前言
本书的标题汇集了三个早该综合的概念。首先是企业的概念,意味着将一个组织、商业公司或公共服务视为一个单一的实体,而不是一组合作的部门。它源于 1980 年代末和 1990 年代初许多管理大师的研究,其中包括 Porter 和 Handy。
他们意识到,只有通过连贯一致的方式优化组织的所有部分,而不是在部门层面进行局部优化,才是提高竞争力或服务的关键。
随着网络的信息技术的发展使得这种优化得以发生,但通常是以“建立在遗留的流程和系统上”这种特别的方式,而不是按其本身业务原有流程连贯性的方式。
同时人们还认识到,为了提高信息和通信技术 (ICT) 与业务流程的一致性并克服遗留系统问题,需要一种系统设计的架构方法。Zachman 和其他人的研究理论随着对系统工程方法对大规模 ICT 基础设施的价值的日益增加而被认可,并产生了一种结构化和连贯的方法来将遗留环境迁移到企业范围的系统。这种方法已经使用了一段时间,并且在所谓的千年虫出现时,在用适当设计和设计的系统替换遗留环境方面取得了相当大的进展。然而,这是一个持续到今天的过程,还有很多改进有待实现。
第三个因素,信息和信息系统安全,虽然被人们熟知,但它既不被视为业务问题,也不被视为主流的信息系统问题。在实际工作中安全实际的处理一般是任何需要的安全性都是在实施后添加的,因此信息和信息系统安全学科是独立于业务流程优化和信息系统工程而发展起来的,除了一些特殊情况,例如如国防,大型金融和银行,以及航空航天的一些元素。
随着企业间互联的增多,互联网作为全球电子社会的共同支柱的普遍性以及计算能力随之产生巨大增长,基于目前硅和光子技术实现的存储和带宽极大地暴露了这一进化轨迹所导致的弱点。这些暴露的弱点可能会降低人们对电子社会和电子商务的信心,从而限制原本可以从精心设计、精心设计和正确操作的安全环境和系统中获得的商业和社会利益。
我相信社会正处于对这个问题做出判断的风口浪尖。本书以一系列成功经验为基础的内在乐观主义,不仅将帮助安全从业者在日常工作中提供预期的好处,而且还将帮助一般的 ICT 专业人员处理反对者的论点和末日贩子。
因此此时是本书出版的最佳时机,本书从信息和信息系统的角度为如何使企业安全和成功的问题提供了一个有充分理由的、连贯的和完整的方法。SABSA 框架是这项工作的基石,它源于经验的混合以及一系列经过充分验证的方法和方法的综合。使用“普遍用例”将使读者能够将理论与他们的现实问题联系起来,并为他们提供证明投资于他们自己组织的合理性所需的论据的基础。实现一个安全但成功的企业是一个重大挑战。描述使用成熟度模型来确保组织不会承担超出其交付能力的工作对于成功至关重要。成功的项目虽然对实现效益至关重要,但其本身并不能带来改进;然而,它们确实开启了安全连续性。
本书后面的章节涵盖了运行安全企业所需的内容,以及从设计到组织及其流程中的安全性中获得预期收益的内容。在我看来,这种生死攸关的处理方式是独一无二的,这就是为什么这项工作应该放在每个 CIO、ICT 基础设施和应用程序开发主管的办公桌上,以及新任命的企业安全架构师的办公桌上。
我们这些有幸居住在发达国家的建筑环境并非偶然发生的;它源于对合作规划、稳健、精心设计的实施和安全运营对成功至关重要的理解。我相信我们在虚拟环境中正在接近这个门槛。这本书给我们的是一个成功处理所有这些因素的框架,一个连贯构建、清晰描述并以现实世界经验为基础的框架。人类又迈出了一小步……?
布赖恩·S·柯林斯教授
信息系统教授,克兰菲尔德大学和
英国计算机学会副会长
前言
优势
作为作者,我们希望本书对读者的最大好处是它对如何进行企业级安全架构开发过程的洞察力。对大多数人来说,这是一项巨大而艰巨的任务。他们不知道从哪里开始,不知道如何进行,不知道如何组织工作,也不知道如何衡量自己的进度。这本书将向他们展示所有这些东西。他们将体验到一种启蒙,这将为他们开始自己的企业安全架构计划的工作开辟道路。阅读这本书将是迈向成功之路的重要一步。它将极大地改变他们的职业生涯。
我们试图保持在一个相对较高的水平,并避免描述很快就会过时的技术细节。我们的目的是创造一本寿命很长的书,而要做到这一点,它必须相对独立于具体技术和技术解决方案。因此,它重点关注企业安全架构的概念和逻辑方面。具体解决方案的技术细节已留给性质截然不同的出版物的其他作者。但是,我们为读者提供了尽可能多的帮助,以方便搜索此技术细节。参考其他作品,国际和互联网标准、专业期刊和可能提供最新技术细节的 URL 已尽可能包含在内。
本书的流程遵循前几章介绍的企业安全架构模型的结构化层。有很强的教学法,布局结构为标题、子标题和项目符号,使读者可以轻松浏览页面并快速掌握。并尽可能使用表格、图表和图表。如果读者愿意,这本书可以从头到尾按顺序阅读,但也可以用作一本书,作为参考文本。
信息安全的演进
信息安全及其子集,即信息系统安全,正成为越来越主流的诉求。信息安全始于军事和政府领域,在国家安全领域具有非常专业的应用。在 1970 年代和 80 年代,随着电子银行系统的开发和部署,它在银行业变得很重要。在 1990 年代,我们看到了互联网、电子商务和许多其他方面的兴起。电子商务和使用信息系统在企业范围内管理业务。因此,在 21 世纪初,安全是一个引起企业广泛兴趣的话题,这些企业希望利用这些技术创新来获取商业利益。
