11.1 业务流程恢复 ....................... 740
7.11.2 设施恢复 ............................. 741
7.11.3 供给和技术恢复 .................... 746
7.11.4 选择软件备份设施 ................. 749
7.11.5 终端用户环境 ....................... 751
7.11.6 数据备份选择方案 ................. 752
7.11.7 电子备份解决方案 ................. 755
7.11.8 高可用性 ............................. 757
7.12 保险 .......................................... 759
7.13 恢复与还原................................ 760
7.13.1 为计划制定目标 .................... 763
7.13.2 实现战略 ............................. 764
7.14 调查 .......................................... 766
7.14.1 计算机取证和适当的证据收集 . 767
7.14.2 动机、机会和方式 ................. 768
7.14.3 计算机犯罪行为 .................... 768
7.14.4 事故调查员 .......................... 769
7.14.5 取证调查过程 ....................... 770
7.14.6 法庭上可接受的证据 ............. 774
7.14.7 监视、搜索和查封 ................. 776
7.14.8 访谈和审讯 .......................... 777
7.15 义务及其后果............................ 777
7.15.1 职责场景 ............................. 779
7.15.2 第三方风险 .......................... 780
7.15.3 合同协议 ............................. 781
7.15.4 采购和供应商流程 ................. 781
7.16 合规性....................................... 782
7.17 个人安全问题............................ 784
7.18 小结 .......................................... 785
7.19 快速提示................................... 785
7.20 问题 .......................................... 787
7.21 答案 .......................................... 791
第 8 章 软件开发安全 ..............................795
8.1 创建好的代码.............................. 795
8.2 何处需要安全.............................. 796
8.2.1 不同的环境需要不同的安全 ...... 797
8.2.2 环境与应用程序 ..................... 798
8.2.3 功能与安全 ........................... 798
8.2.4 实现和默认配置问题 ............... 799
8.3 软件开发生命周期....................... 800
8.3.1 项目管理 .............................. 800
8.3.2 需求收集阶段 ........................ 801
8.3.3 设计阶段 .............................. 802
8.3.4 开发阶段 .............................. 804
8.3.5 测试/验证阶段 ........................ 806
8.3.6 发布/维护阶段 ........................ 808
8.4 安全软件开发最佳实践 ............... 809
8.5 软件开发模型.............................. 810
8.5.1 边做边改模型 ........................ 810
8.5.2 瀑布模型 .............................. 811
8.5.3 V 形模型(V 模型) ................... 811
8.5.4 原型模型 .............................. 812
8.5.5 增量模型 .............................. 812
8.5.6 螺旋模型 .............................. 813
8.5.7 快速应用开发 ........................ 814
8.5.8 敏捷模型 .............................. 815
8.5.9 其他模型 .............................. 818
8.6 集成产品开发团队....................... 818
8.7 能力成熟度模型.......................... 819
8.8 变更控制..................................... 821
8.8.1 软件配置管理 ........................ 822
8.8.2 代码库的安全性 ..................... 823
8.9 编程语言和概念.......................... 823
8.9.1 汇编程序、编译器和解释器 ...... 825
8.9.2 面向对象概念 ........................ 826
8.10 分布式计算................................ 834
8.10.1 分布式计算环境 .................... 835
8.10.2 CORBA 与 ORB .................... 836
8.10.3 COM 与 DCOM .................... 837
8.10.4 Java 平台，企业版本 .............. 839
8.10.5 面向服务的架构 .................... 839
8.11 移动代码 ................................... 842
8.11.1 Java applet ............................ 842
8.11.2 ActiveX 控件 ....................... 844
8.12 Web安全................................... 845
8.12.1 针对 Web 环境的特定威胁 ...... 845
8.12.2 Web 应用安全原则 ................ 851
8.13 数据库管理................................ 851
8.13.1 数据库管理软件 .................... 852
8.13.2 数据库模型 .......................... 853
8.13.3 数据库编程接口 .................... 857
8.13.4 关系数据库组件 .................... 858
8.13.5 完整性 ................................ 860
8.13.6 数据库安全问题 .................... 862
8.13.7 数据仓库与数据挖掘 ............. 866
8.14 恶意软件(恶意代码) .................. 869
8.14.1 病毒 ................................... 870
8.14.2 蠕虫 ................................... 871
8.14.3 rootkit ................................. 872
8.14.4 间谍软件和广告软件 ............. 873
8.14.5 僵尸网络 ............................. 873
8.14.6 逻辑炸弹 ............................. 874
8.14.7 特洛伊木马 .......................... 875
8.14.8 防病毒软件 .......................... 876
8.14.9 垃圾邮件检测 ....................... 879
8.14.10 防恶意软件程序 .................. 879
8.15 评估外部获取软件的安全性 ...... 880
8.16 小结........................................... 881
8.17 快速提示 ................................... 881
8.18 问题........................................... 884
8.19 答案........................................... 889
附录 A 完整的复习题.............................. 893
术语表....................................................... 929

安全和风险管理
本章介绍以下内容：
● 安全术语和原则
● 保护控制类型
● 安全框架、模型、标准和最佳实践
● 计算机法律和犯罪
● 知识产权
● 数据破坏
● 风险管理
● 威胁建模
● 业务连续性和灾难恢复
● 个人安全
● 安全治理
真正安全的系统，是被关闭了电源，浇筑到水泥块中，然后被密封在一个配有武装警卫的铅衬
房间之中的，但是就算如此，我依然怀疑它能否做到绝对安全。
——Eugene H. Spafford
其实, 除安全实践外，组织机构还有很多其他事情可做。毕竟，企业存在的目的是赚钱。只有
大部分非营利组织，如慈善机构、教育中心和宗教实体等，其存在的目的是提供某种类型的服务。
而多数组织存在的目的都不是要专门部署和维护防火墙、入侵检测系统、身份管理技术和加密设备。
没有企业真正愿意开发成百上千的安全策略、部署反恶意软件、维护脆弱性管理系统、不断更新事
件响应能力，以及不得不遵循各种令人眼花缭乱的安全法规，例如萨班斯-奥克斯利法案
SOX(Sarbanes-Oxley)、金融服务现代化法案 GLBA (Gramm-Leach-Bliley Act)、支付卡行业数据安全
标准 PCI DSS(Payment Card Industry Data Security Standard)、健康保险携带和责任法案 HIPAA
(Health Insurance Portability and Accountability Act)和美国联邦信息安全管理法案 FISMA (Federal
Information Security Management Act)。企业主只愿意制造他们的产品，销售他们的产品，然后回家。
但是，这样简单的日子一去不复返了。现在组织机构面临着挑战：有人想要偷取企业顾客数据，从
而可以窃取身份以进行银行欺诈。公司机密不断被来自内部和外部的实体窃取，用于从事经济间谍
活动。系统被劫持和用于僵尸网络，来用于攻击其他组织或者传播垃圾邮件。公司资金被来自不同
国家的有组织的犯罪团伙通过复杂的、难以确认的数字方法秘密抽走。那些发现自己已经成为攻击
者目标的组织正在不断地遭受攻击，他们的系统和网站可能数小时或数日都不能运作。当今的企业
第 1 章

需要践行大量安全规则才能维护市场份额、保护顾客和底线、远离牢狱之灾，以及销售产品。

本章将讨论组织为整体践行安全而必须遵循的诸多原则。每个组织机构都必须开发企业安全计
划，该计划中所包含的技术、措施和进程将贯穿整本书。在从事安全工作的整个职业生涯中，你会
发现，多数企业只践行了“企业安全计划”的一部分而不是全部。几乎每个组织都在处心积虑地考
虑如何评估公司所面临的风险以及如何分配资金和资源来遏制那些风险。可以说，当今企业所制定
的安全计划中有很多只是片面的和有缺失的。团队熟悉的领域，其安全计划也较为完善，而不熟悉
的领域，安全计划就匮乏。因此，你有责任尽可能全面地了解整个安全领域，只有这样，才能识别
安全计划中的不足之处，然后改进它们。这也是 CISSP 考试覆盖技术、方法和程序等诸多领域的原
因所在。如果要帮助一个组织执行整体的安全任务，就必须从整体的角度来理解掌握它们。首先，
我们会从安全的基本内容入手，然后在此基础上展开本章甚至整本书的内容。构建知识基础就好比
盖房子：没有坚实的基础，房子就不坚固，后果就不可预料，不知什么时候就会倒塌。我们的目标
是确保你拥有扎实和牢固的根基，这样才能保护自己免受诸多威胁的伤害，保护那些依赖你和你的
技术的商业组织和政府组织免受损害。
作为信息安全专业人员，最本质的是理解两个关键概念：安全和风险。保护组织的信息安全是
我们的职责所在，所以很有必要花些时间定义信息安全及相关内容。在现实社会中要理解信息安全
的关键内容，可以去研究与其相关的法律和犯罪行为，以及我们在打击犯罪时要尽量减少隐私的泄
露以做好权衡。以此为基础，接下来我们把注意力转向风险的概念，因为在保护信息系统时，做出
的每个决定都应该考虑风险。风险的概念非常重要，所以不只本章将详细介绍，在其他章节还将提
到。我们的切入点较小，却关注组织面临的恶意威胁，由点及面，包含偶发的威胁和环境的威胁，
以及如何规划业务连续性和灾难恢复方案来防范这些风险。最后，我们将讨论人员、治理和道德。
1.1 安全基本原则
我们需要知道，安全的核心目标是为关
键资产提供可用性、完整性和机密性(AIC
三元组)保护，见图 1-1。每项资产所需的保
护级别不相同，具体将在下面讨论。所有安
全控制、机制和防护措施的实现都是为了提
供这些原则中的一个或多个，并且要为潜在
的能力衡量所有风险、威胁和脆弱性，以平
衡一个或全部 AIC 原则。
可用性
安全对象
完整性 机密性
注意：
在某些文档中，三元组用 CIA 表示，分别代表机密性(Confidentiality)、完整性(Integrity)
和可用性(Availability)。
1.1.1 可用性
可用性(Availability)保护确保授权的用户能够对数据和资源进行及时和可靠的访问。网络设备、
计算机和应用程序应当提供充分的功能，从而能够在可以接受的性能级别以可预计的方式运行。它
们应该能够以一种安全而快速的方式从崩溃中恢复，这样生产活动就不会受到负面影响。应该采取
必要的保护措施消除来自内部或外部的威胁，这些威胁会影响所有业务处理元素的可用性及工作效
率。和生活中的许多其他事情一样，确保组织内部必要资源的可用性听起来容易，实际做起来却很
难。网络由众多必须在深夜持续运行的组件(路由器、交换器、DNS 服务器、DHCP 服务器、代理
和防火墙)构成。软件也由众多必须健康运行的组件(操作系统、应用程序和反病毒软件)构成。此外
还有很多能够影响到组织运营的环境因素(如大火、洪水、HVAC 问题、电子问题)、潜在的自然灾
害和物理偷窃或攻击。组织必须完全了解它的运营环境及其在可用性方面的缺陷，才能采取正确的
对策。
1.1.2 完整性
完整性(Integrity)指的是保证信息和系统的准确性和可靠性，并禁止对数据的非授权更改。硬件、
软件和通信机制只有协同工作，才能正确地维护和处理数据，并且能够在不被意外更改的情况下将
数据移动至预期的目的地。应当保护系统和网络免受外界的干扰和污染。
实施和提供这种安全属性的系统环境能够确保攻击者或用户错误不会对系统或数据的完整性造
成损害。当攻击者在系统中加入病毒、逻辑炸弹或后门时，系统的完整性就会被破坏。随后，它将
破坏系统中保存的信息的完整性，如使数据出错、恶意修改数据或替换为不正确的数据。严格的访
问控制、入侵检测和散列运算可以抗击这些威胁。用户也会经常错误地影响系统或数据的完整性。
当然，内部用户也可能做出故意的恶意行为。例如，用户可能在不经意间删除了配置文件，因为硬
盘已满，而用户又不记得使用过文件。或者，用户也可能在数据处理应用程序中输入了错误值，使
得本应交 3000 美元的客户只交了 300 美元。在数据库中存储的被错误修改的数据是用户偶尔使数据
出错的一种常见方式，这种错误会造成持久的影响。
应当精简用户的能力，只向其提供少数几个选择和功能，这样错误就会减少，而且也不会那么
严重。应当限制用户对系统关键文件的查看和访问。应用程序应当提供检查输入值是否有效且合理
的机制。数据库应当只允许授权用户修改数据，而传输数据则应当通过加密或其他机制进行保护。
1.1.3 机密性
机密性(Confidentiality)确保在数据处理的每一个交叉点上都实施了必要级别的安全保护并阻止
未经授权的信息披露。在数据存储到网络内部的系统和设备上时、数据传输时以及数据到达目的地
之后，这种级别的保密都应该发挥作用。
攻击者能够通过网络监控、肩窥、盗取密码文件以及社会工程来威胁机密性机制。这些内容将
在后续章节中进行更深入的讨论。简单地说，肩窥(shoulder surfing)指的是某人越过其他人的肩膀观
察其按键动作或偷看计算机屏幕上显示的数据。社会工程(social engineering)指的是欺骗其他人共享
机密信息，例如装扮成已被授权的人来访问机密信息。社会工程还可以采用其他许多形式。事实上，
任何一对一的通信介质都能够用于执行社会工程攻击。
当用户向其他人发送信息而没有加密时，在成为社会工程攻击的牺牲品时，在共享公司商业秘
密时，或是在处理机密信息而没有采取额外保护措施时，他们都有意或无意地泄露了某些敏感信息。
通过以下途径可以提供机密性：在存储和传输数据时进行加密；实施严格的访问控制和数据分
类；以及对职员进行适当的数据保护措施培训。
可用性、完整性和机密性是安全问题的关键原则。我们应当理解这 3 个原则的含义、各种机制
如何提供这些原则以及缺少这些原则会对系统环境造成怎样的负面影响。
1.1.4 平衡安全
实际上，当涉及信息安全问题时，往往只针对机密信息保密(机密性)，而完整性和可用性威胁
可以被忽略，除非它们遭到破坏。某些资产严格要求机密性(如公司商业秘密)，某些资产严格要求
完整性(如金融交易数值)，某些资产严格要求可用性(电子商务网络服务器)。很多人知道 AIC 三元
组的概念，却可能并不完全理解实施必要的控制措施以为所有这些概念所覆盖的领域提供保护的复
杂性。下面提供了一些控制措施及它们所对应的 AIC 三元组的原则。
可用性：
● 独立磁盘冗余阵列(Redundant Array of Independent Disk，RAID)
● 群集
● 负载平衡
● 冗余数据和电源线
● 软件和数据备份
● 磁盘映像
● co-location 和异地备用设施
● 回滚功能
● 故障切换配置
完整性：
● 散列(数据完整性)
● 配置管理(系统完整性)
● 变更控制(进程完整性)
● 访问控制(物理的和技术的)
● 软件数字签名
● 传输循环冗余校验(Cyclic Redundancy Check，CRC)功能
机密性：
● 加密静止数据(整个磁盘、数据库加密)
● 加密传输(lPSec、TLS、PPTP、SSH，第 4 章将深入讲解)中的数据
● 访问控制(物理的和技术的)
本书将对所有上述控制措施一一详述。重要的是此处要了解 AIC 三元组的概念看似简单，而实
际上要满足它的要求却是非常具有挑战性的。
1.2 安全定义
我们常用术语“脆弱性”“威胁”“风险”和“暴露”来表示同样的事情，然而，它们实际上有
不同的含义，相互之间也有不同的关系。理解每一个术语的定义是非常重要的，但更重要的是应当
理解它们彼此之间的关系。
脆弱性 (vulnerability) 是指系统中允许威胁来破坏其安全性的缺陷。它是一种软件、硬件、过程
或人为缺陷。这种脆弱性可能是在服务器上运行的某个服务、未安装补丁的应用程序或操作系统、
没有限制的无线访问点、防火墙上的某个开放端口、任何人都能够进入服务器机房的松懈安防或者
服务器和工作站上未实施的密码管理。
威胁 (threat) 是指利用脆弱性而带来的任何潜在危险。如果威胁某个人的话，他将识别出特定的
脆弱性，并利用其来危害公司或他人。而利用脆弱性的该实体就称为威胁主体。威胁主体可能是通
过防火墙上的某个端口访问网络的入侵者、违反安全策略进行数据访问的过程，也可能是某位雇员
避开各种控制而将文件复制到介质上，进而可能泄露了机密信息。
风险 (risk) 是威胁源利用脆弱性的可能性以及相应的业务影响。如果某个防火墙有几个开放端
口，那么入侵者利用其中一个端口对网络进行未授权访问的可能性就会较大。如果没有对用户进行
过程和措施的相关教育，那么雇员由于故意或无意犯错而破坏数据的可能性就会较大。如果网络没
有安装入侵检测系统，那么在不引人注意的情况下进行攻击且很晚才被发现的可能性就会较大。风
险将脆弱性、威胁和利用可能性与造成的业务影响联系在一起。
暴露 (exposure) 是造成损失的实例。脆弱性能够导致组织遭受破坏。如果密码管理极为松懈，
也没有实施相关的密码规则，那么公司的用户密码就可能会被破解并在未授权状况下使用。如果没
有人监管公司的规章制度，不预先采取预防火灾的措施，公司就可能遭受毁灭性的火灾。
控制(control)或对策(countermeasure)能够消除(或降低)潜在的风险。对策可以是软件配置、硬件
设备或措施，它能够消除脆弱性或者降低威胁主体利用脆弱性的可能性。对策的示例包括强密码管
理、防火墙、保安、访问控制机制、加密和安全意识培训。
注意：
术语控制(control)、对策(countermeasure)和防护措施(safeguard)交替使用，都是指降低风
险的机制。
如果某个公司只是在服务器上安装防病毒软件，但是不能及时更新病毒特征库，那么这就是一
种脆弱性。该公司很容易遭受病毒攻击。威胁是指病毒将出现在系统环境中并破坏系统的工作能力。
风险是指病毒出现在系统环境中并形成危害的可能性。如果病毒渗透到公司的系统环境，那么脆弱
性就被利用，公司也将遭受损失。这种情况下的对策就是更新病毒特征库，并在所有计算机上都安
装防病毒软件。图 1-2 说明了风险、脆弱性、威胁和对策之间的关系。
威胁主体
引起
威胁
利用
脆弱性
导致
风险
直接作用到 资产 可以破坏
暴露 并且引起
防护措施 能够被预防
通过

