行业里有产学研一体化的说法,产是企业,负责工程实现;学是高校,负责理论研究;研是科研机构即各类研究所,负责开发、设计。从而形成研究、开发、实现一条完整的创新链条。
安全方法论正常情况下是学、研的疆界,于是安全行业就被分化成两大思想阵营:学术界和工程界。学术界以逻辑思考出发进行推导,而工程界以实际问题出发进行思考,一个是天上宫阙、一个是人间烟火。
于是就出现了另外两种情况:工程界里的牛人想成仙,学术界里的仙人想下凡。一些学术派成立了公司搞产品,一些工程派的思想家开始搞理论。
安全方法论是安全行业的思想至高点,如果能定义安全范式,就等于定义了安全理论;如果能定义安全理论,就等于定义了安全的未来。
无论是安全架构全景图还是安全方法论版块,有几个高频“概念词汇”:方法(Method)、模型(Model)、框架(Framework)、架构(Architecture)、系统(System)、体系(System of System)。
这些词汇在平时使用中会互相交叉和嵌套,因此边界是模糊的。这里按照抽象层次做一个边界排序约定:体系里有系统、系统里有架构、架构里有框架、框架里有模型、模型里有方法。
安全方法论有三个作用:
一是实践的理论支撑。虽然安全行业是一个“亡羊补牢”式的产生过程,但是“未雨绸缪”却是整个行业的期望。
二是统一话语体系、降低沟通成本。一些专业术语被大家贬称为:行业黑话,但其实这些“黑话”可以极大地降低沟通成本、提高沟通效率,让沟通双方有更多的时间来关注更核心的问题。
三是开阔视野、体现专业性。安全方法论是一种集体智慧,可以帮你快速看清事物的核心逻辑,同时当你基于方法论来阐述观点时,也能体现出专业性。
方法论的来源有四种途径:
一是国际知名机构或组织。如NIST(National Institute of Standards and Technology U.S.Department of Commerce,美国商务部国家标准与技术研究院)、DHS(Department Of Homeland Security,美国国土安全部)、DISA(Defense Information Systems Agency,国防信息系统局)、ISO(International Standard Organization,国际标准化组织)等。
二是市场咨询或研究公司。如Gartner(高德纳公司)、IDC(国际数据公司)、Forrester(福雷斯特研究公司)等,他们会基于行业技术现状进行理论化抽象和趋势预测。
三是行业领导厂商。如微软(Microsoft)、谷歌(GOOGLE)、思科(Cisco)等,他们会根据自身实践和安全理解进行提炼和总结。
四是学术领军人物。当安全成为国家战略,一些院士、教授、博士也都“纷纷下海”,为安全行业的方法论体系添砖加瓦。
方法论因为足够抽象,在指导安全实践时需要根据自身条件进行适配,效果好坏取决于对安全实践体系和理论体系的双重理解。
因此更常见的用法是成为安全厂商市场营销话述,借此提升自己的安全格调。
| 恭喜你,又看完了一篇文章。从今天起,和我一起洞察安全本质!这里是锐安全,今天就到这里,咱们下周四再见! |
参考资料:
[1]张晓兵.新型网络形态下的底层安全逻辑与企业安全建设指南,2023-06
[2]锐安全.我们应该知道的安全框架到底有哪些?,2023-10-12.https://mp.weixin.qq.com/s/aVL3uj6yL_HKtsSy5D_XRg
题图:仰望星空
题图创作者:晓兵Jason与AI小助手
算法提供:SDXL
原文始发于微信公众号(锐安全):安全方法论总论:安全方法论到底有什么用?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论