The Open Group 安 全 指 南 安全架构实践的公理 与SABSA®Institute合作 作者 : John Sherwood 主编 : David Lohnes Stephen T. Whitlock 译者 : 张玉塞 审校 : 赵一凡 ® 安全架构实践的公理 版权所有© 2020, The Open Group The Open Group特此授权您可以将此文档用于任何目的，前提是您对此文档全文或其任何 部分的复制，必须在复制内容上保留此文档包含的所有版权信息及其他所有权声明。 此文档可能包含其他所有权声明及版权信息。 此文档中任何内容均不可被理解为以暗示、禁止反言或其他方式涉及到The Open Group 或 任何第三方组织的任何专利或商标相关的许可或权利的授予。除了以上明确申明，此文档中 任何内容均不可被理解为涉及到The Open Group所属版权的许可或权利的授予。 请注意此文档中提及的任何产品、流程或技术均有可能为The Open Group所保有知识产权 的主体，不得依据此文档而被授予许可。 此文档是“按现状”提供，没有任何形式的（不论是明示的，还是默示的）保证，包括对适销性、 适用于特定用途或非侵权性的默示保证。某些司法辖区不允许排除默示保证，故以上排除规 定可能对您不适用。 The Open Group的任何出版物均可能有不精当之处或刊误，故本组织可能对出版物进行定 期修订并将更正内容发布于出版物的新版本中。 The Open Group可能在不另行通知的情况 下，随时对其出版物中涉及的产品或程序进行完善或修改。 如读者就本文档内容提出问题、评论、建议等反馈信息，此类信息将被视为非保密信息。The Open Group对上述信息不承担任何保密义务，并可以不受任何限制地复制、使用此类信息 或向他人披露或分发此类信息。 此外，The Open Group可自由将此类信息中包含的任何观 点、理念、知识技能或技术方法用于各种用途，包括但不限于开发、制造及营销包含此类信息 的产品。 如您不是通过The Open Group获得此文档复本，您所持之文档可能并非最新版本。 为您方 便起见，请访问www.opengroup.org/library 或www.opengroup.org.cn/resources 下载最 新版本。 www.opengroup.org.cn The Open Group 指南 1 ArchiMate®, DirecNet®, Making Standards Work®, Open O® logo, Open O® 和Check Certifi- cation® logo, OpenPegasus®, Platform 3.0®, The Open Group®, TOGAF®, UNIX®, UNIXWARE®以及The Open Brand X® 标识为注册商标。Boundaryless Information FlowTM, Digi- tal Practitioner Body of KnowledgeTM, DPBoKTM, EMMMTM, FACETM, the FACETM logo, IT4ITTM, the IT4ITTM logo, O-DEFTM, O-HERATM, O-PASTM, Open FAIRTM, Open Platform 3.0TM, Open Process AutomationTM, Open Subsurface Data UniverseTM, Open Trusted Technology ProviderTM, SOSATM, Sensor Integration SimplifiedTM以及 the SOSATM logo为The Open Group 商标。 所有其他品牌，公司和产品名称仅用于识别，可能是其各自所有者的唯一财产的商标。 www.opengroup.org.cn The Open Group 指南 2 安全架构实践的公理 文档编号：G192 The Open Group于2020年7月出版。 与本文档所含材料相关的意见可提交至： The Open Group, Apex Plaza, ForburyRoad, Reading, Berkshire, RG1 1AX, United Kingdom 中国上海浦东新区花木路1388号商务中心三楼20室 或通过电子邮件发送至： ogspecs@opengroup.org apac@opengroup.org www.opengroup.org.cn The Open Group 指南 3 目录 6 介绍 8 公理1：业务风险驱动安全 公理2：场景 11 公理4：情报 15 14 公理3：范围 17 公理5：信任 20 公理6：整体分析 21 公理7：简洁性 28 公理8：重用 32 公理9：韧性 34 公理10：流程驱动 35 公理11：优化冲突解决 37 公理12：清晰的沟通 39 公理13：易用性 41 公理14：安全设计 44 公理15：优先级 45 公理16：设备主权 47 公理17：纵深防御 50 公理18：最小特权 www.opengroup.org.cn The Open Group 指南 4 公理19：访问管理 51 关于译者及审校 68 55 公理20：通信安全 69 致谢 70 参考文献 73 关于The Open Group www.opengroup.org.cn The Open Group 指南 5 介绍 安全架构实践的公理 网络安全是一门不断发展的学科。