应用正确的对策可以消除脆弱性和暴露，从而能够降低风险。这个公司并不能消除威胁主体，
但是可以保护自己，以及防止威胁主体利用系统环境中的脆弱性。
许多人忽视这些基本术语，认为在信息安全界它们并非那么重要。但是，你将发现如果安全团
队没有就此达成共识，混乱很快就会出现。这些术语代表着安全领域的核心理念，如果混淆这些理
念，据此所做的加强安全的任何活动也往往会被混淆。
1.3 控制类型
到本节为止，已经讲述了安全目标(可用性、完整性、机密性)和安全行业的术语(脆弱性、威胁、
风险和控制)。如果组织要想很好地开展安全工作，就必须要理解这些基础知识。要解决的下一个基
本问题是可以实现的控制类型及相关功能。
正确运用控制措施能降低组织面临的风险，控制包含 3 种类型：管理控制、技术控制和物理控
制。管理控制(administrative control)因为通常是面向管理的，所以经常被称为“软控制”。安全文档、
风险管理、人员安全和培训都属于管理控制。技术控制(technical control)也称为逻辑控制，由软件或
硬件组成，如防火墙、入侵检测系统、加密、身份识别和身份验证机制。物理控制(physical control)
用来保护设备、人员和资源，保安、锁、围墙和照明都属于物理控制。
正确运用这些控制措施才能为企业提供深度防御，深度防御是指以分层的方法综合使用多个安
全控制类型，如图 1-3 所示。由于入侵者在获得访问关键资产前将不得不穿越多个不同的保护机制，
因此多层防御能将渗透成功率和威胁降低到最小。例如，A 公司按照分层模型采用了以下物理控制
措施：
● 围墙
● 外部上锁的门
● 闭路监控
● 保安
● 内部上锁的门
● 上锁的服务器房间
● 物理防护的计算机(线缆锁)
潜在威胁
物理安全
病毒扫描
补丁管理
基于规则的访问控制
安全架构
非军事化区(DMZ)
防火墙
虚拟私有网络
策略和过程
账号管理
资产

图 1-3 深度防御
技术控制措施通常会采用以下分层方法部署应用：
● 防火墙
● 入侵检测系统
● 入侵防御系统
● 恶意代码防御
● 访问控制
● 加密
实际采用的控制类型必须与公司面临的威胁相对应，保护的层数必须与资产的敏感程度相对应。
根据经验判断，资产越敏感，部署的保护层数越多。
可以运用不同的控制类型——管理控制、技术控制和物理控制。但这些控制措施如何发挥作用
呢？在我们寻求措施保护我们的环境时，需要理解每个控制措施的不同功能。
安全控制措施的不同功能有：预防性、检测性、纠正性、威慑性、恢复性和补偿性。更好地理
解安全控制措施的不同功能后，在特定条件下就能做出明智的决定，选择最合适的控制措施。下面
是 6 种不同的安全控制功能。
● 预防性 避免意外事件的发生。
● 检测性 帮助识别意外活动和潜在入侵者。
● 纠正性 意外事件发生后修补组件或系统。
● 威慑性 威慑潜在的攻击者。
● 恢复性 使环境恢复到正常的操作状态。
● 补偿性 能提供可替代的控制方法。
一旦完全理解不同控制措施的作用，在应对特定风险时，就能正确运用它们。
当查看某个环境的安全结构时，效率最高的方法是使用预防性安全模型，然后使用检测、纠正
和恢复机制支撑这个模型。最初，是想在麻烦开始前预防它们，但必须能够在麻烦出现时快速行动
并应对它们。因为预防一切是不可行的，所以如果不能预防麻烦，就必须能够快速检测它们。这就
是为什么预防性和检测性控制措施必须一起实施且应该相互补充的原因。深入分析一下：不能够预
防的则必须能够检测到，同时，如果能检测到，意味着不能预防。因此，应该采取纠正性措施，确
保下一次发生时能够预防。综上所述，预防性措施、检测性措施和纠正性措施应该一起使用。
下面描述的控制模型(管理的、物理的、技术的)从本质上讲都是预防性的。在开发企业范围的
安全程序时，理解这一点很重要。
预防：管理性措施
● 策略和规程
● 高效的雇用实践
● 聘用前的背景调查
● 受控的解聘流程
● 数据分类和标签
● 安全意识
预防：物理性措施
● 证件、磁卡
● 警卫、警犬
● 围墙、锁、双重门
预防：技术性措施
● 密码、生物识别、智能卡
● 加密、安全协议、回拨系统、数据库视图、受约束的用户界面
● 杀毒软件、访问控制列表、防火墙、入侵防御系统
表 1-1 展示了这些安全控制机制如何实现这些不同的安全功能。很多学生在理解哪种控制可以
提供哪些功能这个问题上感到十分困惑。通常存在这种认识：“防火墙是一项预防控制措施，但如果
攻击者知道有防火墙，那它将成为一种威慑。”先让我们停在这里，不让问题更加复杂化。在试图根
据功能需求选择控制措施时，控制措施的部署位置将成为主要考虑因素。防火墙的作用是试图防止
恶意事情的发生，这是因为它是一种预防性控制。日志审计是在事件发生后开展的，所以它是检测
性的。数据备份系统的开发目的是让数据能够恢复，因此它是一种恢复性控制。生成计算机映像的
目的是在软件损坏后，它们依旧可重新加载，因此这是一种纠正性控制。
表 1-1 控制类别和功能
控 制 类 型