阅读本书的基础是对与信息安全相关的内容有一个广泛的认识,即信息安全盖信息的机密性、完整性和可用性。例如,您会发现有关客户服务等主题的讨论。 这与信息安全有什么可能的联系?嗯,很简单,信息安全对信息和通信技术 (ICT) 系统的可用性以及用户(包括客户)在与这些系统交互时的体验有很大影响。客户服务与易用性、体验的一致性和期望的交付密切相关。 信息安全、身份验证和授权机制可能会破坏这些目标,无法修复,因此,是的,客户服务(以及所有其他业务问题)与企业信息安全架构的开发高度相关。在本书中,信息安全是从纯粹的业务角度来处理的,因此您应该期望在这里将每个业务问题都视为信息安全问题。
信息安全文献
图书市场对信息安全兴趣的发展反应热烈,广泛地发布了关于新技术的广泛报道,特别是关于安全方面的内容。这些书籍中的大多数都以技术为重点。与此同时,人们越来越担心吸引企业如此多投资的技术并没有兑现它的承诺,很明显,原因是发展是从技术角度而不是商业角度来引导的。很少有书籍可以解决这个问题,无论是一般的 ICT,还是专门针对信息系统安全的。
在这个信息安全世界中显而易见的是,企业管理团队对预算和时间框架不断升级的开发项目越来越不耐烦,而且结果越来越令人失望。 我们认为这有两个原因: (1) 对如何将技术开发计划与业务需求联系起来缺乏了解; (2) 缺乏战略架构思维,导致系统开发投资无法满足业务长期和更广泛的需求。
人们越来越关注将企业架构概念作为规划、开发、实施和运营业务信息系统的手段。这种兴趣还延伸到了安全领域,企业安全架构对这些领域越来越有吸引力。他们的任务是将足够的安全性集成到企业业务系统中。在接下来的十年中,我们预计这种兴趣会大幅增长,特别是如果它受到有关该主题的合适文献的支持的话。本书旨在为该文献库做出贡献。 它是从作者与大型组织在这一活动领域合作的多年实践经验的角度编写的。
如何使用本书
这本书旨在成为安全架构师的圣经。它将提供可循序渐进的结构化方法,从而构建满足业务需求的企业安全架构。它具有很强的实用性,但同时也是关于如何使信息安全发挥作用的完整理论著作。我们的意图是它将成为该主题的权威著作。
本书分为四个部分:
第 1 部分:简介
第 2 部分:战略和规划
第 3 部分:设计
第 4 部分:操作
我们建议读者将第 1 部分视为要从头到尾阅读的文本。 在本书的这一部分中,我们阐述了我们的整体理念、框架和方法,并且可以说只阅读这一部分可能会让已经拥有良好的基础业务和技术知识的安全架构师满意。
在接下来的三个部分中,我们将采用第 1 部分中描述的框架的每一层并对其进行详细开发。这三个部分也映射到安全架构生命周期的三个阶段,也在第 1 部分中进行了描述。因此,最后三个部分更可能被读者用作参考资料,而不是作为从一端读到另一端的东西。
第 2 部分处理影响信息安全的业务问题和解决业务问题的主要战略方法。从建筑师的角度来看,它是高层次的,真正属于建筑领域,始终保持在概念层面的思考。
第 3 部分介绍了逻辑、物理和组件架构级别的更详细设计过程,并将吸引那些对设计信息安全解决方案的更详细方面感兴趣的读者。
第 4 部分涉及安全运营,即企业安全框架内信息安全的日常运营管理。在这里,我们专注于一些特定的问题,但并不试图详细涵盖运营安全的各个方面,因为毕竟有很多好书已经处理了信息安全管理的运营和管理方面的细节。但是,如果没有这部分,本书将是不完整的,因为我们认为本书的力量在于其独特的架构思维框架方法,并且必须在第1部分中介绍中,运营管理的框架上添加一些内容。
由于各个部分在深度和重点方面存在很大差异,因此许多读者很可能会发现本书的某些部分比其他部分更吸引他们。这是意料之中的,因为很少有人能够在我们描述的架构框架的每个级别上成功操作。我们希望每位读者都能在那些涉及他们自己兴趣领域的部分中找到重要的价值,并且本书作为一个整体将通过了解不同团队成员所扮演的相关角色来帮助架构团队更有效地合作 以及他们个人对整体集成架构过程的贡献的价值。
同样重要的是,读者应该意识到这本书不是一本为所有情况提供食谱的食谱。它更像是一本关于如何从架构角度思考以及如何解决一些主要问题的书。您可能在这里找不到问题的解决方案,但您应该找到一种方法来理解真正的业务问题,以及这种理解应该如何推动您的技术创造力和流程设计工作。
关于 SABSA ® 模型
整本书基于称为 SABSA ® 的六层安全架构模型,这是由 John Sherwood 于 1995 年首次提出并于 1996 年作为“SABSA:一种方法”出版的想法,用于开发企业安全架构和战略 1 '。SABSA ® 是“Sherwood Applied Business Security Architecture”的首字母缩写词,是 Sherwood 团队在该安全架构领域建立世界级咨询技能的基础。这项工作的起点是 ISO 7498-2 1989 2:“信息处理系统 - 开放系统互连 - 基本参考模型 - 第 2 部分:安全架构”。该标准在业务驱动方面相对简单,但它在安全服务方面建立了一个重要的框架—逻辑架构、安全机制—物理架构,以及安全管理—操作架构。Sherwood 团队添加了两个上层来提供业务驱动的方法(上下文和概念架构),以及一个映射到真实工具和产品的下层(组件架构)。