在本文的作者刚出生时，它（以及术语本身）还不存 在。数字时代的最后四十年带来了计算技术的广泛发明和激增，并为使用它们的组织带来 了巨大的新收益，同时也带来了严峻的新威胁。 对这些新出现的威胁采取应对措施的架构艺术已落到安全架构的从业者手中，并随着 该学科的发展以响应不断发展的技术和威胁，对长期从业者来说, 什么有效, 什么无效的永 恒主题已经浮现。 本文中的公理是从这些永恒主题中提炼而来的。它们是从该学科几十年的的安全架构 实践经验中提取出来的。无论数字技术和威胁如何继续发展，它们都具有广泛的适用性，并 将成为永不过时的宗旨。 本文的格式很简单。 公理被命名，然后每个公理都将以简明的形式进行陈述，并在每个陈述之后进行阐述 性和叙事性讨论，其中包括各种解释、说明和示例。包含这部分内容是为了增强公理整体的 教育意义。 公理之所以以这种形式准备和呈现，是因为该文档旨在为更广泛的受众，即任何对安 全架构的实践和原则感兴趣的人提供培训内容，特别是那些希望成为或愿意雇用安全架构 师的人。应当注意，根据说明性示例的场景，读者将遇到术语的某些互换性。我们在这里很 清楚，主题是安全架构，但是在某些情况下，它也可被称为信息安全架构或网络安全架构。 这不是错误，而是作者的故意决定。 你将在第一段中找到第一个示例。 这些公理试图捕捉经验丰富的安全架构师的一些想法，就像《孙子兵法》1中捕捉了那 些经验丰富的军事将军的想法一样。网络安全本质上涉及对抗性思维，而此处捕获的公理 受到了对抗性思维的影响。 1 请参阅https://en.wikipedia.org/wiki/The_Art_of_War www.opengroup.org.cn The Open Group 指南 6 这些公理是对完美的理想主义陈述。一般来说，它们并不是完全可以实现的，但是就像 遥远的灯塔一样，它们可以指导业务能力与服务的开发活动的方向。 虽然建议普遍采用这些公理中所映射的思想， 但业务承受能力、设计约束、技术可用 性、法规要求和其他约束将限制它们的使用范围。在认真考虑和分析了由于削弱公理的应用 而导致的风险变化之后，应该做出违反这些公理的决定，这通常会降低安全性。这种问题是 一个正常现象，并将在“公理11：最佳冲突解决”中解决。 这些公理从信息安全领域的诞生就以非正式的形式被普遍使用，一些来自Jericho Forum®的贡献，一些则来自SABSA®协会的贡献，另外一些则来自于其中包括作者的个人经 验。 敏锐的读者还会注意到，这些公理中有许多相互重叠或交织在一起，其总和要大于各 个部分。可以提出许多其他公理，但质量会随着数量的增加而降低，直到我们剩下越来越多 的常识。 这些公理是有序的，以便那些以业务为中心的公理被首先列出。之后则是本质上在技 术层面更具架构性的部分，在列表的后半部分中则更多地关注设计。因此，总体思路是从业 务性公理到技术架构性公理，再到设计性公理。但是，所有这些公理对于构建可承受现代商 业环境的复杂性及网络攻击和其他形式威胁商业活动安全的威胁的商业能力和服务都很重 要。 www.opengroup.org.cn The Open Group 指南 7 公理1：业务风险驱动安全 安全架构应通过最大化收益，与最小化损失来支持业务目标。 在传统定义上，信息安全已被理解为预防损失的一门学科，这是减轻某些风险的一种 手段。 尽管这是事实，但对于安全架构师而言，必须牢记的是，组织资产并不仅仅为了被保护 而存在；它们的存在是为了创造价值，在大多数情况下，利用资产创造价值意味着使该资产 面临风险。 安全专业人员（包括信息安全专业人员）必然会专注于可能的负面结果，而他们所保护 的人员（包括拥有数字资产的企业领导者）则专注于他们所追求的积极结果。为了提供最佳 的架构，安全架构师不仅需要从防止负面结果的角度看待他们对组织的贡献，而且还要从 积极结果的促成方面来看待它们。 信息安全的学科是新的，但是保护事物的艺术却是古老的，并且这种公理（如同许多优 秀的安全架构指导公理）着眼于于现实，这些现实甚至可以控制老式的物理安全其所发挥 的作用，同时在某种程度上也是风险管理的一部分。 物理安全领域的以下示例强调了这一点： 确保国家元首需要在风险和目标之间取得平衡。 国家元首是宝贵的公共资产，也是受特殊威胁的公共资产。近几十年来，许多国家元首 已成为暗杀的目标与受害者。 从约翰·肯尼迪（John F. Kennedy）到英迪拉·甘地（Indira Gandhi）到伊扎克·拉宾（Yitzhak Rabin） ，自1960年以来，已有50多名国家元首被法外暴力 杀害，而且任何的财富、技术进步或人口密度都无法使国家免受这种威胁。 各国通过指派独立的安全专业人员来做出