控制类别
物理性控制措施

管理性控制措施

技术性控制措施

( 续表 )
控 制 类 型

另一种常被人们努力争取的控制措施是补偿性控制。来看一些补偿性控制的案例，以更好地解
释它们的功能。如果公司需要实现强大的物理安全防护，你可能建议管理层去雇用保安，但在计算
完雇用保安的全部成本后，公司可能采取补偿性(替代性)的控制措施，这种控制措施提供类似的保
护，而成本却容易承受，比如使用围墙。再如，假设你是安全管理员，负责维护公司的防火墙。管
理人员告诉你有一个协议出于业务原因必须通过防火墙，而你知道该协议存在一个可加以利用的漏
洞。针对这个协议，网络就需要一种补偿性控制加以防护，比如建立一台针对特定通信类型的代理
服务器，以便对这个协议进行适当监视和控制。因此，补偿性控制是一种备选控制措施，它能提供
类似原控制措施的功能，但因为它容易承受或能满足特殊的业务功能而不得不使用。
几种安全控制类型并存需要协同工作，控制和它们所处环境的复杂性会引发控制之间的冲突或
留下安全空缺。这在公司保护方面将引发不可预见的漏洞，实施者对此却不能完全理解。一个公司
部署有十分严格的技术访问控制和所有必要的管理控制，但如果任何人被允许物理访问设施内的任
何系统，那么环境中就存在明显的安全风险了。总之，这些控制措施应该一起工作，配合默契，才
能提供健康、安全和高效的环境。
1.4 安全框架
后面各个部分将深入探讨本章中的一些提纲挈领性的话题。讲到这里我们已经清楚地了解需要
实现的目标(可用性、完整性和机密性)，所能使用的工具(管理控制措施、技术控制措施和物理控制
措施)，当然我们也学会了如何讨论这个问题(弱点、威胁、风险和控制)。在讲述如何开展组织范围
的安全规划前，首先要掌握不能做什么，这个问题经常被称为通过隐匿实现安全。通过隐匿实现安
全的前提是假想你的敌人没有你聪明，同时他们也猜测不出你的计策。一个通过隐匿实现安全的非
技术例子是为了避免把你自己锁在房子外边之前，把备用钥匙放在门前台阶下这种传统做法。假设、
前提是没有人知道这把备用钥匙，只要他们不知道，就被认为是安全的。这样做的弱点在于如果能
找到这把备用钥匙，任何人都可以轻易进入这栋房子，而对于有经验的攻击者(如夜贼)，他们知道
这种弱点存在并采取相应步骤就能找出这把钥匙。
在技术领域，很多厂商认为经过编译后的产品能比基于开源代码的产品安全，他们推出自己的
产品就建立在这种假设前提下，因为他们以为编译后将没有人能查看他们最初的编程指令。但是攻
击者有大量的逆向工程软件可用，用这些工具就可以重构产品源代码，当然也有很多其他方法不用
逆向工程就可以知道如何攻击软件，如模糊测试、数据输入校验等。实现安全的正确方法是确保最
初的软件不包含缺陷，同时不要假设源代码编译后的格式就能提供必要的保护级别。
另一个常见的隐匿安全例子是开发私有的加密算法以替代行业通用的加密算法。一些组织假设，
如果攻击者不熟悉其私有算法的逻辑功能和数学方法，那么他们在这个方面的知识欠缺就提升了必
要的安全水平。但事实上，攻击者往往聪明伶俐且有想法。如果这些算法中有缺陷，它们极有可能
被识别并加以利用。最好的方法是使用行业认可的算法，其原因是它们已被证明足够强大。
有些网络管理员会在自己的防火墙上重新映射协议，让 HTTP 不使用众所周知的端口 80，而使
用 8080 端口进入环境。管理员认为攻击者猜不到这种重映射，但事实上，基本的端口扫描器和协
议分析软件就可很容易地检测到端口被重映射。因此不要尝试在耍花招方面胜过这些坏家伙，反之，
更需要以成熟的、务实的方法实现安全。不要试图隐藏可能被利用的缺陷，而是要去除这些缺陷并
同时采用已经被证实的安全实践。
用混乱情况下的信任证明安全显然十分危险。虽然每个人都需要相信自己的同事天生善良，但
事实上如果真是那样，所有安全专家即将失业。在安全方面，好的实践正像谚语所说的那样：“世界
上，我只相信两个人——你和我，不过我对你也不是绝对相信”。其原因在于安全实际上能被任何人
在任何时间所威胁，因此这就是我们需要持有的最好态度。
我们不想组织机构的安全建立在虚无缥缈的基础之上，也深知我们最不可能成功欺骗敌人，那
么该怎么做呢？建立一个堡垒，又称为安全计划。数百年前你的敌人不可能通过网络使用数据包攻
击你，在当时可能骑马拿着大棒攻击你。当一个派系与其他派系进行斗争保护自我时， 一般不会仅
在自己领地的高处杂乱堆积石块来防御(当然，可能一些派系也是这么做的，但他们很快灭亡了，他
们也没有认识到这个问题)。而有些派系建立了可以抵御进攻的结构堡垒，墙壁和房顶由很难穿透的
坚固材料构成，建筑的结构提供了分层保护。建筑配备了防御和攻击性的工具，并且一些建筑有护
城河环绕保护。这就是我们的目标，其中包含组织自身部分但不包含外围设施。
安全规划是由很多实体构成的框架：逻辑、管理和物理的保护机制，程序、业务过程和人，这
一切一起工作将为环境提供一个保护级别。每个实体在框架中都有一个重要位置，如果一个缺失或
不完整，那么整个框架将受到影响。安全规划应该分层工作：每一层为上层提供支持，同时为下一
层提供保护。因为安全规划是一个框架，所以利用该框架，组织可以自由插接不同类型的技术、方
法和程序，以实现环境所必须达到的保护级别。
基于灵活框架的安全规划，听起来很好，但如何建立呢？在建立堡垒前，建筑师给出了建筑结
构的蓝图。我们也需要设计详细的计划，使用该计划恰当地建设安全工程。这里特别感谢为了设计
出好的规划而开发行业标准的人们。
众多标准、最佳实践和框架
在后面的章节中，各种营利和非营利组织机构开发了自己的安全管理方法、安全控制目标、过
程管理和企业发展目标。下面研究相似之处和区别，同时举例说明各自在行业中的应用场合。
下面是基本的明细对比：
安全规划开发：
● ISO/IEC 27000 系列 ISO 和 IEC 联合开发的关于如何开发和维护信息安全管理体系的国
际标准。
企业架构开发：
● Zachman 框架 由 John Zachman 开发的企业框架开发模型。
● TOGAF 由开放群组(The Open Group)开发的用于企业架构开发的模型和方法论。
● DoDAF DoDAF是美国国防部架构框架，用于保障军事任务完成过程中系统间的互操
作性。
● MODAF MODAF 是英国国防部开发的架构框架，主要应用在军事任务支持方面。
● SABSA 用于企业信息安全架构开发的模型和方法论。
安全控制开发：
● COBIT 5 一个提供 IT 企业管理和治理的业务框架，由信息系统审计和控制协会
(Information Systems Audit and Control Association，ISACA)开发。
● NIST SP 800-53 它是由美国国家标准与技术研究院开发的保护美国联邦系统的控制集。
● COSO 内部控制 - 综合框架 由反欺诈财务报告全国委员会发起组织委员会(Committee of
Sponsoring Organizations，COSO)开发，是旨在帮助降低财务欺诈风险的国内公司控制集。
过程管理开发：
● ITIL 它是由英国商务部开发的用于 IT 服务管理的过程。
● Six Sigma 它是被用来开展过程改进的业务管理策略。
● 能力成熟度模型集成 (Capability Maturity Model Integration ， CMMI) 模型 由卡内基·梅
隆大学开发，目的是改进组织的开发过程。
1.4.1 ISO/IEC 27000 系列
英国标准 7799(British Standard 7799，BS7799)是由英国政府工贸部 1995 年开发并由英国标准化
机构发布的。这个标准概括出信息安全管理体系(ISMS，又名安全规划)应该如何建立和维护。其目
标是指导组织设计、实施和维护策略、过程及技术，以便管理组织的敏感信息资产面临的风险。
这类标准受欢迎的原因是它们能够尝试并集中管理在整个组织中部署的各种安全控制措施。没
有安全管理系统，控制措施的实施和管理会相当随意。lT 部门关注安全技术方案，人员安全工作由
人力部门负责，物理安全由设施部门负责，业务连续性由运营部门负责。我们需要纵览所有事项并
以全盘方式将它们周密结合，而英国的标准就能满足这种要求。
英国标准(British Standard)实际上有两部分：BS7799 第一部分描述了控制目标和为实现这些目
标可使用的控制措施范围；BS7799 第二部分描述了如何建立和维护安全规划(信息安全管理体系，
ISMS)。BS7799 第二部分同时也作为对组织进行认证的基线。
BS7799 被认为是一个事实标准，它没有要求每个组织都必须遵守的详细的标准主体部分，但
这个标准看起来很完美，而且能满足行业需求，因此每个组织都想遵守它。当全球的组织需要开发
一个内部安全规划时，除了 BS7799 外，没有其他指南或指导可遵守。
在 BS7799 发展的过程中，它经历了名字和版本号上的巨变，因此能看到 BS7799、BS7799 V1、
BS7799 V2、ISO 17799、BS7799-3:2005 等称呼。
对 BS7799 进行升级和全球标准化由 ISO(International Organization for Standardization，国际标准
化组织)和 IEC(International Electrotechnical Commission，国际电工委员会)提出并开展。ISO 是全球
最大的国际标准开发和发行者。这个组织提供的标准从气象学、食品科学、农业到太空交通工程学、
采矿及信息技术。ISO 组织由 162 个国家的标准化协会构成，因此它有一批能够提出解决问题的好
方法的优秀人才，其中工作的一个方向是如何建立组织的信息安全规划。IEC 则开发和发布有关电、
电子及相关技术的国际标准。这两个组织在 BS7799 基础上开展联合工作，发布了一个新的全球化
标准，即 ISOIIEC 27000 系列。
注意：
IEC 是国际电工委员会的英文首字母缩略词，然而 ISO 不是，ISO 来源于希腊语“ISOS”，
即“平等”之意。
行业里已经从较模糊的 BS7799 标准转到了 ISO/IEC 27000 系列，这是一个在不断更新的 ISO/
IEC 标准清单，并对 ISMS 的必要组件进行了分区和模块化。它目前公布的标准(略有省略)包括以下
内容：
● ISO/IEC 27000 概述和词汇
● ISO/IEC 27001 ISMS 要求
● ISO/IEC 27002 信息安全管理实践代码
● ISO/IEC 27003 信息安全管理体系实施指南
● ISO/IEC 27004 信息安全管理衡量指南与指标框架
● ISO/IEC 27005 信息安全风险管理指南
● ISO/IEC 27006 认证机构要求
● ISO/IEC 27007 ISMS 审计
● ISO/IEC 27008 审计师指南
● ISO/IEC 27011 通信组织信息安全管理指南
● ISO/IEC 27014 信息安全治理指南
● ISO/IEC 27015 金融行业信息安全管理指南
● ISO/IEC 27031 业务连续性
● ISO/IEC 27032 网络空间安全指南
● ISO/IEC 27033 网络安全指南
● ISO/IEC 27034 应用安全指南
● ISO/IEC 27035 安全事件管理指南
● ISO/IEC 27037 数字证据收集和保存指南
● ISO/IEC 27799 医疗机构信息安全管理指南
这组标准就是著名的 ISO/IEC 27000 系列，是世界上从全盘考虑的安全控制管理的最佳行业实
践。构成这一系列标准的清单，每年都在增加。每个标准都有一个特定的关注点(例如度量、治理、
审计等)。
组织寻求 ISO/IEC 27001 认证来获得第三方的认可，这是很常见的。第三方根据 ISO/IEC 27001
制定的 ISMS 要求来评估组织，并证明组织的符合等级。正如，一个人一旦通过了 CISSP，(ISC) 2
就证实他拥有了安全知识。在第三方评估的公司范围内，证实这家公司的安全实践。
了解 ISO / IEC 27000 系列标准之间的差异以及它们之间的相互关系十分有用。图 1-4 展示了一
般性要求、一般性指南和具体行业指南之间的差异。
27001
ISMS 要求
一般性要求
什么是 ISMS？
它必须做什么？
27002 一般性指南
实践指南
27015
适用于金融服务
的 ISMS 指南
在金融服务机构，
一套 ISMS 提供怎
样的信息安全？
行业指南
27015
适用于医疗信息
行业的 ISMS 指南
在医疗服务机构，
ISMS 应该如何提
供信息安全？
ISMS 如何提供
信息安全？

图 1-4 一般性要求、一般性指南与行业指南的区别

注意：
CISSP 知识纲要把所有架构内容(包括企业架构和系统架构)都放在“安全工程”域中。
由于企业架构与贯穿整章的企业安全规划直接相关，因此将这块内容放在了本章中。第
3 章将专门讲述用于软件工程和设计的系统架构知识。
1.4.2 企业安全架构开发
组织在试图从整体上保护环境时往往要进行选择。一种方式是提出单一解决方案或整体解决方
案，随处放置产品，期望通过临时性的方法魔术般地保护环境安全并能覆盖到组织中的所有弱点。
第二种方式是组织花时间理解环境，理解业务和环境的安全需求，并布置可以将这两个方面映射到
一起的总体框架和策略。很多组织选择前者，但这种方式属于“不断救火”的方法。这会让安全压
力不断增加且安全需求也得不到满足，反而会让困惑和混乱常态化。
第二种方式将会定义企业的安全架构，也可以将其作为实施解决方案时的指南，以确保业务需
求被满足，同时可以提供针对环境的标准保护，降低组织发生安全意外事件的概率。尽管实现企业
安全架构后不会实现真正意义上的“乌托邦”，但它确实能够在从整体上应对安全问题时抑制混乱，
使安全人员和组织更加积极主动并形成成熟的观念模式。
从头开始开发架构并非易事。当然，仅仅在大盒子里面画一些小盒子比较容易，但这些盒子代
表什么呢？盒子之间的关系是什么样的？盒子之间的信息流如何流转？谁需要查看这些盒子以及他
们在做决定时需要考虑哪些方面？架构是一种概念性的结构，它是一种帮人们以可理解数据块的方
式理解复杂事物(如企业)的工具。如果熟悉 OSI 网络模型，会发现它是一个用于阐明网络架构的抽
象模型。计算机内的网络栈很复杂，它有很多协议、接口、服务和硬件规范。以模块框架(七层)考
虑它时，将能更好地从整体上理解网络栈及其各个组件间的关系。
注意：
OSI 网络栈将在第 4 章重点讲解。
一个企业架构包含组织的基本及一体化的组件，它表达了企业结构(窗体)和行为(功能)，它包含
了企业组件、彼此间的关系以及与环境的关系。
本节涉及几个不同的企业框架，虽然每个框架都有自己的特别关注点，但它们都提供了如何建
立单个架构的指南，因此对于建立不同的框架它们都十分有用。要注意架构框架和实际架构是有区
别的。使用框架可以指导建立一个最适合公司需求的架构。每个公司的架构都不同，原因在于各个
公司有不同的业务驱动、安全和规定需求、文化和组织结构，但如果每个公司都以相同的架构框架
为指导，那么它们的架构将有相似的结构和目标。这种情况就像 3 个人根据一个农场式房子的设计
图建房子一样。一个人由于有 3 个孩子，因此选择构建 4 个卧室的房子。一个人选择建一个大的起
居室和 3 个卧室，还有一个人选择建两个卧室和两个起居室。每个人都从相同的设计图(框架)出发，
并根据自己的需求修改它(框架)。
要开发一个架构，首先要识别出关注和使用这个架构的利益相关者。然后需要开发不同的视角，
视角将能够以最有效的方式解释不同的利益相关者最关注的信息。美国国家标准与技术研究所
(NIST)制定了一个框架，如图 1-5 所示。公司有几个不同的视角观点，管理层人员需要从业务角度
理解公司，业务流程开发人员需要理解务必收集什么类型的信息来支撑业务活动，应用程序开发人
员需要理解维护和处理信息的系统需求，数据建模人员需要理解如何构建数据元素，技术团队需要
理解支撑上述层面的网络组件。上述人员都在同一个公司理解架构，这表明了从他们理解的视角，
以及组织内与他们的职责直接相关的视角开发。
企业架构让你不仅从不同视角理解公司，还能帮助你理解一个层面发生变化将如何影响其他层
面。例如，如果有一个新的业务需求，企业的每个层面是如何支撑的呢？必须收集和处理什么类型
的新信息？是否需要购买新应用程序或对当前的应用程序进行修改？需要新的数据元素吗？需要新
的网络设备吗？架构能够帮助理解需要变化的所有事情，从而支持新的业务功能。架构同样也能在
相反方面起作用。如果一个公司计划进行技术革新，在技术层面之上新系统仍能够支持所有必需的
功能吗？架构允许将组织理解为完整的有机体，它也阐明了一个内部组件的变化如何直接影响另一
个组件。
为何需要企业架构框架？
就如你所经历的那样，业务人员和技术人员有时看起来是完全不同的两类人。业务人员使用
“纯利润”“风险空间”“投资策略”“套期保值”“商品”等术语，技术人员使用“深度数据包监
测”“三层设备”“跨站脚本”“负载均衡”等术语。缩写词汇随手可得，如 TCP、APT、ICMP、RAID、
UDP、L2TP、PPTP、IPSec、AES 和 DES。我们之间可以不用说任何实际词语就可以成功交流。甚
至业务人员和技术人员使用完全相同的词语，但对于对方来讲却有完全不一样的意思。对于业务人
员而言，“协议”是为完成任务而必须遵循的一套流程。对于技术人员而言，“协议”是计算机或应
用程序间通信的一种标准方式。业务人员和技术人员都使用术语“风险”一词，但双方针对的是公
司面临的截然不同的风险——市场份额和安全漏洞。甚至即使他们使用的“数据”术语意思是相同
的，业务人员也仅仅是从功能的角度关注，安全人员则是从数据的风险视角关注。
外部强制和非强
制标准及要求
业务
架构
驱动
信息架构
指示
反馈
企业强制和
非强制标准
及规范
信息系统架构
标识
数据架构
由其支持
承载系统架构硬件、软件和通信