Sherwood 当时不知道,这项工作与在美国开展的关于整体企业架构的工作密切相关,该工作由 John Zachman 撰写,由 Zachman Institute for Framework Advancement 出版,被称为 Zachman Framework 3。值得注意的是,1993 年在伦敦 COMPSEC 93 上,在 Sherwood 团队开始其企业安全架构之旅之前,Brian Collins 教授曾为本书提供了前言,与同事 Steve Mathews 发表了一篇论文 4,其中他们呼吁从业务角度来驱动信息安全,许多该论文中确定的因素中有一部分可以在以业务为中心的 SABSA ® 方法中找到,尽管我们当时没有建立联系。
John Sherwood 在伦敦的 COMPSEC 96 上介绍了 SABSA ® 的工作,并于当年晚些时候发表了关于它的后续论文。 那时他从未听说过扎克曼的作品。1998 年 4 月,Sherwood 在一个国际客户的团队中担任安全架构师,该团队致力于开发全新的全球基础设施架构。 作为该活动的一部分,他有幸参观了在旧金山举行的名为“企业建筑”的会议,该会议的主旨发言人之一是约翰·扎克曼。从很多方面来说,这是一次很棒的体验,因为在这个平台上还有其他人在做非常相似的事情,但在更广泛的背景下。SABSA ® 模型和 Zachman 框架之间的相似之处是惊人的,Sherwood 能够重新设计 SABSA ® 以结合 Zachman 在他的演讲中谈到的一些语言和想法。 然而,SABSA ® 的原始概念几乎没有改变。
在开发这些方法的应用时,Sherwood 得到了 Sherwood Associates 咨询团队其他成员的大力协助。安迪·克拉克和大卫·莱纳斯都是这方面的关键人物,他们都与全球客户一起管理过重大项目。 David Lynas 继续开发了一个非常成功的培训课程,由 Computer 定期提供。安全研究所 5,题为如何设计一个成功的安全架构 6。最近,在 ALC Training 7 的赞助下,David Lynas 在澳大利亚、新西兰和亚太地区举办了一系列培训研讨会和活动,他与该地区客户的合作导致了一些更方法学的最新创新。Sherwood 团队的其他成员也是这项工作的重要贡献者,我们要特别感谢 Anne Watt、Julie Braun、Krag Brotby 和 David Watson。SABSA ® 框架将在本书后面进行描述,并用作构建本书描述的整个安全架构开发过程的基础。
与其他方法、模型和标准的关系
我们知道,一些对 SABSA ® 方法有粗略了解的人想知道它在多大程度上与现有方法、模型和标准相冲突或竞争,他们的问题的答案是它根本不冲突或竞争。读者会发现有许多对这些其他方法、模型和标准的引用,并且 SABSA ® 提供了一个总体框架,将它们结合在一起,形成一个关于如何设计和管理企业安全性的单一整体视图。现有的知识和智慧经典中没有任何东西被否定或受到 SABSA ® 方法的挑战。相反,SABSA ® 提供了最终的统一保护伞,使安全架构师能够从过多的可用方法、模型和标准中挑选和混合,从而在企业级整合基于多年经验的安全架构。开发了许多专家的想法,同时提供了将这些想法构建成一个整体视图的方法。
最后
我们希望您会喜欢阅读我们的书,并且它会成为您在开发企业安全架构的过程中导航的主要参考书之一。我们祝愿您在有趣的旅程中一切顺利。
约翰舍伍德、安德鲁克拉克和大卫莱纳斯
2005 年 6 月
第一部分:简介
这本书的标题是企业安全架构。这里,我们必须同步一些词的确切含义。本书的所有部分均从一些词语专业定义开始,以帮助理解。
词语专业定义
ar·chi+tec+ture n。
- 设计和监督建筑物和类似结构的建造的艺术和科学。
- 一种建筑或结构风格:哥特式建筑。
- 建筑物或构筑物的统称。
- 任何事物的结构或设计:宇宙的架构。
– ar·chi+tec+tur+al adj.
– ar·chi+tec+tur+al+ly adv.
ar·chi+tect n.
- 具有建筑设计及监理资格之人员。
- 具有类似资格的另一种建筑形式的人:造船师。
- 任何规划者或创造者:探险的建筑师。 [C16:源自法国architete,源自拉丁语architectus,源自希腊语arkhitektõn Director of
works,源自ARCHI- + tektõn workman; 与 tekhnê 艺术、技能有关。]
se+cure adj. 安全的
- 没有危险、损坏等。 没有恐惧、关心等。 安全保管。
- 不太可能失败、松动等。
- 可以信赖的:一定的:有保障的投资。
- .航海。 收起或失效。
- 古风。 粗心或过度自信。 〜vb。
- (tr.) to get or get holding of: 我会争取一些好的座位。
- (当 intr. 时,经常被反对)制造或摆脱危险、恐惧等。
- (tr.) 使快速或牢固; 系。
- (当 intr. 时,经常被反对)使或变得确定; 保证:此计划将确保您的幸福
- (tr.) 保证(债权人)付款,如提供担保。
- (tr.) 使(军事阵地)免受攻击。
- 航海。 使(船只或其内容物)安全或准备好,将舱口盖上板条、收起装置等
- (tr.) 航海的。 收起或使不工作:固定收音机。 [C16:源自拉丁语 securus free from care,源自 se- without + cura care]
– sec+cur+a·ble adj.
– sec+cure+ly adv.
– sec+cure+ment n.
– sec+cure+ness n.
– sec+cur+er n.
se+cu+ri·ty n. pl. ·ties.
