鹰之旅 Falcon's Blog

观点：安全机制在安全体系中的价值及实际能力发挥的不确定性将造成安全风险评估建模或安全机制能力评测量化过程中的难题；因此网络世界中安全问题的解决，需要从全局、系统化、体系化以及协同关联等角度进行综合的考虑、分析与实施。同时也需要新的安全理论、计算能力模型等来支持安全风险的评估分析以及协调安全机制的综合能力的发挥。

     可信网络世界体系架构（TCAF）理论体系及标准化工作的目的就是要通过规范化的安全资源管理以及网络虚拟主体的组织、管理及其行为监管，来建立网络虚拟世界的可信秩序，并以此来指导用户的信息化安全体系的建设，并促进信息安全产业的安全服务能力的提升。

      TCAF对于“网络世界安全”问题研究的多视图概念，认为用户、监管部门、政府以及信息安全产业是从各自的出发点，以不同的视角来看待同一个研究对象，给出的结果自然是要求、需求或是服务。显然，信息安全产业则是考虑如何针对用户的需求，在遵循一定的国家标准、要求的前提下，为用户提供相应的服务。在不同的发展阶段，国内信息安全产业提供的核心服务能力还是有很大的差别的：

因此，提供安全资源的整合管理方案的能力以及保障用户业务运维的安全服务能力才是现在信息安全产业的核心竞争力。业内的企业中，谁能够具备这些能力就会占据更为有利的发展地位。

我们目前力推的可信网络世界体系架构框架（TCAF），正是期望为国内安全产业及其企业的核心竞争力（安全服务能力）的有效提升，所进行的信息安全理论、技术与标准体系方面的研究成果。这里的“安全服务能力”，侧重于：提供用户信息安全体系化建设的咨询服务能力、提供安全资源管理与整合的体系化解决方案能力，提供对网络信息资源的相关主体的预期行为及其合规性进行动态监管与控制（风险评估、消除的动态过程）的能力等；而不仅仅是当前提供安全产品及产品服务的能力。

TCAF主要关注的就是网络虚拟世界的主体及其行为管理体系的建立问题。显然，物理世界中的成熟管理理论体系对TCAF管理理论体系的完善，必然有很好的借鉴作用，并有助于对TCAF的各种管理平台体系架构的理解。

      可信网络世界体系结构框架正是从全局的角度来考虑如何构建网络世界安全体系的，改变了信息安全产业界以往以产品为中心提供解决方案的思路。

      在全新的TCAF理论技术体系指导下，能够针对不同的用户需求，研发相应的安全产品或通过安全产品与安全机制的有选择整合，从而为用户提供针对性的体系化解决方案和完善的安全服务；使用户的安全资源发挥最大的综合效益。

      因有网络世界的安全体系架构的理论指导，用户在构建自己的信息安全保障体系的时候，也能够很容易的制订自己的逐步建设规划，在充分保护已有安全投资的前提下，明确自己的每一步投入的价值和最终实现的目标；能够真正使用户在建设的过程中做到心中有数，而不是“摸着石头过河”式的走一步、算一步的建设方式；从而使得整个项目的建设过程真实可控。

原 文章:[转]SOA的理念驱动整个中间件产业结构的调整

中国信息安全产业商会主持进行的可信网络世界体系结构框架（TCAF）研究及标准化的过程中，对信息系统间的互联互通问题的解决采用的是基于多代理服务体系的多平台架构形式。个人认为：在TCAF落实的过程中，SOA的一些理念和实现技术对TCAF框架下的多代理服务平台的实现，应该有很好的借鉴作用。

这段时间对TCAF如何支持等级保护/分级保护以及其他相关安全标准的问题做了一些思考，并以表格的方式对TCAF与这些标准进行了一个初步的对比分析，提出了个人对这些标准的关注点及其关系的一些看法（因是刚汇报过的部分工作内容，暂时不能详细给出）。这里仅依据TCAF的网络世界安全的多视角概念，给出个人对这些标准间关系的一个基本观点：