业务人员和技术人员对问题看法的分歧不仅会引发混乱和失败，还会造成资金浪费。如果房子
的业务人员想为客户提供一种新型服务，如在线账单支付，那么肯定会在以下方面产生较大变化：
当前的网络基础设施、应用程序、Web 服务器、软件逻辑、加密功能、身份验证方法、数据库结构
等。业务人员的提议看似是一个很小的变化，在实现时却会花费大量的资金，去购买和实现新技术、
实施编程以及重新架构网络等。业务人员经常感觉 IT 部门在业务革新和成长时是一种障碍，反过
来，IT 部门也感觉到业务人员经常会提出一些古怪和不切实际的需求，并且这些需求没有预算支持。
鉴于业务人员和技术人员之间的这类冲突，世界各地的组织实施了很多错误的解决方案，其原
因在于与技术规范对应的业务功能没有被理解。结果导致不得不重新购买新的解决方案、实施返工，
浪费大量时间。组织不仅要支付比最初计划多的资金，而且很可能会丧失业务机会，进而减少市场
份额。这类浪费频频发生，以致美国国会通过了《克林格-科恩法案》，法案要求联邦政府提高 IT 开
销。因此需要一个工具，能让业务人员和技术人员都可使用它来减少冲突，优化业务功能，避免浪
费时间和金钱。以上就是企业架构发挥作用的地方。它能让业务人员和技术人员双方以能理解的方
式审视同一个组织。
当你进入医生的办公室时，会发现一面墙上挂着一张骨髓系统的贴画，在另一面墙上挂着一张
循环系统的贴画，还有一面墙上挂着人体器官的贴画。它们是对同一事物(人体)从不同视角进行观
察。企业架构框架提供了相同的功能：对同一事物从不同视角关注。在医疗领域，有专科医生，如
足科医生、脑外科医生、皮肤科医生、肿瘤科医生、眼科医生等。每个组织也都有自己的专家，如
人力资源、市场、会计、IT、研发、管理人员等。但组织也需要全面理解实体(不管实体对象是人还
是公司)，这就是企业架构试图解决的问题。
Zachman 架构框架
Zachman 架构框架是创建的第一个企业架构框架，由 John Zachman 开发。这种模型是通用
的，并且非常适合构建我们在信息系统安全方面要做的工作。表 1-2 描述了这样一个示例(虽然相
当简单)。
表 1-2 企业架构的 Zachman 框架

Zachman 框架是一个二维模型，它使用 6 个基本的疑问词(什么、如何、哪里、谁、何时、为
何)和不同的角色(高管、业务管理、系统架构师、工程师、技术人员和企业员工)二维交叉，它给出
了企业的一个整体性理解。该框架在 20 世纪 80 年代开发出来，内容基于典型的业务架构，其中包
含了管理一套有序关系的规则。在这些规则中，每行可以从这行的视角来完整地描述企业。例如，
IT 人员的工作需要他们根据数据存储、程序、网络、访问控制、操作和度量来理解组织。虽然他们
(或至少应该)意识到了其他视角和项目，但他们在图例的组织中履行职责，并关注这些项目。
该框架的目标是让人们能够从不同观点(包括计划人员、所有者、设计人员和建设人员等)出发
了解同一个组织。公司中不同类型的人员需要相同的信息，但这些信息分别以和他们职责直接相关
的方式表示。CEO 需要财务报表、绩效考核、资产负债表。网络管理员需要网络图，系统工程师
需要接口需求，运维部门需要配置需求。如果你曾经实施过基于网络的漏洞测试，就会知道不可以
告诉 CEO 有些系统在基于 SYN 的攻击方面存在隐患，你也不能说公司软件存在客户端浏览器注入
攻击漏洞，同样也不能说基于 Windows 的应用程序存在数据流被修改的可能。CEO 需要知道这些
信息，但必须以其可以理解的语言叙述。组织中每个层次的人工作所需的信息必须以对应的语言和
格式来提供。
企业架构常用来将支离破碎的过程(包括人工和自动的)优化到一个集成的环境中，该环境能够
响应变化，支持业务战略。Zachman 框架已存在数年并已成功应用于众多组织中，主要用于建立或
更好地定义组织业务环境。这个框架不是面向安全的，却是一个用于工作的好模板，因为对如何模
块化理解真实企业提供了指导方向。
开放群组架构框架
另一个企业架构框架是开放群组架构框架(The Open Group Architecture Framework，TOGAF)，
它由美国国防部开发并提供了设计、实施和治理企业信息架构的方法。
TOGAF 用来开发以下架构类型：
● 业务架构
● 数据架构
● 应用程序架构
● 技术架构
利用 TOGAF 架构框架，运用其架构开发方法(Architecture Development Method，ADM)，可以
创建单个架构类型，这种方法是一个迭代和循环过程，它允许不断地重复审核需求，以及根据需求
更新单个架构。这些不同的架构允许技术架构设计师从企业的不同视角(业务、数据、应用程序和技
术)去理解企业，以确保开发出环境及组件所需的技术，最终实现业务需求。这个技术需要跨越不同
的网络，实现各种各样的软件组件间的互联以及在不同业务单元内工作。打个比方，在建造一座新
城市时，人们不会立即到处建房子，城市设计师们则会设计出道路、桥梁、水路、商业及居民区。
大型组织环境往往分布在各个地方而且种类繁多，这些环境要支撑大量不同的业务功能，和城市一
样复杂。因此，在程序员开发代码前，需要根据组织的工作背景开发软件架构。
注意：
很多技术人员对上述模型持有负面的本能反应。他们感觉要做的工作太多、太麻烦、没
什么直接的实质意义等。如果你用含有防火墙、入侵检测系统和虚拟专用网络(Virtual
Private Network，VPN)系统的示意图来和他们交涉，他们会说“现在我们才是讨论安全”。
因为安全技术被应用于组织结构内，所以必须理解组织。
面向军事的架构框架
为组织构建企业范围的解决方案和技术难度系数很大，其原因是这个架构需要跨越多个不同的
复杂政府机构，以允许实现它们之间的互操作性和适当的分层通信信道。这正是美国国防部架构框
架(Department of Defense Architecture Framework，DoDAF) 发挥作用的地方。在美国国防部购买技
术产品和武器系统时，必须依据 DoDAF 标准起草企业架构文档，这些文档将用来阐述购买的产品、
系统如何恰当地集成到当前基础设施中。这个架构框架的焦点集中在指令、控制、通信、计算机、
情报、监视和侦察系统与过程。重要的是，不仅不同设备间使用同一协议类型和可互操作的软件组
件通信，而且使用相同的数据元素。如果间谍卫星抓取了一张图片，图片将被下载到中央数据仓库，
然后它会被加载到软件系统中来指挥无人驾驶飞机，军事人员无法中断这个操作，因为软件无法读
取另一个软件的数据输出。DoDAF 能够确保所有系统、过程和人员协调一致地共同完成使命。
英国国防部架构框架(British Ministry of Defence Architecture Framework，MODAF)是被众人认可
的另一个企业架构框架，它基于 DoDAF。这个框架的关键是使之能够以正确的格式来获取数据并
以最快的速度传给正确的人。现代战争具有复杂、行动快速的特点，这就要求人员和系统比以前适
应能力更强。需要正确捕获及呈现数据，以便让决策者快速理解复杂问题，这样将能快速精准地做
出决策。
注意：
在 DoDAF 和 MODAF 被开发运用于支持军事任务时，它们同时也被扩展和变革，运用
到商业领域。
试图找到最适合其组织的系统架构时，需要明确有哪些利益相关者，以及他们需要从系统中获
得什么信息。这个架构能以最实用的方式把公司展现到最想了解公司的人面前。假如公司有些利益
相关者想从业务过程的角度了解公司，架构就应从那个角度提供信息。如果有些人想从应用程序的
角度了解公司，架构就要从那个角度阐述相应的信息。如果人们想从安全的角度了解公司，你就要
从这个特别的角度来提供信息。所以各种企业架构框架的主要区别在于它们提供什么类型的信息以
及如何提供信息。
企业安全架构
企业安全架构是企业架构的一个子集，它定义了信息安全战略，包括各层级的解决方案、流程
和规程，以及它们与整个企业的战略、战术和运营链接的方式。这用全面的、严格的方法描述了组
成完整的 ISMS 的所有组件的结构和行为。开发企业安全架构的主要原因是确保安全工作以一种标
准化且节省成本的方式与业务实践相结合。架构在抽象层面工作，它提供了一个可供参考的框架。
除了安全性之外，这种类型的架构让组织更好地实现互操作性、集成性、易用性、标准化和便于治
理性。
如何知道一个组织是否部署企业安全架构呢？如果对于以下大多数问题的回答是肯定的，那么
这类架构就没有部署：
● 在整个组织中安全是在单独区域范围内发生的吗？
● 高级管理人员和安全人员之间是否持续地脱节？
● 为不同部门重叠的安全需求购买冗余产品了吗？
● 制定的安全规划仅由主要的安全策略组成，而没有实际的实施和强制执行吗？
● 当因为业务需要，用户访问需求增加时，网络管理员未经客户经理的书面批准就可以修改
访问控制吗？
● 当一个新产品推出时，会弹出意想不到的互操作性问题，而需要更多的时间和金钱来解
决吗？
● 当安全问题出现时，会有很多的“一次性”努力而不是按照标准过程进行的吗？
● 业务部门经理是否知道自己的安全责任以及安全责任如何映射到法律和监管需求？
● “敏感数据”在策略中有定义，但必要的控制没有得到充分实施和监控吗？
● 实施的是单点解决方案而不是企业级解决方案？
● 同样昂贵的错误持续发生？
● 因为企业没有以标准的、全面的方式检查或监控，所以安全治理通常无效？
● 所做的业务决定没有考虑到安全要素？
● 安全人员通常是去“紧急扑灭大火”，并没有真正花时间来顾及和开发信息安全战略？
● 安全努力发生在某些业务部门，而其他业务部门对此却一无所知？
● 越来越多的安全人员开始寻求精神科医生来帮助或寻找抗焦虑的良药？
如果这些问题的答案是“是的”，说明没有部署有效的架构。现在看一下这些年作者发现的非常
有趣的事情。大多数组织都存在前面列出的多个问题，但这些组织仅关注每个单独的问题，好像问
题之前没有任何关联。CSO、CISO 和/或安全管理员们往往不会理解这些问题仅是疾病的表面现象。
“治疗”是让一个人负责团队，针对企业安全架构的推广计划开发一个分阶段性的方法。目标是集
成面向技术、以企业为中心的安全过程；综合管理、技术和物理控制以实现正确管理风险；同时将
这些过程集成到 IT 基础设施、业务流程和组织文化中。
组织不开发或不推出企业安全架构的主要原因是，他们并不完全了解企业架构是什么，甚至有
的组织认为这是一项艰巨的任务。“救火”行为更容易理解和方便开展，所以许多公司继续使用这个
熟悉的方法。
一个团队开发了舍伍德的商业应用安全架构(Sherwood Applied Business Security Architecture，
SABSA)，如表 1-3 所示，它类似于 Zachman 框架。它是一个分层模型，它在第一层从安全的角度
定义了业务需求。模型的每一层在抽象方面逐层减少，细节逐层增加。因此，它的层级都建立在其
他层之上，从策略逐渐到技术和解决方案的实施实践。这个想法通过上下文、概念、逻辑、物理、
组件和运营层次提供可追溯性链。
表 1-3 SABSA 架构框架

