如何用“应用”思维方式设计和建设网络安全?
前面文章提及“安全本就是应用,从业者需采用【应用思维】进行设计和建设”的原则,但具体细节并未展开,相关读者询问作者希望能再细致一点,能落实到具体操作层面。
所谓应用,就是直面使用者,按照预定流程完成具体任务的行为,并体现目标具体明确、责任清晰、过程完整可溯、结果量化可见可考核的特点。应用是一种行为,需要按照行为的表达方式【什么人、什么时间、在什么地方、对什么做了什么举动、结果怎么样、如何证明】进行表达。
所谓应用思维,就是满足“直面使用者、任务独立完整、行为表达完整、过程和结果量化可见可考核”。
作者认为:网络安全采用应用思维就是尽量将网络安全直面使用者,设计独立完整的任务,在任务达成过程中严格遵守行为表达方式,并强调要有可见的效果和可考核的量化指标。
直面使用者:
网络安全以往以基础支撑、服务等形势存在,和最终使用者存在一定的距离,这个无可厚非,但这和应用思维设计下网络安全还尚存距离,需要进行下图所示的转化。
遵照行为表达方式是应用最大的特质,也许源于网络安全本身底层支撑定位或网络安全我本安全的初衷,往往忽略了行为表达方式的严密性,在网络安全应用思维下也必须遵照严密的行为表达方式,这是网络安全作为应用的基础,如何做到作者无需做深入解释。有了严密的行为表达,后续的安全可见绩效可考核才有了基础。
效果可见和指标量化可考核:
因为有可见的过程、可量化的指标,所以应用能清晰的搞定责权利,而责权利恰恰是组成应用行为更深层次的东西。作者一直强调网络安全必须可见和可量化,不能默默无闻,这与低调无关,因为网络安全是意识形态问题,必须通过反复的感性引导和严密的量化牵引才能达到网络安全的终极目标。“安全三分靠技术、七分靠管理”,其中的可见和量化本身就是管理重要的组成部分。网络安全走应用道路,责权利层面的深层次涉及那是必要的,否则留于表面意义不大。
如何辩证的看待应用和安全,真正落实“安全保应用,应用促安全”
网络安全需要开放,如何开放?开放到什么程度?是值得思考的问题