- 安全状态。
- 保证免于贫穷或匮乏:他需要一份长期工作的保障。
- 保证、保证等的人或物。
- 为防止盗窃、间谍活动等采取的预防措施:政府办公室的安全性不是很好
- (通常是复数) 债权人或财产权证明,如股票或债券等,具有收取利息或股息的权利。 湾。 此类证书所代表的金融资产。
- 在债务违约的情况下,债权人可以主张所有权的特定资产。
- 为保证承诺或义务的履行而给予或承诺的东西。
- 承诺履行他人义务的人。
- 古风。 粗心大意或过度自信。
安全架构
我们首先通过利用上述字典定义中体现的精炼知识和智慧来寻找“安全架构”的定义。
安全架构是设计和监督业务系统构建的艺术和科学,通常是业务信息系统,安全架构设计目标是:避免危险、损坏等; 免于恐惧、关怀等; 安全保管; 不太可能失败; 能够被依赖; 免受攻击。
安全架构师是有资格设计和监督安全业务系统(通常是安全业务信息系统)的构建的人。
这本书是关于安全架构的,在上述两种意义上。 它是为那些正在或正在努力成为安全架构师的人编写的。它也是为那些自己并不渴望成为安全架构师但愿意委托并接受安全架构工作交付的人编写的。他们会想知道需要什么,期望什么,以及如何判断他们从安全架构师那里收到的可交付成果的质量。这本书适合任何对安全架构有任何兴趣的人。
第一章:安全的意义
如果您要了解“安全架构”,您必须首先确保您了解“安全”。
这是一个在许多情况下多次使用并且经常具有不同含义的术语。这里的含义是在本书的上下文中讨论的 — 即保护业务。
在本章中,您将了解:
业务用户与安全顾问和设计人员之间经常存在的误解和冲突;
需要确保安全性是对感知到的业务风险的反应,并且任何其他包含安全性的理由几乎肯定是无效的;
不将安全视为成本,而是将其视为业务推动者的好处——有助于实现业务目标。
1.1 文化遗产:商业预防
安全,尤其是信息安全,名声不好。我们这些在运营业务环境中担任过信息系统安全专家的人非常清楚这一点。当你走进房间时,每个人都在呻吟。 他们说:‘保安又来了!
他们会给我们更多的密码来记住,更多的规则来执行,他们会给我们的生活带来更多的困难,这将阻止我们从事真正的业务。他们为什么不让我们一个人呆着?
甚至有人称我们为“商业预防”部门!
这是不公平的名声吗? 我们是否被同事误判和诽谤?好吧,如果我们对自己诚实,作为一个职业,我们可能应该得到这一切。当然,不是你和我,因为我们是开悟的。
但整个行业肯定有这样的声誉,因为我们集体表现得如此,而且仍然如此。
现在想来,也许你和我在我们启蒙之前也负有部分责任。
甚至有人称我们为“商业预防”部门!
这是不公平的名声吗? 我们是否被同事误判和诽谤?好吧,如果我们对自己诚实,作为一个职业,我们可能应该得到这一切。当然,不是你和我,因为我们是启航者。但整个行业肯定有这样的声誉,因为我们集体表现得如此,而且仍然如此。现在想来,也许你和我在我们启蒙之前也负有部分责任。
这是怎么发生的? 为什么我们会得到这个声誉? 我们做错了什么?好吧,在我们看来,这是因为我们没有对“安全”和“安全”这两个术语进行很好的定义。它们对你意味着什么? 您是否有过被客户或用户询问(顾问经常被问到)的经历:“看看这个系统; 你认为它安全吗?有些人为了准备答案,会开始研究系统的技术细节。他们将就这个和那个小部件的弱点以及某人如何访问这些和那些文件等问题发表意见。这是对系统的技术分析,可能有用也可能没用。它是否有用将取决于对一个重要问题的回答。谨慎且经验丰富的安全专家在回答询问者之前已经问过这个问题。关键问题是:‘你所说的“安全”是什么意思?’
“安全”是一个相对术语。 安全或不安全没有绝对的规模。“安全的”和“安全”这两个术语只有在解释为您认为有价值的事物的属性时才有意义。需要保护在某种程度上处于风险中的有价值的东西。 它需要多少安全性? 这取决于价值和操作风险。您如何衡量操作风险? 现在您将遇到真正的问题,这些问题将引导您理解“安全”一词的真正含义。
1.2 衡量业务风险并确定优先级
安全用于保护有价值的东西。在商业环境中,有价值的东西通常被称为资产。如果资产以某种方式损坏或毁坏,那么您将遭受业务影响。您可能遭受损害或破坏的潜在事件是一种威胁。为了防止威胁具体化为对业务产生影响的损失事件,您可以使用一层保护来使威胁远离您的资产。如果资产没有得到很好的保护(即您的安全性很差),那么您就容易受到威胁。为了改进保护并减少漏洞,您需要引入安全控制,这可以是技术上的,也可以是程序上的。
识别业务资产、识别威胁、评估如果威胁具体化将遭受的业务影响级别以及分析漏洞的过程称为运营风险评估。应用适当的控制以在安全性、可用性、成本和其他业务需求之间取得平衡称为操作风险缓解。操作风险评估和操作风险缓解共同构成了通常所说的操作风险管理。
本书后面的章节将更详细地研究操作风险管理(见第 15 章)。在此阶段您需要了解的主要内容是,风险管理就是通过风险评估1 过程识别风险并确定风险的优先级,并根据这些优先级应用控制级别。
并非所有风险都值得实施额外的安全和控制,要么是因为潜在损失不够大,要么是因为实施控制的成本与潜在损失相比很高。您从风险评估中得到的是一组安全和控制的业务需求,按某种优先级排序。这些通常表示为一系列控制目标——对控制的业务需求的抽象描述。这些反过来又用于推动风险缓解方法的选择:广泛的安全和控制策略、逻辑安全服务、物理安全机制,以及最终用于构建安全架构的安全产品、工具和技术组件。
尽管“控制目标”一词众所周知并被广泛使用,尤其是在审计界,但我们喜欢考虑一个补充术语:“启用目标”。这是为了强调本书前几章的关键信息之一 — 安全主要是关于业务支持,而不是关于业务预防。覆盖?尽管“控制”是一个有效的术语,但它确实缺乏我们希望激发阅读本书的人的想象力,因此这些短语是互补的,以便更平衡地了解业务目标的真正含义。
例如,考虑汽车的刹车。 制动器具有明确的控制功能 — 它们用于防止汽车开得太快,并在驾驶员判断速度过高时降低速度。 然而,另一种看待这个功能的方式是,拥有更好的刹车可以让汽车以更高的速度行驶,因为驾驶员现在有信心,如果需要,刹车将是快速有效的。这是查看相同功能的完全不同的方式 — 一种方式是降低整体速度,另一种方式是提高速度。
通过采用这种基于风险的方法(在控制目标和启用目标方面)来制定您的安全策略,您可以更紧密地依据业务的需要调整您的信息系统安全。然而,你可以做更多的事情来从你的努力中获得价值。这只是开始,在接下来的部分中,我们将研究构建业务案例的其他方法。
1.3 信息安全作为业务的推动者
我们(信息安全专业人员)真正希望拥有的声誉与我们实际拥有的声誉大不相同。当我们走进房间时,我们想听到:‘万岁!保安人员来了 他们将帮助我们实现业务目标。他们将帮助我们实现我们最疯狂的梦想,以新的和令人兴奋的方式使用信息和通信技术来促进业务增长,而不会让我们因为所有的风险而失眠;“我们必须承担。我们在信息安全方面的投资是该业务成功的关键因素。我们的信息安全战略对当前和未来的业务增长至关重要。邀请这些人进来,让他们坐下,给他们喝一杯,然后加薪。
我们祝愿!
