摘要：本文借助DNA结构，提出以风险管理为目标的、由安全管理和安全技术相结合构成的安全DNA理念体系。通过对体系内安全管理元素和安全技术元素的归纳，将安全DNA横向展开，形成以安全策略为核心的安全管理保障框架和以主动防御为核心的安全技术保障框架。进一步通过纵向排列各元素，明确系统安全生命周期及相应的阶段划分。

　　安全DNA的提出

　　信息安全的基本属性表现为机密性、完整性和可用性，许多技术和产品被应用在保护信息安全的某个或某些属性上;同样，人们也定义了许多策略，投入了很多人力进行信息安全建设和管理。但是随着信息安全领域的不断发展，新的挑战出现了。一方面，安全涉及的因素不断增加，用户如何把握安全的多样性与动态性，如何结合自身的特点均衡地保护信息的机密性、完整性和可用性，如何协调信息安全的各组成部分成为摆在信息安全管理者和信息安全实施人员面前的问题，人们越来越关注能够综合分析安全所涉及的各个方面和各个环节、系统的完整的安全理念;另一方面，安全发展的趋势使人们迫切需要预计现有条件下和将来可能条件下的安全状况，作到即使存在未知脆弱性也有信心不会被威胁利用造成损失。这两方面的挑战使得建立一套安全管理与安全技术有机结合的、覆盖面全的安全理念，指导用户形成有效的信息安全保障框架成为当务之急。不仅如此，先进的安全理念还应该能够导出用于安全建设和管理的方法论，明确地说明管理措施与技术措施的结合方式，清晰地揭示安全保障框架与安全工作实施之间的关系。在这个前提下，冠群金辰软件有限公司的安全DNA这一体系化的全新安全理念应运而生，作为安全管理维护人员和安全顾问 规划安全工作，提供安全解决方案和服务，进行风险管理时的参考和依据。

　　安全DNA的构成

　　众所周知，DNA分子具有双螺旋结构。信息安全也具有同样的结构：其外侧的两条链分别为安全管理和安全技术，链上各元素有序排列。属于管理范畴的元素包括但不限于：最高安全方针，物理安全规范标准，安全组织，人员安全教育，安全操作流程以及安全考评标准等;属于技术范畴的元素包括但不限于：访问控制模型，鉴别认证方式，加密的机制，IDS和IPS产品，防病毒产品等。将两条链维系在一起的是操作行为，即将管理策略以某种方式执行在相应的技术和产品上。这就是安全DNA的结合键。安全管理元素与安全技术元素之间可能不是一一对应，但安全管理相关元素的有机集合会与一组安全技术元素的有机集合相对应，或者说两个集合内必有某对元素相互关联。例如，安全组织是一组安全管理元素的集合，其中包括组织人员构成，岗位细则等等;其岗位责任会与安全技术元素中安全产品选择，安全加固实施等元素对应。这种结合方式就好比DNA分子中碱基对的构成，复杂而有机。只有充分的结合，才能有效地发挥管理和技术的作用，才能体现安全DNA的本质。下图给出安全DNA的基本结构。

　　图1：安全DNA基本结构

　　在DNA分子中，双螺旋的骨架围绕着纤维轴延伸。在安全DNA中，安全管理与安全技术的结合也有其轴心——风险管理。换句话说，安全管理与安全技术结合的目标是建立有效管理风险的安全保障体系。风险是指能够对目标产生影响的事件发生的机会，通过后果和可能性衡量;或者解释为威胁利用资产弱点造成损失的潜在可能性。风险的定义明确了风险管理涉及的一系列概念，包括资产、弱点、威胁和安全措施等等。这些概念有着密切的相互关系，如下图所示。安全保护的核心是资产，资产存在弱点，这些弱点会被威胁利用，形成风险。防护措施就是要降低威胁利用弱点的可能性或影响，实现对资产的保护。

　　风险是关联资产、弱点(脆弱性)、控制措施与威胁的中枢，是衡量企业、组织整体安全状况的尺度。只有以风险管理为目标，才能明确应被保护的资产是什么、实施保护的重点有哪些，进一步分析相应的威胁与弱点、已采取的安全措施的有效性，选择可采取的安全措施，真正做到安全工作有的放矢，提高安全建设的ROI。

　　安全保障框架的形成

　　安全管理链与安全技术链分别包括了很多元素。通过对这些元素进行归纳和分类，得到安全管理保障框架与安全技术保障框架。归纳的方法是将细节元素进行合并和概括。通过归纳，我们可以对安全框架有宏观的把握。

　　安全管理范畴涉及元素众多，归纳为以下三要素：人、组织和流程。人是推动所有安全工作的根本，人员意识的培养，人员安全素质和技能的提高决定其他安全工作的效果;安全组织是安全建设与维护的机构，组织中不同岗位职责不同，层次化的实施各项安全工作;流程是执行安全管理的过程。三要素相互结合，形成安全管理保障框架。安全管理框架的核心是安全策略。安全策略是一套体系，由若干不同内容不同层次的文档组成，是安全工作的标准和依据。