下面列出的一问一答是在该框架的每一层提出的：
● 想在这一层努力做到什么？ 通过安全架构来保护资产。
● 为什么要这么做？ 运用安全的动机是用该层的术语来表达。
● 如何做？ 在这一层要实现的安全功能。
● 都涉及谁？ 在这一层上与安全有关的人和组织部门。
● 在哪里做？ 与这层有关的应用安全的位置。
● 什么时候做？ 与这层有关的安全的时间要素。
SABSA 是用于企业安全架构和服务管理的框架和方法论。由于它是一个框架，这就意味着它
为构建架构提供了一种结构。由于它也是一种方法论，这意味着它提供了建立和维护架构要遵循的
过程。SABSA 提供了一个生命周期模型，这样，随着时间的推移，可以对架构持续监控和改进。
要成功开发和实现企业安全架构，必须理解并遵循下面的要点：战略一致性、过程强化、促进
业务和安全有效性。
战略一致性 战略一致性是指企业安全架构必须能够满足业务驱动、监管和法律的要求。要让
公司能够生存并能繁荣发展，必须为其环境付出安全努力。安全行业仅在技术和工程界有所发展，
但在商业领域没有进展。在很多组织中 IT 安全人员和业务人员虽然可能工位彼此靠近，但通常，
在如何看待自己所工作的单位方面有着天壤之别。技术仅仅是支撑业务的工具，但它不是业务本身。
IT 环境类似于人体内的循环系统，它的存在是用来支持身体——而身体的存在不是为了支持循环系
统。安全类似于身体的免疫系统——它的存在目的在于保护整体环境。如果这些关键系统(业务、IT、
安全)不一起工作，齐心协力，将会出现缺陷和失调现象。人体中的不足和失调现象会导致体内疾病，
而组织内的不足和失调现象可能会导致风险和遭受安全入侵。
ISMS(信息安全管理体系)与企业安全架构
ISMS 和企业安全架构有什么区别呢？ISMS 概括出了需要部署的控制(如风险管理、脆弱性管
理、业务连续性计划、数据保护、审计、配置管理和物理安全等)，同时还为如何在控制的生命周期
中管理它们指明了方向。ISMS 还从组织全局出发指定了为能够提供全面安全规划需要部署的各个
组成部分，并且指定了如何维护这些组成部分。企业安全架构说明了这些组件如何被集成到当前业
务环境的不同层次中。ISMS 的安全组件必须交织贯穿于业务环境中，而不能与公司内各部门相互
孤立。
例如，ISMS 指出了需要部署的风险管理，企业架构则细化了风险管理的组件，并阐明了如何
从战略、战术和运营层面开展风险管理。另一个例子是，ISMS 指出了需要部署的数据保护。架构
则展示了在基础设施、应用程序、组件和业务级别如何实现数据保护。在基础设施层，可以使用数
据防丢失保护技术来检测敏感数据如何在网络中传输。包含敏感数据的应用程序必须拥有必要的访
问控制和加密功能。应用程序内的组件可以实现特定的加密功能。保护敏感的公司信息可以与业务
驱动直接连在一起，这一点会在架构的业务层面说明。
ISO/IEC 27000 系列(概述了 ISMS)是面向策略的，并概述了安全规划的必要组件。这意味着，
ISO 标准本质上是通用的，当然这不是一个缺陷，它们创建了一种方法，使它们适用于不同类型的
业务、公司和组织。但是，既然这些标准是通用的，就很难知道如何实现它们以及如何将它们映射
到公司的基础设施和业务需求。以上就是企业安全架构发挥作用的地方。架构是一种工具，用于确
保安全标准概括出的内容能够在组织的不同层面实现。
业务促进 在考虑安全企业架构的业务促进需求时，我们需要提醒自己，每个组织都存在一个
或多个特定的业务目标。上市公司的业务是增加股东的价值。非营利组织要推动一系列特定原因的
业务。政府机构的业务是为公民提供服务。公司和组织都不能只为安全目的而存在。安全不能堵塞
业务过程，反而应更好地促进业务。
业务促进功能则要求核心业务流程应该集成到安全运营模型中——它们是基于标准设计的而且
能遵循风险容忍标准。在现实世界中这是什么意思呢？例如，公司的会计师指出，如果允许客户服
务和技术支持人员在家办公，那么公司将节省大量的资金，如办公室租金、公用设施和日常开支，
同时由此产生的保险金也会很便宜。这时公司可能会采取使用了 VPN 、防火墙、内容过滤等的新
模型。通过提供必要的保护机制，安全使公司转移到另一个工作模型。如果金融机构计划允许客户
查看账户信息和在线转账，则只要部署了正确的安全机制(如访问控制、身份验证、安全连接机制等)，
就能提供这项服务。安全应该通过所提供的机制让组织能安全地开展新业务，实现组织的繁荣。
过程强化 如果过程强化优势充分发挥，将对组织有很大的帮助。当组织不知道如何保障他们
的环境时，则必须细致查看正在进行的每个业务过程。很多时候都需要从安全角度来审视业务过程，
因为这正是开展过程强化的原因，但这同时也是加强和改进同一个过程，进而提高生产率的最佳机
会。分析各类组织的业务过程时，通常会发现有很多重复劳动，很多手工劳动完全可自动化，或者
有些任务完全可以重新安排工序，以节省时间和劳动量。这就是经常提及的过程重构概念。
在一个组织开发企业安全组件时，这些组件必须能够高效集成到业务过程中。这样就能实现过
程管理的重新精化和调整，同时也能将安全集成到系统生命周期和日常运营中。因此业务促进意味
着“可以开展新业务”，过程强化意味着“可以更好地开展工作”。
安全有效性 安全有效性涉及度量、满足服务水平协议(Service Level Agreement，SLA)需求、
实现投资回报率(Return On Investment，ROI)、满足设置基线、使用仪表盘或平衡计分卡系统提供管
理。以上都是用来从整体上判断现行的安全解决方案和架构有效性的方法。
很多组织既要确保部署的控制措施能够提供必要的保护水平，又需要确保有限资金的恰当使用，
因此才开始接触架构的安全有效性观点。一旦设置好基线，就可以开发度量指标来验证基线的合规
性。然后，将这些指标以管理层可以理解的形式呈报，让他们能够掌握组织的安全发展状况和合规
水平。这也使得管理层能够做出明智的业务决策。安全影响今天几乎所有的业务，因此安全有效性
信息应该很容易地让高级管理人员以他们实际使用的方式读取。
企业架构与系统架构
虽然企业架构和系统架构确实有重叠之处，但是它们之间还是有区别的。企业架构解决的是组
织的结构，系统架构解决的是软件和计算组件的结构。虽然这些不同的架构有不同的关注点(组织和
系统)，但它们还是有直接的联系，因为系统必须能够支持组织及其安全需求。软件架构师如果不理
解公司需要应用程序来做什么，那么他就不能设计出用于公司内部的应用程序。因此，软件架构师
需要了解公司的业务和技术背景，以确保开发的软件能够满足组织的需求。
重要的是要认识到，在组织的安全策略中列出的规则必须支持所有应用程序代码、操作系统安
全内核、计算机 CPU 提供的硬件安全。如果要成功实施安全，必须确保安全能被集成到组织和技
术的每个层面。因此，一些架构框架涵盖的公司功能范围较大，从业务过程层面一直到组件在应用
程序中的工作方式。必须详细理解以上这些相互作用、相互依存的关系。否则，会出现以下情况：
开发错误的软件，购买错误产品，最终导致互操作性问题的增多，软件也仅能支持企业的部分业务。
做一个形象比喻，企业和系统架构的关系类似于太阳系和单个行星之间的关系。太阳系是由行
星组成的，就像一个企业是由系统组成的。把太阳系作为一个整体去理解单个行星上土壤补偿、大
气层等的复杂性也是非常困难的。每个观点(太阳系与行星)都有其重点和作用。当看企业与系统架
构时，原理是类似的。企业的观点是看整体，而系统的视角则是看组成整体的各个部分。
企业架构：可怕的野兽
如果没有接触过这些企业架构模型而且感到有些混乱，也不必担心，这种现象很常见。由于企
业架构框架是一个了不起的工具，可以用于理解和帮助控制组织内所有复杂的事务，所以安全行业
仍在完善这类架构的使用。大多数企业制定策略后重点研究技术以求加强这些策略，直接略过了企
业安全架构开发的全过程。这主要是因为信息安全领域仍然在探索学习如何从 IT 部门脱离出来并融
入既定的企业环境。由于安全和业务的联系日益密切，这些企业框架看起来就不会那么抽象和陌生
了，反而将成为卓有成效的好工具。

1.4.3 安全控制开发
到目前为止，已经有了 ISO/IEC 27000 系列，其中概述了组织安全规划的必要组成部分。也有
了企业安全架构，以帮助汇总安全规划中所列出的要求，并将之集成到公司现有业务结构中。现在，
关注一下要落实到位的控制目标，以达成安全规划和企业架构所列出的目标。
COBIT
COBIT(Control Objectives for Information and related Technology，信息及相关技术的控制目标)
是一组由国际信息系统审计与控制协会(ISACA)和 IT 治理协会(lTGI)制定的一个用于治理与管理
的框架。这个框架通过平衡资源利用率、风险水平和效益实现来帮助组织优化它们的 IT 价值。为
此，需要明确地把利益相关者驱动因素与利益相关者需求联系起来，并且把组织目标(为了满足那
些需求)与 IT 目标(为了实现或支持组织的目标)联系起来。COBIT 是一种基于五个关键原则的整
体方法：
(1) 满足利益相关者的需求
(2) 企业端到端的覆盖
(3) 应用一个独立整体框架
(4) 使用一个整体的方法
(5) 将治理与管理相分离
COBIT 中的每项内容都是通过一系列“自上而下”的目标转换，最终与各利益相关者联系。在
IT 治理或管理的任何节点上，我们都应该问“我们为什么要这样做？”这样的问题，并且我们要引
导到一个和企业目标相联系的 IT 目标，这个企业目标也相应联系着一个利益相关者的需求。COBIT
设定了 17 个企业目标和 17 个相关的 IT 目标，以确保我们在决策过程中能够考虑到所有维度，而不
是凭空猜测。
这两套“17 个目标”既各不相同又相互联系。因为在治理和管理两个维度上我们明确地把企业
目标和 IT 目标联系了起来，所以这“17 个目标”能够确保我们达成“企业端到端覆盖”这一第二
个原则。“17 个目标”也能帮助我们将一个独立整体框架应用到组织中，这就是第三个原则。这“17
个目标”是从许多大型组织的共性(或是通用特性)中被抽象出来的。这样来分析的意图是为了使用
一个整体的方法，这也正是 COBIT 中的第四个关键原则。
COBIT 框架包括企业治理和管理，但也有所区别。这两者之间的不同之处在于：治理是一套高
级流程，旨在平衡利益相关者的价值主张；而管理则是实现企业目标的一系列活动。简单来说，你
可以认为治理是 C 字头的管理者所做的事，而管理则是其他的组织领导者所做的事。图 1-6 说明了
COBIT 如何组织和定义这 37 种治理和管理流程。
在行业中，目前使用的大部分安全合规性审计实践都是基于 COBIT 的。所以，要使审计师高
兴，并顺利通过合规性评估，你就应该学习、实践并实现 COBIT 中列出的控制目标，这被认为是
行业的最佳实践。
对于组织内领导者所要做的事，图 1-6 说明了 37 个由 COBIT 定义的治理和管理流程是如何组
成的。

提示：
在安全行业，许多人错误地认为，COBIT 纯粹以安全为目标，但现实中，它涉及信息技
术的各个方面，安全性只是它的一个组成部分。COBIT 是一套实践，可以遵循它来进行
IT 治理，它要求有正确的安全实践部分。
NIST SP 800-53
COBIT 包含私营部门使用的控制目标，但当涉及联邦信息系统和组织的控制时，美国政府有其
自己的一套要求。
NIST(美国国家标准与技术研究所)是美国商务部的一个非监管机构，它的使命是“通过推进测
量科学、标准和技术的方式促进美国的创新和产业竞争力，提高经济安全，改善生活质量”。
NIST 负责制定的标准之一被称为 Special Publication(特别发表刊物)800-53，“针对联邦信息系
统和组织的安全性和隐私控制”。其中概述了机构要部署的控制，以符合 Federal Information Security
Management Act of 2002(联邦信息安全管理法案 2002，FISMA)。表 1-4 列出了本次发布中所讨论的
控制类别。
表 1-4 NIST SP 800-53 控制类别

(续表)

