应用和安全的关系是个老生常谈话题,一直被思考,应用从业者想找到易集成安全方案便于应用推进,安全从业者想找到好的应用来推广安全,用户希望安全和应用能有机结合满足实际需求。但从目前情况看,效果并不好,同时三者要求的更是凤毛麟角。所以,落实“安全保应用,应用促安全”,我们有必要结合实际情况重新整理一下思路,思考一下安全、应用以及两者的辩证关系。(注:安全和应用的通常认知,本文不再做阐述)
作者观点:
1、安全本身就是一种应用,安全从业者需具有应用的思维方式
2、应用多样性不应突破安全的严密性,需融合安全的三三原则
3、安全要以Aldiv理论体系保应用,应用以共生共体方式促安全
4、应用单位须平衡安全严密性和应用多样性,构建桥梁和纽带
“安全往往以辅助应用的地位出现,安全是锦上添花的”,这是对安全的通用认识,源于此,安全的建设也好、设计也好总是相对滞后或受限较多,慢慢安全从业者就接受了这个现实,无论安全体系设计、产品设计还是系统建设与应用都深受此害,这才是安全行业最大的问题。安全绝不是辅助、绝不是后台,安全本身就应该是一种应用,在设计和建设中用对待应用的方式对待安全,重点需要从职责、指标、流程、效果、考核等应用维度进行思考,同时把握有职责性的安全才被重视、有实用性的安全才有意义、看得见的安全才有说服力、有量化指标的安全才能落到实处的原则。
应用多样性不应突破安全的严密性,需融合安全的三三原则:需要使用安全的应用各式各样,对安全的需求也是各有不同各有侧重,安全建设如果把握不准就会被各式应用需求搞的焦头烂额甚至是体系破碎,这一点在当下有太多实际教训了。把握安全的严密性是安全建设和应用开展的关键环节和底线,这是不能被动摇的,至于应用在设计中如何融合安全,就需要安全建设者给应用提出建设原则,作者推荐采用三三原则,能囊括技术、功能和效果三个层面,简单易行。相关内容请查阅作者以往的文章。
安全要以Aldiv理论体系保应用,应用以共生共体方式促安全:在安全与应用相互关系上是不能割裂来思考的,彼此是有很多的内在联系需要建立的,在安全保应用上应该遵循Aldiv理论体系(作者自创,如需详细内容可向作者索要),在应用促安全层面需要将安全和应用建立共生共体机制,彼此完善彼此牵引彼此促进,相关的方式方法可视具体应用而定,并且这一点也是见仁见智。
应用单位须平衡安全严密性和应用多样性,构建桥梁和纽带:安全需要严密,应用又具有多样性,应用和安全需要整合才能发挥整体价值,所以应用的特点和安全特点如何做到平衡就是应用单位在管理上重点工作。安全太死或应用太松都会走向极端,但是安全的底线不能失,应用的多样性还无法避免,管理者或应用者唯一能做的就是思考如何在安全和应用之间建立一个对下(安全)严丝合缝,对上(应用)灵活适配,并且能够管理可控的桥梁和纽带,这个就需要建设单位在全局上做整体设计,在体系上做开放设计,在管理上做系统设计,在应用上做标准设计,这些无不对建设单位提出很大的挑战,无不需要智慧的思想和务实的工作。
安全要保应用,有必要把安全当作应用去设计,并有理论基础作支撑。应用和安全都要做好,管理思想和抓手必须清楚明确可执行。【近期作者严重失眠,相关逻辑不是太清楚,大家见谅】
网络安全需要开放,如何开放?开放到什么程度?是值得思考的问题
如何做到管理可控,是信创工作的核心,也是最大的难点
“两极化”是信息安全一个不错的设计原则
“放管服”是对政务信息化深层次的自我革命
全面线上,你应该知道的思想
只有认清网络安全本质,才能更好的开展网络安全工作
政府的网络安全建设,还应该这样。。。
电子化是信息化的核心,掌握电子化的本质就能正确开展电子化工作
安全的高级目标是确保电子数据能成为电子证据
“融合能力”是当下信息化和网络安全发展的必要能力,着实需要提升
“依法治网、以责服人”之职责管理体系设计