不是“商业预防”部门,而是“商业赋能”部门。
但是,如果您正确地完成工作,它可能会发生。这就是你的目标应该是什么。 信息安全是电子商务的使能技术。你必须把这些想法卖给你的商业同事,然后让它们成真。如果你不为企业提供这种价值,那你为什么在那里?如果不是这些,信息安全有哪些可能的好处?
有几项关键技术正在改变未来的业务方式。这些包括:
互联网和万维网及其所有服务和协议,尤其是新兴的“网络服务”协议;
具有先进通信和处理能力的手机;
支持网络的数字电视和其他支持网络的家用电器的前景,特别是在提供娱乐和信息服务方面;
客户端-服务器分布式架构和高级中间件产品;
高带宽数字通信,包括宽带、有线、蜂窝电话、卫星和地面广播;
先进的数据网络协议;
无线通讯;
公钥基础设施;
网络计算、瘦客户端和移动代码。
在B2C(企业对消费者)模式中,由于这些技术的部署,我们将看到的主要变化是销售点和交付点继续迁移到客户的场所。这就是“电子商务”或“数字业务”的真正含义。想买东西或做生意的人不再需要亲自拜访供应商。他们可以使用某种类型的信息和通信技术系统从他们的基地进行联系。他们可以浏览虚拟商店,查看虚拟货架上的虚拟产品。他们可以单击鼠标更仔细地检查产品,然后再次单击以选择他们的购买。产品本身可以在电子仓库中自动拣选并以最少的人工干预发送给客户。
数字商业交易中的供应商和客户通常都是商业组织。这被称为 B2B(企业对企业)模型。 “供应链管理”和“电子采购”是用于描述商业组织应用此模型的目标的最流行的短语。
然而,在所有这些复杂系统中出现的可能威胁、影响和漏洞的数量是巨大的。大规模发展电子商务(或数字业务)的主要障碍是由于越来越多的新闻报道了令人毛骨悚然的安全漏洞细节,客户群体的信心不足。
考虑主要的业务风险:
披露私人、个人信息,例如银行账户详情、病史、个人商业利益等;
欺诈买家;
欺诈性卖家;
盗窃付款授权详细信息(例如信用卡数据);
大规模的错误和错误(您订购了多少?);
因人人不承担责任而难以解决的纠纷;
对无法正常工作的系统感到沮丧和失去信心。
以下是一些首先经历了其中一些风险的公司的例子。 第一个涉及零售在线银行业务。
1.3.1. 案例研究:错误的帐户
一家拥有全球品牌的大型零售银行建立了拥有 120 万客户的在线银行服务。它已决定对网站进行大修和重新启动,作为重新启动的一部分,其中一项备受推崇的功能是提高安全性。当时,公众对互联网安全缺乏信心正遭受大众媒体的猛烈抨击,银行决定在这个问题上采取积极的立场。
升级是在一个周末实施的。 周一早上,客户开始登录新服务。他们中的一些人(不是大多数,只是极少数,但有很多具有新闻价值)被展示了另一个客户的帐户详细信息,而不是他们自己的!