这些控制类别(系列)是为信息系统准备的管理、运营和技术控制，用来保护系统及其信息的可
用性、完整性和机密性。
就像是在商业领域，审计人员按照 COBIT 为他们提供的“检查列表”方式，用面向商业的规
则来评估一个组织的法规遵从性，政府审计人员使用 SP 800-53 作为“检查列表”方式，以确保政
府机构能够符合面向政府的规则。虽然这些控制目标检查列表(COBIT 与 SP 800-53)不一样，但它们
仍有很多部分重叠，因为不管它们处于什么类型的组织，都需要以类似的方式保护系统和网络。
考试提示：
在 CISSP 考试中，控制分类可能令人疑惑。有时候，它会提出行政、技术和物理的分类，
而有时它提到管理、技术和操作控制的分类。考试本身并不矛盾。商业部门使用前者的
分类，而政府导向的安全标准则使用后者的分类，因为历史上政府机构和军事单位在保
护资产方面具有更多的 IT 操作关注点。
COSO 内部控制——综合框架
COBIT 派生于 COSO 内部控制整合框架，是由反欺诈财务发起组织委员会(Committee of
Sponsoring Organizations，COSO)于1985年开发的，用来处理财务欺诈活动并汇报。COSO 的 IC 框
架于1992年首次被发布，并在2013年进行了最近的一次更新。它确定了17个内部控制原则，并被归
纳为五套内部控制组件，具体内容如下：
控制环境：
(1) 展示对完整性和道德价值观的承诺
(2) 行使各种监督责任
(3) 建立结构、权威和责任
(4) 展示承诺的能力
(5) 实施问责制
风险评估：
(6) 指定合适的目标
(7) 识别与分析风险
(8) 评估欺诈的风险
(9) 识别与分析重大的变更
控制活动：
(10) 选择与制定各种控制活动
(11) 选择与制定各种通用的技术控制
(12) 通过各种政策和流程进行部署
信息和通信：
(13) 使用相关的质量信息
(14) 内部沟通
(15) 外部沟通
监控活动：
(16) 进行各种持续性的和/或独立的评估
(17) 评估与沟通各种不足之处
COSO IC 框架是一个企业治理模型，而 COBIT 是一个 IT 治理模型。COSO IC 处理的更多是战
略层的事情，而 COBIT 更关注操作层面。你可以将 COBIT 视为满足许多 COSO 37 目标的一种方式，
但是只能从 IT 角度来看。COSO IC 还处理非 IT 事项，如公司文化、财务会计原则、董事会职责以
及内部沟通结构。COSO IC 是为了向全美反欺诈财务发起组织委员会(这是一个研究虚假财务报告
及其诱发因素的组织)提供资助而形成的。
关于欺诈问题，20 世纪 70 年代已经有法律出台，明确规定一个公司编造账簿(人为操纵自己的
收入和盈利报告)是违法行为，但是直到 2002 年，萨班斯-奥克斯利法案才真正成为强制执行的法律。
SOX 是美国联邦法律，除了其他规定之外，还包括如果公司向证券交易委员会(Security Exchange
Commission，SEC)提交虚假的会计报告被发现，则可以让高管坐牢。SOX 是基于 COSO 模型的，
到目前为止，符合 SOX 的公司必须遵照 COSO 模型。企业普遍实施了 ISO/ IEC 27000 标准和
COBIT，以帮助建立和维护内部 COSO 结构。
考试提示：
CISSP 考试不包括 FISMA 和 SOX 中的具体法律，但它涵盖了安全控制模型框架，如 ISO
/ IEC 27000 系列标准、COBIT 和 COSO。
1.4.4 流程管理开发
确保部署了适当的控制后，还希望以结构化和可控的方式构造和完善业务、IT 和安全过程。可
以认为安全控制是“工具”，过程则是如何使用这些工具。我们要正确、有效、高效地使用它们。
ITIL
ITIL(Information Technology Infrastructure Library，信息技术基础设施库)由英国政府中央计算机
与电信管理中心(在 20 世纪 90 年代后期被英国政府商务部办公室或 OGC 并入)在 20 世纪 80 年代开
发。它现在由 Axelos 控制，Axelos 是英国政府和私人公司 Capita 共同成立的合资企业。ITIL 是 IT
服务管理最佳实践的事实标准。ITIL 的产生源于业务需求对信息技术的依赖不断增加。遗憾的是，
如前所述，大多数组织中的业务人员和 IT 人员之间存在着天然的鸿沟，因为他们在组织中使用不同
的术语，有不同的侧重点。由于彼此所在领域(业务和 IT)之间缺乏共同语言和相互理解，许多公司
不能合理有效地融合他们的商业目标和 IT 职能。通常，这会产生混乱、沟通不顺畅、错过最终期限、
机会流失、增加时间和劳动成本以及导致业务和技术部门员工的情绪沮丧。ITIL 是以一系列书籍或
在线形式提供可定制框架。它提供了目标、实现这些目标需要的一般活动，以及要满足既定目标的每
个过程的输入和输出值。虽然 ITIL 拥有处理安全的组件，但其重点倾向于 IT 部门及其所服务的“客
户”之间的内部服务水平协议，“客户”通常是指组织内部部门。图 1-7 所示为 ITIL 的主要组件。
持续过程改进
供应商管理
服务层级管理 服务目录管理
可用性管理
配置管理
系统
服务
服务 转换
运营
服务战略
ITIL
服务设计
事故管理
事件管理
问题管理
变更管理
知识管理
发布与部署
管理
服务测试
与验证

图 1-7 ITIL 的主要组件
六西格玛
六西格玛是一种过程改进方法论，也是一种“新的和改进的”全面质量管理(Total Quality
Management，TQM)，它曾在 20 世纪 80 年代轰动了业务部门。它的目标是通过使用测量运营效率，
减少变异、缺陷和浪费的统计方法来实现过程质量的改善。某些情况下，安全保障行业用六西格玛
来度量不同的控制措施和过程的成功要素。六西格玛是由摩托罗拉公司开发的，其目标是在生产过
程中识别和消除缺陷。西格玛层级描述了过程的成熟度——它代表着过程中包含缺陷的百分比。在
运用于生产时，六西格玛已经被应用到多种类型的业务功能中，包括信息安全和保证。
能力成熟度模型集成
能力成熟度模型集成(Capability Maturity Model Integration，CMMI)由 Carnegie Mellon 大学为
美国国防部开发，以此作为确定组织流程成熟度的一种方式。在第 8 章将深入讲解这个模型，但这
个模型也可以用在组织内，帮助组织铺平持续改进之路。
虽然知道需要使安全规划更好，但这并不总是很容易做到，因为“更好”是一个模糊和不可计
量的概念。可以真正得到提高的唯一方法是：知道从什么地方开始，需要到什么地方，以及需要在
这两者之间采取的步骤。正如图 1-8 所示，每个安全规划都有成熟度级别。在 CMMI 模型里的每个成
熟度等级代表一个改进阶段。有些安全规划是混乱的、临时的、不可预测的，而且通常是不安全的。
有些安全规划创建了文档，但在实际过程中并没有发生：而一些安全规划却十分先进、精简和高效。

考试提示：
与 ITIL 和六西格玛相比，CISSP 考试更加重视 CMMI，因为它已在安全行业中得到广泛
使用。
安全规划开发
没有一个组织打算把前面列出的所有标准及架构框架(ISO/IEC 27000、COSO IC、Zachman 框架、
SABSA、COBIT、NIST SP 800-53、ITIL、六西格玛、CMMI)都能部署上。它们是很好的工具箱，
打开它，会找到一些更适合所在组织的工具。还会发现当所在组织的安全规划日趋成熟时，这些不
同的标准、框架和管理组件会在哪里发挥作用。虽然这些标准和框架都是独立和独特的，但是对于
任何安全规划和相应的控制，它们都是要建立的基本内容。这是因为无论它们被部署在公司、政府
机构、企业、学校还是非营利组织中，安全的基本原则都是通用的。每个组织实体都是由人员、流
程、数据及技术组成的，这些元素都需要得到保护。
CMMI 的关键是开发出可以遵循的结构化步骤，依据它，组织就可以从一个层次升级到下一个
层次，并能不断改进流程和安全态势。安全规划包含了很多元素，但如果期待所有组件在部署第一
年都被恰当地实施是不现实的。某些组件(如取证能力)在一些基本工作(如事件管理)建立起来前，是
不可能部署到位的。这正像想让小孩学会跑步之前，必须列出学习走路的方法一样。
自顶向下的方法
安全规划应使用自顶向下的方法，这意味着启动、支持和方向都来自高层管理人员：中层管理
人员传达高层意图，最后下达到一线工作人员。与此相反，自底向上的方法是指工作人员(通常是 IT
人员)在没有得到足够的管理支持和指导的情况下，开发安全规划。自底向上的方法通常是彻底无效
的，而且没有全面解决所有的安全风险，最后注定是要失败的。自顶向下的方法确保人们真正保护
公司的资产，它由高级管理人员驱动。高级管理人员不仅要最终负责保护组织，而且有必要的资金
财政大权，有权分配所需要的资源，并且是唯一可以保证安全规则和策略真正执行的人。管理层的
支持是安全规划最重要的部分之一。简单的点头和眼神交流不会提供安全规划所需要的支持。
虽然这些不同的安全标准和框架的核心是相似的，重要的是要理解安全规划都具有不断循环的
生命周期，因为应该经常对其进行评估和改进。任何进程中的生命周期都可以用不同的方式描述。
通常使用下面的步骤：
(1) 计划和组织
(2) 实现
(3) 操作和维护
(4) 监控和评估
如果安全规划和安全管理没有使用生命周期方法来维护程序，组织注定只是像对待另一个项目
那样对待安全。任何被视为项目的东西都有开始日期和结束日期，并且在到达结束日期时每个人都
被分散到其他的项目中。许多组织都雄心勃勃地开始安全计划，但由于没有实现正确的结构以确保
安全管理的持续进行和不断改进，结果造成多年来不停地启动和停止。重复性的工作花费比本应该
的工作花费多很多，但效果却降低。
以下提供的是每个阶段的主要组件。
计划和组织
● 建立管理承诺
● 建立监督指导委员会
● 评估业务驱动
● 开发组织的威胁配置文件
● 进行风险评估
● 在业务、数据、应用程序及基础设施层面开发安全架构
● 确定每个架构层面的解决方案
● 获得管理层的批准后向前发展
实施
● 分配角色和职责
● 开发和实现安全策略、措施、标准、基线和指南
● 识别静态和传输中的敏感数据
● 实现下列蓝图：
• 资产识别和管理
• 风险管理
• 脆弱性管理
• 合规
• 身份管理和访问控制
• 变更控制
• 软件开发生命周期
• 业务连续性计划
• 意识教育和培训
• 物理安全性
• 事件响应
● 每个蓝图的实现解决方案(管理、技术、物理)
● 为每个蓝图开发审计和监控解决方案
● 为每个蓝图建立目标、服务水平协议(SLA)和度量指标
运营和维护
● 遵循程序，以确保在每个已实现的蓝图中满足所有基线
● 进行内部和外部审计
● 执行每个蓝图所述的任务
● 管理每个蓝图的服务水平协议(SLA)
监测与评估
● 审查日志、审计结果、收集的度量值和每个蓝图的服务水平协议(SLA)评估每个蓝图的目标
完成情况
● 每季度与指导委员会开会
● 制定改进步骤，并融入计划和组织阶段
上面列出的许多项都贯穿在整本书中。提供的列表展示了所有这些项如何以有序和可控的方式
推进。
虽然前面介绍的标准和框架非常有用，但它们的级别非常高。例如，如果一个标准简要地指出
一个组织必须确保其数据的安全，将需要投入大量的工作。这就是安全专业人员为开发安全蓝图卷
起衣袖大干一场的地方。为特定业务需求识别、开发和设计安全需求时，蓝图成为重要工具。如果
组织基于管理责任、业务驱动和法律义务提出了自己的安全需求，则必须定制蓝图以满足这些需求。
例如， Y 公司有数据保护策略，其安全团队也已经开发了该公司应遵循的数据保护战略的标准和程
序。这时，就需要设计出更加细化的蓝图、必要的过程和组件来满足策略中所述的要求、标准和需
求。其中，至少包括一张公司网络的示意图。
● 敏感数据存放在网络的什么位置
● 敏感数据跨越的网络分段
● 为保护敏感数据而采用不同的安全解决方案(如 VPN、TLS 和 PGP)
● 共享敏感数据的第三方连接
● 为第三方连接采用的安全措施
● 等等……
要开发和遵循哪些蓝图取决于组织的业务需求。例如，Y 公司要使用身份管理，那么必须要有
一个蓝图勾勒出角色、注册管理、授权来源、身份信息库和单点登录解决方案等。如果 Y 公司不使
用身份管理，就没有必要为此建立蓝图。
因此，蓝图需要列出安全解决方案、过程和组件，供组织用于满足自身的安全和业务需求。蓝
图必须应用在组织内不同的业务部门中，例如，在不同部门实行身份管理都应遵循绘制好的蓝图。
在整个组织中遵循统一的蓝图，将方便实施标准化，更容易进行度量指标收集和治理工作。图 1-9
说明了开发安全规划时，蓝图会在哪里发挥作用。
战略一致性
战略业务
驱动 IT 战略
安全效率
业绩仪表盘
法律/法规要求
期望的风险状况
安全战略和策略
业务支撑 过程优化
周 边 网 络
内 部 网 络
应 用 系 统
设 施
专 门 的 架 构
系统
开发
生命
周期
项 目 管 理
变 更 控 制
生 产 准 备
架 构 标 准
服 务 台
事 件 响 应
合 规
行业和
业务标准
隐私蓝图
身份管理蓝图
应用程序完整性蓝图
日志记录、监控和报告
系统和网络基础设施
物理和环境
信息和资产基准
基础设施蓝图
业务连续性蓝图
管理蓝图
安全基础
ISO/IEC
17799
适用的
最佳实践

