一、安全框架及模型定义
信息安全模型是用于精确和形式的描述信息系统的安全特征,以及用于解释系统安全相关行为的理由。
安全模型的作用:
准确地描述安全的重要方面与系统行为的关系。
提高对成功实现关键安全需求的理解层次。
从中开发出一套安全性评估准则,和关键的描述变量。
二、等级保护标准参考(分层防护)
《GB/T 25070-2019 信息安全技术 网络安全等级保护安全设计技术要求》 一个中心即安全管理中心,要求在系统管理、安全管理、审计管理三个方面实现集中管控,从被动防护转变到主动防护,从静态防护转变到动态防护,从单点防护转变到整体防护,从粗放防护转变到精准防护。三重防护即安全计算环境、安全区域边界、安全通信网络三重防护,要求通过安全设备和技术手段实现身份鉴别、访问控制、入侵防范、数据完整性、保密性、个人信息保护等安全防护措施,实现全方位安全防护。
三、身份管理
IAM(身份和访问管理)通常负责用户需要访问的各种系统中的身份生命周期管理,包括入职、离职、角色变更。尽管IAM解决方案已经在市场上销售了30多年,但仍被认为是极其复杂的,非常耗费时间和耗费资源。
IAM的构建模块可以分为三类:身份、认证、授权。现有技术主要集中在前两个方面,即身份生命周期管理和身份认证。而授权通常由开发人员和应用程序所有者负责。所导致的结果是没有真正的控制,也缺乏对用户可以做什么或看什么的可见性。
授权是组织安全的核心,这也意味着它是生产力的核心,授权决定了数字身份在每个应用程序中可以做什么。确保数据安全并避免违规是授权的全部内容,确保正确的人在正确的时间动态地获得正确的访问权是根本。授权方法的发展旨在简化授权过程,使其能够更快扩展,并为组织提供更好的控制和可见性。