技术上的解释似乎是,当两个客户几乎同时登录时,第二个客户显示的详细信息与第一个客户相同。
一旦银行意识到这个问题并证实了它的存在,他们就关闭了该网站(周一下午 15:30)。 该服务关闭了几个小时,当晚晚些时候恢复了旧版本的系统。
该银行试图强调只有极少数客户(实际上大约 10 人)遇到了这个问题,但这并没有阻止周二报纸在头版刊登这个故事,标题为“安全恐惧关闭了在线银行” '。
尴尬和对银行声誉的损害是巨大的。也许更糟糕的是,在一系列类似事件和负面报纸头条新闻中,对整个网上银行行业以及整个电子商务发展的损害也很严重。
第二个案例研究涉及一家大型公用事业公司。这个故事在上述网上银行事件被报道的同一个月登上了报纸的头版。
1.3.2. 案例研究:拒绝
一家同时销售天然气和电力的公用事业公司开发了一个基于 Web 的界面,供其客户在线管理他们的账户。
一位客户非常偶然地发现,通过在他的浏览器命令行中删除部分 URL,他可以显示一个文件,其中包含使用此服务的所有客户(大约 2,500 名客户)的银行账户详细信息和信用卡详细信息。当他输入错误的 URL 命令时,他偶然发现了这个事实。
他立即通过他们的客户帮助热线给公司打电话,并告知了他们这个问题。 他们什么也没做。他再次打电话询问正在做的事情,并被告知“这不可能发生”并且没有问题。他提出要向他们展示证据,但他们告诉他不要再惹恼他们。
无奈之下,他随后将文件复制到自己的 PC 上,并联系了另一个专门发布诸如此类的有趣细节的网站。他们很高兴能提供帮助并发布了整个文件。然后他再次联系该公司并告诉他们在哪里可以查看他们的文件。
他们的第一反应是向警方报告这位先生,并以涉嫌入侵他们的系统为由逮捕他。报纸喜欢这个!最终,他们清醒过来,撤销了指控,公开声明感谢该男子的帮助,并邀请他在未来就安全问题向他们提供建议。 (我们不确定最后一点是否完全明智,但是我们在这里看到一家公司对如何处理 Internet 安全问题一无所知。我们会冒险猜测整个事件是从一个非常技术性的角度进行管理的,几乎没有或根本没有来自具有任何真正商业头脑的人的意见。)
这个事件告诉你很多关于商业风险和互联网服务的信息。这不仅仅是当这些问题发生并登上报纸时,该组织的声誉就会受到损害。这起事件的处理缺乏公关技巧,以至于您可以立即看到,业务风险比技术故障还多。当技术失败时(确实会时常失败),那么必须有充分的危机管理应对措施,其中包括非常关键的公共关系管理问题。
早期案例研究中的银行存在一些重大问题,但至少它知道在这些问题发生时如何处理。
这是另一个银行业的故事。这与第一个具有不同的性质,并强调了我们定义的安全性的更广泛性质。 它实际上结合了两种情况,两者在性质上都非常相似。
1.3.3. 案例研究:未能交付
(a) 一家大型零售银行为其零售客户规划并开发了一项新的网上银行服务。 该网站是在通常的营销炒作中推出的,人们开始使用它。
在运营的第一周,它就因需求激增而瘫痪,不得不多次停止服务,每次几个小时才能解决问题。 就它所吸引的业务水平而言,它的规模实在是太小了。
(b) 另一家与本例中的第一家具有非常相似市场概况的零售银行也计划并开发了类似的在线银行服务,但该服务是网上银行和电话银行的结合。
也许是为了回应对第一家银行发生的事情的分析,它在新服务上线前一天推迟了新服务的推出。当然,到那时已经为时已晚,以避免报纸大肆宣扬这一消息及其原因的羞辱。
这两起事件都强调了一个重要的观点——业务服务的可用性是需要通过良好的安全实践来保护和实现的关键目标之一,并且安全性包括与业务服务的运营稳定性和连续性有关的任何事情 .容量规划和可扩展性是安全架构中必须解决的问题之一。
另一个案例研究涉及电子政务的发展。 在这种情况下,提供用于处理个人纳税申报表的电子界面。
1.3.4. 案例研究:税收问题
一个国家政府个人税务部门推出了一项新的基于网络的服务,以便其纳税公民可以通过互联网登录并在线提交个人纳税申报表。
该服务一经推出便获得了大量的前期宣传,甚至更多的宣传。一个关键目标是节省政府在纸质系统管理上的资金,因此向用户提供了经济激励措施,以诱使他们使用该服务。税单的适度减少是对在线提交和支付的奖励。
该服务旨在在其运营的第一年内吸引约 300,000 名用户。因此,有关部门不得不公开承认该网站上的软件存在严重错误,导致使用这种方法的人在税收计算中出现错误,这是非常尴尬的。
似乎数千英镑的错误(有利于税务机关,而不是有利于纳税人)是计算的一个常规特征,导致纳税人收到的税收要求远远超过他们实际所欠的金额。 如果您知道该服务的行为是这样的,您会使用它吗?
与此同时,据透露,另一台计算机系统也出现了故障,该系统用于识别可能少缴税款并应接受调查的人。这意味着一些完全无辜的人被系统识别并接受调查税务人员的审讯。
如果引入电子政务需要公民对其正确运行充满信心,那么此类事件无济于事。只有公民能够看到这些问题已得到解决的具体证据,电子政务才会成功。
最后,在我们发现税收问题的同一报纸的同一版面中,这是一家保险集团在推出新服务时遇到了重大问题。
1.3.5. 案例研究:解体
在网络上推出了一个保险门户网站,承诺在线综合访问多家主要保险公司的一系列家庭保险服务。据报道,这项新服务的营销预算为每年 500 万英镑。
开始以及随后的数周和数月受到一系列严重的技术问题和故障的困扰。该站点仅部分运行,故障和借口似乎每天都在变化。 一条示例消息被报告为“虽然我们可以为旅行保险提供全方位服务,但我们目前正在解决家庭和汽车保险方面的技术难题”。
该网站的一部分承诺:“我们的使命是让购买保险更快捷、更简单”。那么,如果这是关键的业务目标,为什么技术部门没有意识到这一点并执行到支持它的水平呢?