为将这些紧密联系在一起，可以考虑 ISO/IEC 27000，它主要在策略层工作，就像说明想建造的
房屋的类型(牧场式、5 间卧室和 3 间浴室)。企业安全框架像是房子的建筑布局(基础、墙壁和天花
板)。蓝图好比房子特定组件(窗户类型、安全系统、电气系统和管道等)的详细说明。控制目标好比
为保障安全而规定的建设规范和条款(包括电气接地、布线、建材、保温和防火等)。建筑检查员将
使用他的检查列表(建筑规范)以确保安全地建造自己的房子。这就如同审计师用他的检查列表
(COBIT 或 SP 800-53)确保安全地建立和维护安全程序。
一旦房子建成，你的家人就会搬进去，将会设置时间表和日常生活的流程，这些事情的发生是
可预见的，而且是高效的(如爸爸接孩子放学，妈妈做饭，大一点的孩子洗衣服，爸爸支付账单，每
个人都做院子里的工作)。这类似于 ITIL——流程管理和改进。假如家庭由一些优秀工作人员组成，
而他们的目标是尽可能高效地优化日常活动，因此很可能会采纳六西格玛方法，该方法以持续过程
改进为重点。
1.4.5 功能与安全性
任何一个参与安全计划的人都能理解，在保障组织信息安全和提供必要的功能性之间需要平衡，
只有这样才不会影响生产效率。在许多安全项目启动之初，往往有一个常见的场景：项目负责人清
楚想要达到的最终结果，而且对于如何快速、高效地部署安全方案有很理想化的想法，但是他们跟
用户协商失败了，因为用户认为自己会被限制和束缚。在用户听到约束条件后，会通知项目经理，
如果按照安全计划实施，他们将无法完成某些部分的工作。这通常会导致该项目紧急刹车而停止运
转。项目经理必须重新开展可行性评估、评价以及规划如何循序渐进地保护组织环境，如何巧妙地
让用户和任务接受新的安全约束和业务。在规划阶段，如果与用户沟通失败或用户没有充分了解业
务流程，则会造成许多麻烦，浪费时间和金钱。安全管理活动的负责人必须认识到，他们需要理解
环境，并在开始安全规划实施阶段之前做好充分的计划。
1.5 计算机犯罪法的难题
由于组织不希望看到不幸的事情再次发生，因此前几节中详细讨论了模型和框架。这是非常有
意义的，如果你在自己的房子里有一些你不喜欢的东西，你就会找出一种有效和可复制的方法来纠
正它。有时，这些不幸的事情是如此糟糕，以至于它们迫使整个社会制定法律，来阻止或惩罚那些
做这些事情的人。这就是制定计算机犯罪法的原因。令人遗憾的是，这些法律往往落后于用于实施
犯罪的技术十几年甚至几十年。尽管如此，全球各国政府仍取得了重大进展，就像我们在本节所讨
论的。
全世界的计算机犯罪法律(有时称为网络法律)都处理一些核心问题：未授权的修改或破坏，泄
露敏感信息以及使用恶意软件。
虽然我们通常只在犯罪过程中才想到受害者和他们的系统，但是人们已经制定出法律来打击 3
种类型的犯罪。计算机辅助犯罪(computer-assisted crime)是指使用计算机作为工具来帮助实施犯罪。
针对计算机的犯罪(computer-targeted crime)是指计算机成为专门针对它们(及其所有者)进行攻击的
受害者。在最后一种犯罪中，计算机不一定是攻击者或被攻击者，只是在攻击发生时碰巧涉及其中，
这种攻击称为“计算机牵涉型攻击(computer is incidental)”。
下面列出了计算机辅助犯罪的一些示例：
● 攻击金融系统，盗窃资金与敏感信息。
● 通过攻击军事系统获取军事和情报材料。
● 通过攻击竞争对手，从事工业间谍活动并收集机密的商业数据。
● 通过攻击重要的国家基础设施系统来展开信息战。
● 从事激进主义活动，即通过攻击政府或公司的系统或者修改网站来表达抗议。
针对计算机的犯罪包括下面的示例：
● 分布式拒绝服务(Distributed Denial-of-Service，DDoS)攻击。
● 捕获密码或其他敏感数据。
● 安装恶意软件造成破坏。
● 安装 rootkit 和嗅探器以达到恶意目的。
● 实施缓冲区溢出攻击以控制一个系统。
注意：
计算机犯罪法律解决的主要问题包括：未授权的修改、泄露、破坏或访问，以及插入恶
意程序代码。
在计算机辅助犯罪和针对计算机的犯罪这两种攻击之间，通常存在一些易混淆情况，因为直觉
上似乎任何攻击都属于这两类攻击。对一个系统正在实施攻击时，而其他系统已经遭受到了攻击。
不同之处在于：在计算机辅助犯罪中，计算机仅是一个工具，用于实施传统的犯罪。没有计算机，
人们仍然能够实施盗窃、造成破坏、抗议公司的行为(如使用动物进行实验的公司)、获得敏感信息
以及开战。因此，这些犯罪无论如何都会发生，只是计算机变成恶意者的一个工具。此时，计算机
能够帮助恶意者更加有效地实施犯罪。计算机辅助犯罪往往被普通的刑法所覆盖，而且并非总是被
视为“计算机犯罪”。区分它们的关键在于，针对计算机的犯罪没有计算机就不可能发生；而不使用
计算机，仍然可以实施的则是计算机辅助犯罪。因此，针对计算机的犯罪在计算机普遍使用之前不
存在，也不会发生。换句话说，在过去，你无法对你的邻居实施缓冲区溢出攻击，也无法在敌人的
系统中安装恶意软件。这些犯罪都涉及计算机。
如果一项犯罪属于“计算机牵涉型攻击”，那么表示计算机以某种次要的方式牵涉其中，但这种
牵连仍然无关紧要。例如，如果你有一个在发行州立彩票的公司工作的朋友，他给了你接下来的 3
个中奖号码的打印输出结果，你将这些号码输入自己的计算机，那么此时你的计算机就只是存储空
间。你也可以只保存这张纸，而不是将号码输入计算机。因此，如果一项犯罪属于这种类型，那么
计算机没有攻击其他计算机，计算机也没有受到攻击，但是计算机仍然以某种重要的方式参与了
犯罪。
你可能会说：“那又怎么样呢？犯罪就是犯罪，为什么要将它们分成这些类别呢？”创建这些类
别的原因在于，它允许我们将当前的法律应用于这些类型的犯罪，哪怕它们发生在数字世界中。假
设有人只是浏览了你的计算机而没有造成破坏，但他本来不应这样做。那么，立法部门是否应制定
一部新法律以规定“你不得浏览其他人的计算机”，或者只是应该应用现有的侵犯性法律呢？如果一
名黑客侵入某个系统，使所有的交通灯同时变绿，那么又该如何处理呢？政府应该为这种行为制定
新法律展开辩论，或者法院应该使用已经制定(并为人们所理解)的过失杀人和谋杀罪法律？需要记
住的是，犯罪就是犯罪，计算机只是用于实施传统犯罪的新工具。
但是，这并不意味着各国通过依赖书本上的法律，就能使每一种计算机犯罪都受到现有法律的
打击。许多国家不得不制定专门针对不同类型的计算机犯罪的新法律。例如，美国已经制定或修订
了下面这些法律来打击各种计算机犯罪：
● 18 USC 1029：Fraud and Related Activity in Connection with Access Devices
● 18 USC 1030：Fraud and Related Activity in Connection with Computers
● 18 USC 2510 等：Wire and Electronic Communications Interception and Interception of Oral
Communications
● 18 USC 2701 等：Stored Wire and Electronic Communications and Transactional Records Access
● 数字千年版权法案(Digital Millennium Copyright Act)
● 2002 年网络安全强化法案(Cyber Security Enhancement Act of 2002)
考试提示：
你不需要为 CISSP 考试而了解上述法律，它们只是一些示例。
1.6 网络犯罪的复杂性
因为我们有一大批法律来打击数字犯罪，所以这预示着我们已经完全控制了网络犯罪，对吗？
然而，黑客行为、破译和攻击活动不仅在逐年增加，而且不会很快消除。有几个问题说明了为
何这些活动没有得到完全阻止或抑制，它们包括正确识别攻击者、对网络采取的必要保护级别、成
功地对被捕的攻击者提起上诉。
大多数攻击者从未被捕，因为他们伪造了自己的地址和身份，并使用各种方法来掩盖自己的痕
迹。许多攻击者侵入网络，提取他们寻找的任何资源，然后清除追踪其活动和行为的日志。因此，
很多公司并不知道自己已被入侵。即使攻击者的活动触发了入侵检测系统(Intrusion Detection
System，IDS)报警，IDS 会警告公司某个特定的脆弱性被攻击者所利用，但是它往往无法查明攻击
者的真实身份。
在攻击受害者之前，攻击者常常会跳跃几个系统，因此追踪他们显得更加困难。许多此类罪犯
使用无辜者的计算机来代替他们实施犯罪。攻击者会使用下列各种方法在一台计算机上安装恶意软
件：电子邮件附件、用户从某个网站下载的木马、利用安全脆弱性等。恶意软件被安装后，它将处
于休眠状态，直至攻击者告诉它攻击哪些系统、何时实施攻击。这些被攻破的计算机称为僵尸；在
它们上面安装的软件称为僵尸程序；当攻击者控制几个被攻破的系统时，这就形成了僵尸网络。僵
尸网络可用于实施 DDoS 攻击，传播垃圾邮件或色情图片，或者实施攻击者所希望僵尸程序进行的
任何攻击。
当地执法部门、FBI 和美国联邦经济情报局都被要求调查一系列的计算机犯罪。虽然这些机构
致力于培训人员来确定和追踪计算机罪犯，但是从总体来说，它们在技巧和工具上仍远远落后于这
个时代，并且黑客主动攻击的网络也比它们保护的网络多得多。由于攻击者使用的是自动化工具，
因此他们能够在很短的时间内实施多次严重的攻击。当执法部门接报之后，他们使用各种手动方式
检查日志、约谈人员、调查硬盘、扫描脆弱性，并设置陷阱以防攻击者再次发起攻击。每个机构只
能配备少量人员来调查计算机犯罪，而这些人员所掌握的专业技能根本无法与许多黑客相比。因此，
许多攻击者从未被发现，更不用说被起诉。
实际上，只有少数法律专门涉及计算机犯罪，这使得成功起诉被捕的攻击者面临更大的挑战。
通常，许多受到伤害的公司只希望确保攻击者所利用的脆弱性得到修复，而不愿花时间和金钱来追
捕与起诉攻击者(图1-10列出了大多数常见业务相关的破坏)。这是使得网络罪犯逍遥法外的主要原
因。根据法律要求，某些管理组织(如金融机构)必须报告违法事件。然而，大多数组织并不报告违
法或计算机犯罪事件。没有任何公司希望将自己的丑事向社会公开。否则，客户、股东和投资者将
对其失去信心。由于多数计算机犯罪都没有被报告，因此我们无法得到确切的统计。
哪些网络风险是造成经济损失的主要原因？
信誉丢失
业务中断
由于客户数据丢失而造成的损失
知识产权(IP)/商业秘密的损失
监管机构的后续要求
网站停机
通知的费用
勒索
其他

尽管法律、法规和攻击有助于使高级管理层更加意识到安全问题，但这些不一定构成他们关心
安全的动机。如果他们的公司出现在报纸头条，指出他们如何失去对 10 万多个信用卡号码的控制，
那么安全就会变得至关重要了。
警告：
虽然根据法律规定，金融机构必须报告安全违规和犯罪事件，但是并不表示它们都会遵
守这些法律。像其他许多组织一样，这些组织常常只是修复脆弱性，然后将受攻击的整
个细节掩盖起来。
1.6.1 电子资产
数字世界给社会带来的另一类复杂性，表现在定义需要保护哪些资产、进行到何种保护程度的
复杂性上。在商业世界中，我们需要保护的资产已经发生了改变。15 年前，许多公司希望保护的资
产是有形资产(设备、建筑物、制造工具和库存)。如今，公司必须将数据添加到它们的资产表中，
而且数据通常位于这个列表的最顶端，它们包括：产品蓝图、社会安全号、医疗信息、信用卡号码、
个人信息、商业秘密、军事部署及策略等。虽然军方必须始终确保其信息的机密性，但它们需要控
制的秘密并没有太多的进入点。公司仍然面临挑战，不仅需要保护数字格式的数据，而且需要定义
何为敏感数据以及保存这些数据的位置。
注意：
在许多国家，为有效地打击计算机犯罪，立法机关已经放宽了对财产的定义，并将数据
包括在内。
许多公司都发现，保护无形资产(如数据、声誉)比保护有形资产要困难得多。
1.6.2 攻击的演变
我们从无所事事、有太多空闲时间的青少年时代，走到了有组织犯罪的时代，目标确定，方向
明确。大约几十年前甚至更早以前，黑客主要由享受攻击刺激的人构成。黑客活动被视为一项挑战
性的游戏，而且没有任何伤害企图。过去，攻击者攻破大型网站(Yahoo!、MSN、Excite)的目的是登
上新闻头条，并在黑客同行之间炫耀。之后，病毒创作者编写出了不断复制或执行某种无害行为的
病毒，尽管他们本可以实施更加恶意的攻击。但是，今天这些趋势已经呈现更加险恶的目的。
尽管还是有以黑客攻击作为乐趣的脚本小子(script kiddie)和其他人存在，但有组织犯罪已经出
现在人们的视野中，并且显著加大了所造成损失的严重程度。过去，脚本小子会扫描成千上万个系
统，以寻找某个可供利用的特殊脆弱性。无论这个系统在公司网络中，还是一个政府系统或家庭用
户系统，都没有什么不同。攻击者只是想利用这个脆弱性，在它所在的系统和网络上“玩耍”。然而，
今天的攻击者并没有如此吵闹，他们肯定不希望引起任何注意。这些有组织罪犯出于特殊的原因而
寻找特定的目标，而且往往受利益驱使。它们尝试实施攻击，并保持隐秘，从而截获信用卡号、社
会安全号和个人信息来进行欺诈和身份盗窃。图 1-11 显示了利用所盗窃信息的各种方式。

