有关信息安全体系

想初入职时，工作即为"体系"，可是工作了这么多年，感觉对体系的理解仍然浅尝辄止。从CPU的RISC，计算机的冯.诺伊曼，网络的分层模型，到林林总总的信息系统，无论是局部还是整体，都有自己的体系。而放眼万事万物，人体有自己生理体系，房屋有自己的建筑体系，社会也有自己的运转体系。所谓体系，是某件东西内部组成、相互关系及运行机制的客观规律。正如美国DoDAF（国防部体系框架）有关"体系"的定义，"体系就是系统的组成之间的相互关系，以及支配他们演进的指南。"建立体系，何其难也。这个DoDAF也只是建立起了一套用于描述信息系统体系的标准方法，有关信息系统的体系是什么，仍然需要设计人员自己去理解。

后来在工作中接触到的所谓信息安全体系，也大多只是这种描述框架或方法。比较著名的包括美国NSA的IATF（信息保障技术框架），将信息系统的保护划分为保护计算环境、保护边界、保护网络基础设施、支撑性基础设施和检测响应基础设施，这仍然是一种非常经典的划分方法，在许多的信息安全解决方案中仍然可见IATF的影子，至今IATF的纵深防御思想仍然是各种安全机制叠加使用的依据。另外一个著名的体系是ITU-T X.805--提供端到端通信的系统安全体系，它将电信网络分为基础设施层、服务层和应用层三个层次，用户、控制和管理平面三个平面，以及访问控制、认证、数据机密性等八个安全维度的安全服务，IATF叙述了每个平面的每个层次需要用到哪些安全服务，去应对***。还有著名的PDR模型及其变种，这个模型描述了基于时间的安全观，所谓安全，就是防护时间大于检测时间+响应时间，换句话说，安全就是及时的检测和响应。

基于上述信息安全体系的流行化描述框架，使信息安全系统更容易令人理解，也更有利与厂商去推销自己的各种安全设备，有利于项目规划者更好的组织自己的各个项目。然而，信息安全体系本身是什么，却难以一言以蔽之。组成可能可以说清，可是组成之间的关系及运行机制，较之于网络、计算机、软件，难以理清。这是一个各种安全产品、管理措施、评估方法堆砌的领域，难能说具有体系。这也是一个见招拆招的世界，有漏洞就补、有毒就杀、有重要数据就加密......各种零散的工程化方法和技术充斥其中，也很难说有其客观支配的一致规律。

因此，安全无一致、统一的体系。更多的时候，安全体系只是为了迎合规划或决策者的需要，方便沟通理解的一种分类方法。关于安全体系背后的运行规律，除了密码学有坚实的理论基础外，我想每个人可能都有自己的观点。