公关讲话经过精心磨练:“并不是网站不工作,只是一些保险公司在整合他们的系统时遇到了问题。”
因此,这是需要吸取的教训 — 安全性不仅仅关乎机密性、完整性和可用性。它需要采取更广泛的观点。 在这种情况下,由于系统集成问题,整体服务不可用。在我们看来,对系统集成的控制都是“安全管理”和“安全架构”的一部分。
所以这是你展示你有多优秀的机会。全世界都在恳求信息系统的安全,以使他们能够开展业务。您拥有提供解决方案的技术。您还必须证明您具备应用该技术解决电子商务问题的相关技能。
你需要的不仅仅是纯粹的技术。 您还需要:
对业务需求和风险有很好的理解;
战略架构;
项目管理;
系统集成;
安全管理政策和实践;
企业范围的安全文化和基础设施。
1.4 为核心产品增加价值
在上面的部分中,我们专注于零售意义上的“电子商务”。现在让我们从更企业化的角度来看待电子商务世界。
几十年来,许多公司一直以传统方式供应传统产品。要远离零售端,请考虑一下民用航空业。这里的产品是飞机 — 不是你或我通常会为自己购买的东西。
信息和通信技术 (ICT) 以两种截然不同的方式影响着这个行业:
产品本身包含越来越多的嵌入式 ICT 系统;
这些产品的支持是非常信息密集的,并且这种支持信息的提供变得越来越自动化。
我们选择民用航空航天作为例子,因为很容易看出信息和通信技术对这个行业的重要性。 然而,几乎每个行业都有类似的故事要讲述。电子产品正在成为许多产品的组成部分,而客户可获得的在线信息是产品支持的一个关键方面。
1.4.1. 案例研究:安全保证
首先考虑民用飞机的嵌入式系统。 飞机不仅是非常昂贵的物品,而且它们还搭载乘客,其安全对客户本身和飞机制造和操作人员来说都是最重要的。 这些嵌入式系统的正确运行对于业务任务的成功至关重要。
确保设计和实施、消除操作错误和故障以及防止恶意干扰绝对是确保产品(以及通过它提供的服务)按预期运行的信心的核心。
制造商和运营商需要这种信心——但最重要的是最终客户(乘客)需要确信他们乘坐的是安全的飞机。提供这种信心的方法是提供适当的质量管理和信息安全实践。
这是一个明显的例子,其中关键目标是保证。 我们将在稍后的讨论中回到这个目标。
第二个例子着眼于交付期间和交付后的产品支持问题。
1.4.2. 案例研究:提高期望
据说,当您购买飞机时,您还会得到一堆文件,这些文件相当于飞机的重量。提供这些信息不仅是为了告诉您如何飞行和维护飞机。这是为了满足行业监管机构的要求,对飞机的设计、建造和运营的各个方面进行严格的可追溯性。飞机适航认证在很大程度上取决于该文件。
与飞机本身大小相等的纸堆(或实际上有多大)很难管理,因此电子信息正在取代它。电子解决方案需要更少的存储空间,更容易保持最新状态,更容易搜索特定物品,并且更容易、更快且更便宜地交付给客户(即运营飞机的航空公司)。
毫不奇怪,民用飞机制造商正在尽可能快地通过在线信息系统向客户提供支持文档。在各大厂商争抢业务时,飞机在其生命周期内的支持是最关键的因素之一。由航空公司(客户)考虑,因为好的民用飞机的使用寿命可以长达 30 年左右。因此,使用在线信息系统来改进这种支持是一种竞争优势。
这引发了几个重要的信息安全问题:
- 设计文件、图纸、服务公告等的真实性。通过在线交付系统收到的电子文件是否真的来自制造商? 客户信心(和安全)岌岌可危。
- 信息服务可用性。 一旦一家大型航空公司习惯了 365 天 x 24 小时的服务,并根据这种服务水平计划其航班运营,那么任何未能达到该服务水平的行为都会导致航空公司非常不满意,并给他们自己的业务带来许多潜在风险 .
从长远来看,任何要在这种环境中完全成功的服务都必须解决这些问题。真正具有挑战性的方面是,在运营初期可能根本不会出现潜在问题。在下游,当完全依赖时,这些问题将成为业务关键,如果设计没有减轻这些风险,那就太迟了。
这些用于支持核心产品的信息服务增加了真正的价值,并成为客户做出购买决策的竞争因素。然而,只有在考虑到业务风险的情况下,将这些服务保障到适当的水平,才能维持客户的信心。
1.5 赋能客户
我们研究了电子商务零售世界和电子商务企业世界的例子。在所有情况下,我们都看到电子信息系统是使客户获得更大利益的手段。因此,这些信息系统成为供应商的重要竞争因素,因为客户将利用他们的权力来选择那些能够应对提供这些好处的挑战的供应商。
1.5.1. 案例研究:为客户供电
公用事业行业已成为这种通过网络授权客户的现象的一个有趣例子。
到达您家或办公室的产品本质上是质量不变的商品(前提是几乎消除了服务中断,大多数经济发达国家都是这种情况)。一家公司出售的电力与另一家公司出售的电力没有区别。 气体和水也是如此。
一旦该行业被解除管制(例如在英国),就会有一家公司负责分销基础设施,而其他公司则负责与客户建立关系并销售商品。
在这种环境下,区分一个供应商与另一个供应商的关键因素之一是客户服务。 核心产品保持不变。客户只需点击几下鼠标就可以在自己舒适的家中更换供应商,而唯一能让客户参与进来(或者相反,这会驱使客户离开)的就是客户服务。
此时,您需要在尽可能广泛的背景下看待客户服务。需要考虑的几点是:
客户认为客户服务的无形方面是什么? 换句话说,在这里做生意感觉如何? 这是一次好的经历还是一次糟糕的经历?
您如何管理客户期望以及您应该建立多高的期望? (因为如果你把它们建得很高,你最好能够达到那个期望水平)。
您如何管理客户关系以避免对抗性的关系(客户抱怨)并保持长期的服务关系(客户对服务感到满意并愿意让它无限期地继续下去)?
是什么促成了客户服务关系中的“心理契约”(相对于法律契约)?这一点很重要,因为无论严格的法律合同条款是什么,总是有客户对服务的期望永远无法在法律文件中阐明,满足这些期望是信任问题。法律文件只是一个安全网和最低可接受服务水平的定义。 事实上,人们的期望远不止于此。
您如何在与客户互动并因此影响客户对服务感知的所有人员和部门之间建立客户服务沟通的一致性?
与客户沟通的当前和预计模式是什么?将提供哪些服务?
在您的客户关系中,哪些关键时刻是客户关系面临最高风险的关键时刻,因为客户的服务期望正在受到极限的考验,您应该如何处理这些关键时刻?