注意：
脚本小子是黑客，但是如果他们没有得到互联网上和通过朋友提供的工具，他们就不一
定具备进行特定攻击的技能。由于这些人不一定了解攻击的实际细节，他们很可能不了
解造成的破坏程度。
许多时候黑客只是扫描系统，寻找正在运行的脆弱服务或者在电子邮件中发送恶意链接给毫无
防备的受害者。他们只是在试图寻找可以进入任何网络的方法。这是针对网络的一种漫无目的的攻
击方法。此外，更危险的攻击者已经瞄准了你，他决心找出你的弱点，然后对你为所欲为。
打个比方，那种逛来逛去、挨个试试门把手、看看哪个没上锁的窃贼，远远不如那种整天观察
着你进进出出、研究你的活动规律、在哪里工作、开什么牌子的车、家人有谁并耐心等待着你最薄
弱时成功进行致命袭击的人危险。
在计算机界，称第二类攻击者为高级持续性攻击(Advanced Persistent Threat，APT)。这是一个军
事上使用了很多年的术语，但是，数字世界越来越像战场，所以这个术语也变得越来越贴切。APT 不
同于普通攻击者的地方在于 APT 往往是一群攻击者，而不是一个黑客，他们既有知识又有能力，寻
找一切可以利用的途径进入他们正在寻找的环境。APT 非常专注和积极，可以主动且成功地利用各
种各样不同的攻击方法渗入网络，然后在环境中站稳脚跟之后便悄悄隐藏起来。术语中的“高级”
指 APT 具有广博的知识、能力和技巧。“持续性”指攻击者并不急于发起攻击，而是等到最有利的
时间和攻击方向才发动攻击，从而确保其行为不被发现。这被称为“低调且缓慢”的攻击。这类攻
击由人参与协调，而不是自动注入其负载的病毒类威胁。APT 目标明确且具体，往往组织周密、资
金充足，因此成为最大的威胁。
APT 通常是自定义开发的恶意代码，专门为目标而构建，一旦渗入环境，便有多种藏身方法，
它也可能自我复制，成为多形体，拥有几个不同的“锚”，所以即使被发现，也很难被消灭。一旦该
代码被安装，通常建立隐蔽的后台通道(和普通的僵尸一样)，这样攻击者本人可以远程控制它。这
种远程控制功能使攻击者可以遍游网络，不断地访问关键资产。
APT 渗透通常很难用主机型解决方案检测出来，因为攻击者让代码经历了一系列测试，可以抵
挡市场上最新的检测应用程序的检测。检测这类威胁的常用方法是改变网络流量。当有来自主机的
新的网间实时聊天 IRC 连接时，便能表明这个系统有一个僵尸与其命令中心通信。因为今天的环境
中应用了好几种技术来检测这类流量，所以 APT 也可能有多个控制中心与之通信，这样，如果一个
连接被检测并移除，它还有一条活跃的通道可供使用。APT 可能实现一些虚拟私有网络连接(VPN)，
这样其在传输过程中的数据不会被检测到。图 1-12 是 APT 活动常用的步骤和所造成的结果。
进入网络的办法无穷无尽(利用 Web 服务、诱惑用户打开电子邮件链接和附件，利用远程维护
账户来获取访问，利用操作系统和应用程序漏洞，破坏家庭用户的连接等)。每种脆弱性都有自己的
修复办法(补丁、正确配置、意识、适当的凭证实践和加密等)。不仅这些修复办法需要到位，还需
要充分有效地意识到形势。需要有更好的能力能够及时地判断出网络正在发生什么事情，这样才能
快速精准地抵御侵害。
我们的战场从“敲敲打打”型的攻击转到了“缓慢而坚决”型的攻击。就像军事进攻行为的变
化和变形一样，目标不断在变化，整个安全行业也必须跟上这种变化。
我们发现，以感染尽可能多的系统为目的而创建的病毒数量已经开始下滑。据估计，这些无害
的恶意软件行为将继续减少，而更加危险的恶意软件的数量则开始增加。这种更危险的恶意软件具
有更强的针对性，拥有更加强大的负载(通常是安装后门或僵尸程序，或者上传 rootkit)。
钓鱼和零日攻击 后门 横向运动 数据收集 泄露
几个用户成为两
个钓鱼攻击的目
标，一个用户打
开 了 零 日 负 载
(CVE-02011-0609)
用户计算机被一
个特定工具远程
访问
攻击者转而访问
重要用户、服务、
管理账户和特定
系统
从目标服务器获
取数据，从而进
入泄露阶段
数据通过 FTP 上
的加密文件被泄
露给位于托管服
务提供者的外部
受损计算机

常见的互联网犯罪骗局
● 拍卖欺诈
● 伪造出纳员的支票
● 清除债务
● 包裹快递电子邮件阴谋
● 就业/商业机会
● 信托付款服务欺诈
● 投资欺诈
● 彩票抽奖
● 尼日利亚信件欺诈或“419”
● 庞氏/金字塔骗局
● 转运骗局
● 第三方资金接收方骗局
要了解这些类型的计算机犯罪的实施方式，请访问 www.ic3.gov/crimeschemes.aspx。
因此，虽然攻击的复杂程度继续增加，但是这些攻击的危险性也不断增加。这样很好吗？
到目前为止，我们已经列出打击计算机犯罪所遇到的一些困难：互联网为攻击者提供的匿名性；
攻击者正组织起来实施更加复杂的攻击；法律体系正努力跟上这些犯罪类型；公司现在仅仅将数据
视为必须保护的资产。所有这些复杂性都对恶意攻击者有利，但是，如果面临发生在不同国家的攻
击，那么我们又该如何应对这种复杂性呢？
1.6.3 国际问题
如果乌克兰的一名黑客攻击了法国的一家银行，那么谁拥有这种案件的司法管辖权呢？这两个
国家如何联合起来，确定罪犯的身份并进行审判？应由哪个国家负责追踪罪犯？还有，应将这名罪
犯带到哪一国的法庭审判？现在，我们并不知道上述问题的答案。人们仍然在着手解决这些问题。
当计算机犯罪跨越边境时，这类问题的复杂性就会显著增加，将罪犯绳之以法的可能性也随之
降低。这是因为，不同国家的法律体系各不相同，一些国家没有与计算机犯罪有关的法律；司法管
辖权可能会引起争议；此外政府之间可能并不想彼此紧密合作。例如，如果某个伊朗人攻击以色列
的一个系统，那么你认为伊朗政府会帮助以色列追踪攻击者吗？可能会，也可能不会，也许这起攻
击本身就是由政府实施的。
在不同国家联合打击计算机犯罪方面，人们一直在努力确定一个统一的标准，因为跨越边境实
施计算机犯罪简直轻而易举。虽然印度的攻击者可通过互联网轻易向沙特阿拉伯的一家银行发送数
据包，但由于法律体系、文化及政治因素，因此很难有什么动力能促使这些国家联合起来打击犯罪。
你信任自己的邻居吗？
多数组织都不愿意承认这样一个事实，即敌人可能是内部人，在公司内部工作。人们自然而然
地会认为威胁是来自驻留在外部环境中的未知面孔。员工可以直接和优先访问公司资产，与从外部
实体进入网络的流量相比，他们不会受到足够多的监控。太多的信任、直接访问和缺乏监控等因素
结合起来，使得人们往往忽视来自内部的欺诈和滥用。
近年来，就有许多这样的犯罪案例发生，即公司的员工贪污挪用公款或者在被解雇或裁员后实
施报复性攻击。巩固防火墙保护免受外部力量的伤害固然重要，但认识到我们的内部更加脆弱也很
重要。因此要了解可直接访问公司关键资源的员工、承包商和临时工所带来的风险，并采取相应
对策。
欧洲理事会网络犯罪公约(Council of Europe Convention on Cybercrime)是针对网络犯罪而尝试
创建的一个国际性标准。事实上，它是第一个通过协调国际法和改善调查技术与国际合作来打击计
算机犯罪的国际公约。这个公约的目标包括形成一个框架，用于建立被告的司法裁判和引渡。例如，
只有双方裁决具体事件是犯罪时，才可能进行引渡。
许多公司每天都通过电子邮件、电话线、卫星、光缆和长途无线传输进行国际通信。因此，公
司必须研究不同国家关于信息流和隐私方面的法律，这一点非常重要。
与其他国家交换数据的全球性组织必须了解和遵守经济合作与发展组织(Organisation for
Economic Co-operation and Development，OECD)指导原则以及越境信息流规则。由于大多数国家定
义私有数据及其保护方法的法律各不相同，因此开展国际贸易和业务可能非常棘手，从而给国民经
济造成负面影响。OECD 帮助不同的政府展开合作，处理全球化经济所面临的经济、社会和管理挑
战。因此，OECD 为不同的国家提供指导原则，以对数据进行适当保护，使每个国家都遵守相同的
规则。
OECD 定义了下面 8 个核心原则：
● 收集限制原则 个人数据的收集应当受到限制，必须以合法和公正的方式获得，并且得到
主体的认可。
● 数据性质原则 保留的个人数据应当是完整的和当前的，并且与其使用目的相关。
● 目的说明原则 在收集个人数据时应当向主体告知原因，而且组织应该将收集的个人数据
仅用于指定目的。
● 使用限制原则 只有得到主体或法律权威机构的同意，个人数据才能够被泄露，可供使用，
或者用于上述陈述之外的其他目的。
● 安全防护原则 应当采用合理的防护措施来保护个人数据免受威胁，如丢失、未授权的访
问、更改以及泄露。
● 开放原则 与个人数据有关的开发、实践和策略应当开放交流。此外，主体应当能够容易
地确立个人数据的存在和性质、它的用法、身份以及组织保管这些数据的常规位置。
● 个人参与原则 主体应当能够发现组织是否拥有他们的个人信息以及信息的具体类型，能
够纠正错误的数据，能够质疑拒绝执行上述操作的请求。
● 可被问责原则 组织应当可被问责是否遵循了前几个原则所支持的措施。
注意：
要了解更多与 OECD 指导原则相关的信息，请读者访问网页 www.oecd.org/sti/ieconomy/
oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm。
虽然 OECD 是一个很好的开端，但要确定国际上打击网络犯罪的统一标准，人们还有很长的路
要走。
不了解或不遵守这些规则和指导原则的组织可能会遭到罚款与起诉，其业务可能会因此中断。
如果你的公司希望向全球扩张，那么最好雇用了解这类问题的法律顾问，以免公司陷入此类麻烦。
与世界上的其他许多国家相比，欧盟(European Union，EU)更加关注个人隐私，因此制定了更
严厉的私有数据法律，这些法律主要以欧盟隐私原则(European Union Principles on Privacy)为基础。
这组原则主要与使用和传输敏感数据有关，这些原则以及如何遵守这些原则都被包含在欧洲的数据
保护目录中。欧洲各国都需要遵守这些原则，任何想要与欧盟国家做生意的企业如果涉及敏感数据
交换，也需要遵照这些原则和数据保护目录。
相关机构建立了一个框架，规定美国公司应对欧洲隐私原则的方式，该框架称为安全港隐私原
则(Safe Harbor Privacy Principles)。如果非欧洲组织要与欧洲的组织有业务往来，并在往来期间交换
特定类型的数据，那么可能需要遵守安全港(Safe Harbor)要求。与美国和世界其他国家相比，欧洲国
家始终对保护隐私信息实施更加严格的控制。因此，在以前，如果美国公司和欧洲公司需要交换数
据，那么由于律师必须设法在不同的法律框架下展开工作，因此可能造成混乱和业务中断。为结束
这种混乱局面，建立了“安全港”框架，规定任何组织如果需要与欧洲组织交换隐私数据，那么必
须对数据加以保护。与欧洲公司合作的美国公司也因为更符合这个规则的要求而能够迅速高效地进
行数据交换。被视为“安全港”的必须满足的隐私数据保护规则如下：
● 通知 必须通知个人正在收集他们的数据以及将如何使用这些数据。
● 选择 个人必须能够拒绝数据被收集并转给第二方。
● 向外转移 仅允许向遵循充分数据保护原则的第三方组织转移数据。
● 安全 必须付出相应努力来防止丢失收集到的信息。
● 数据完整性 数据必须相关且可靠，符合收集目标。
● 访问 个人必须能够访问有关他们的信息，如果信息有误，可以修正或删除。
● 执行 必须采用有效方式方法来执行这些规则。
注意：
欧盟法院于 2015 年 10 月初裁定，由于美国情报部门可以掌握欧洲公民的数据，因此“安
全港协议”违反了隐私法。在撰写本书时，欧盟和美国为满足法院的要求正在重新谈判。
进出口法律要求
当组织试图与世界其他国家和地区的组织合作时，需要考虑的另一个复杂问题是进出口法律。
每个国家在涉及进出口的货品时都有自己特定的规定。现在有 41 个国家共同制定了下列货品的出口
规范：
● 1 类：特殊材料和相关设备
● 2 类：材料加工
● 3 类：电子产品
● 4 类：计算机
● 5 类：第一部分：电信
● 5 类：第二部分：信息安全
● 6 类：传感器和激光器
● 7 类：导航和电子设备
● 8 类：海上设备
● 9 类：航空航天设备及推进器

购买地址：

http://product.dangdang.com/25233883.html

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/26421423/viewspace-2219606/，如需转载，请注明出处，否则将追究法律责任。