安全框架研究
安全框架研究关注的是"怎么把零散的安全建设经验抽象成可复用的结构化范式"。这一章回答的是"在不同的业务场景和威胁环境下,应该用什么样的骨架来组织安全能力"。
核心判断:框架的价值不在覆盖完整,而在提供思考锚点。 一个好的安全框架不是把所有场景都列全,而是给出在面对具体问题时"从哪些维度切入、按什么顺序思考"的指导。过度追求完整性的框架,往往沦为"什么都说、什么都没说"的清单。
安全框架要服务于具体场景,不能脱离场景谈设计。 金融、互联网、政务、工业控制场景下的安全框架差异巨大——威胁模型不同、合规要求不同、攻击者画像不同、技术栈不同。把一个场景的框架照搬到另一个场景,往往适得其反。这一章里的框架都标注了适用场景和演化路径,避免被误用为通用解。
原创框架的形成路径:实战经验 → 抽象范式 → 跨场景验证。 这一章收录的几个原创框架(三大原生安全范式、可信纵深防御等)都是从企业级安全实战中沉淀出来的,先解决真实问题,再抽象成可命名的范式,最后在其他场景验证可行性。这条路径比"先设计框架、再去找落地场景"更可靠。
子文章导览
原创范式
- 三大原生安全范式:从真实安全事件贯穿三个原生范式——NbSP(零越范式)、OVTP(可溯范式)、ARCP(攻击回报范式),是这一章的核心原创框架。
- NbSP 零越范式:从埃本·埃美尔要塞类比入手,建立访问控制点的形式化框架与五类攻击分类。
- OVTP 可溯范式:以太平洋战争类比入手,提出 Operator/Voucher/Traceable 三维模型。
- ARCP 攻击回报范式:含经济学模型、重入成本、反制金字塔、CC 攻击案例与态势评估方法。
深度防御体系
- 基于原生安全范式的可信纵深防御体系:演讲文字稿,串联现有安全体系问题、原生安全范式与 0day/数据防护实践。
行业框架
-
C-RAF 框架:香港金管局 C-RAF(Cyber Resilience Assessment Framework)框架简要介绍与下载链接。
-
重写规则:关于"为何要在不同场景下重写安全规则而不是复用既有规则"的演讲思考。
-
《数字银行安全体系构建》:数十位安全专家联合编写的数字银行安全体系专著介绍与购买方式。