一旦您以这种方式授权客户,您就授权他们随心所欲地离开您。 因此,您非常重视的业务关系必须得到保护。 用户身份验证和登录等安全程序可能对用户是否有良好的网站使用体验产生重大影响。如何保护和保护个人隐私信息也会影响客户对所提供服务水平的看法,网站的可用性和通过它提供的服务也是如此。由于这些和许多其他原因,客户服务考虑因素是安全策略和安全架构的主要驱动力。
信息安全是一个关键组成部分,没有它,供应商将难以应对这一客户服务挑战。客户不仅会根据产品本身评估供应商,还会根据这些产品的营销、销售和支持方式来评估供应商。在涉及在线信息系统的情况下,这意味着这些信息服务的质量、可靠性、完整性和可用性将是决定哪些供应商成功和哪些不成功的关键因素。
为了保持这种服务质量,您需要的主要工具之一是有效的、基于风险的信息安全计划和结构化的信息系统安全架构。
1.6 保护关系和利用信任
我们还没有在这里探讨业务关系的另一个与安全相关的维度:信任的概念。 我们将在本书后面详细讨论这一点,但现在让我们先来看看这个主题。
当你与某人做生意时,无论在任何层面(个人或公司),你都会对对方建立某种程度的信任。 您通常会评估您收到的一些信号,可能需要一段时间,以确定您对这个人的信任程度。他们如何展示自己(着装标准、场所的位置和类型、眼神交流、握手等)?你以前做过生意吗? 进展如何? 公司成立多久了? 您是否可以从您认识和信任的其他人(受信任的第三方)那里获得推荐信 - 某个已经认识此人并可以为他或她担保的人? 等等。
信任是做生意必不可少的先决条件,而信任完全是一种关系。信任不是通过技术系统建立的,而是通过各方之间的一些共同知识建立的。然而,技术系统被用来保护对已经存在的关系的信任。
1.6.1 案例研究:可信来源
我们回到我们的民用航空航天示例。
如果一家航空公司从主要飞机制造商处购买飞机,对产品及其供应商建立了高度信任,那么该制造商提供的图纸或技术规范将被认为是正确的。 这种信任来自供应商和客户之间建立的关系。
这种信任的保护是通过一种技术服务来验证这种文件的真实性,当它通过在线信息系统以电子方式交付时。因此,接收到的电子文档上的数字签名,由经过认证的公钥支持以验证该签名,是一种支持真实性服务的机制,这反过来又支持和保护双方之间存在的信任。
为分发飞机设计文件而构建信息分发服务需要这种技术方法,以保护业务级别存在的信任级别。
这些技术服务无法替代信任。 他们不创造信任。他们只是保护已经存在的信任。 然而,通过第三方的间接信任(有时称为传递信任)是建立数字业务网络的重要组成部分。对客户和供应商而言,即使他们之前彼此之间没有直接的了解,被授权与彼此开展业务显然是一种优势。这就是第三方裁判出现的地方。 第三方需要双方都信任。 然后,这个受信任的第三方能够扮演“介绍人”的角色,为两个业务方中的每一方提供担保。这通常是通过受信任的第三方向每个实体颁发一些经过认证的凭证来实现的。 这称为数字证书,由可信第三方的数字签名证明。
这有点像你去某人家参加鸡尾酒会的情况——某人是你的老朋友,与你建立了长期的信任关系,通过经验和相互互动建立起来。在聚会上,另一位客人,一个你以前从未见过,也没有听说过他们的人,接近你。这与在市中心的酒吧或街上遇到这个人完全不同,在这种情况下,您可能会非常谨慎,甚至怀疑被陌生人接近。你们彼此问的第一件事就是你的名字以及你是如何认识派对的主人的。这确立了凭据——“哦,我是大学时代的老朋友”或“我是他的嫂子”。它给了新的友谊一个启动,因为你已经确定你们都受到主人的信任,在这种情况下,主人是你们两个值得信赖的介绍人,让你们双方都有信心继续下去友谊。您可以开始以在市中心酒吧无法实现的信任程度进行互动。这就是家庭聚会如此成功的原因!
这种受信任的第三方机制是人类生活的重要组成部分,无论是在社交互动中还是在商业关系中。在许多情况下,这两者是紧密交织在一起的。 愤世嫉俗的观察者可能会指出在高尔夫球场上做了多少生意,但生意主要是关于生意人之间的关系,而且碰巧许多关系是在打高尔夫球时建立的。
许多商业交易都是建立在相互信任的第三方的个人介绍之上,或者建立在某个商业社区的基础之上,而这些商业社区在某种程度上受到了值得信赖的监督者的监管。因此,当您构建信息系统时,这些技术系统可以直接或间接地利用已经存在的信任,并且它们可以在通过这种基于信息系统的新媒介开展业务的过程中保护那些受信任的业务关系。
1.7 总结:“安全”是什么意思?
安全就是保护业务目标和资产。 这意味着提供一组与业务需求相匹配的业务控制,而这些控制又源自对业务风险的评估和分析。 风险评估的目标是对风险进行优先排序,以便将重点放在最需要缓解的风险上。
风险是一个复杂的概念,对于任何给定的行动方案,都存在与做那件事相关的风险和与不做这件事相关的风险。因此,必须注意不要减轻特定风险,同时无意中增加更广泛的业务目标和目标的整体风险。
从最好的角度来看,安全应该被视为通过将风险降低到可接受的水平来支持业务,从而允许企业利用新技术获得更大的商业优势。
安全性也可以成为增加核心产品价值的一种手段,通过启用对增强产品本身或对现场产品的操作支持至关重要的信息服务。
安全的信息服务可以增强客户的能力,使他们能够更轻松地开展业务,并为他们提供具有竞争价值的增强服务。
业务信息系统的安全性还保护和利用业务合作伙伴之间存在的信任,使他们能够建立关系并使用新技术以新的方式开展业务。
2530
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
