安全控制可以是管理的，技术的和操作的吗？

Question

我知道，安全控制分为三类，即技术、管理和运作。通过他们，我总是觉得，虽然一个控制属于上述一个类别，也可以属于另一个。例如，我觉得职责分离可以分为管理和操作控制。因此，我首先想知道，是否正确或错误的想法，第二，是否有人可以提供重叠的安全控制的例子。

Answer 1

您的第一个问题是绝对正确的，即安全控制可以以许多不同的方式进行分类，而且一个特定的安全控制可能属于其中的几个类别。

目前还没有绝对的普遍认同--也没有一套完整的分类，有些是上世纪90年代和2000年代有意义的旧分类，而较新的分类则是为了应对当代的防御战略而发展起来的。维基百科关于安全控制的文章列出了两种分类方案：{物理、过程、技术、法律}和{人员、技术、操作}。是手册显示另一组{管理，逻辑，物理}。你可以在谷歌上找到更多关于如何分类安全控制的意见。

不过，我建议您一开始就不要太依赖于安全控制类别。它们的级别太高，对特定系统的安全解决方案的实际设计和开发没有太大帮助。它们的帮助之处在于提醒您(安全专业人员)，安全控制不仅仅是技术性的。

实现可接受的残余风险水平的一个好的安全解决方案是，除了安全技术之外，还应采用各种相互重叠的控制措施，这一办法借鉴了来自有才华的人的持续安全洞察力和击溃操作程序(来自人才较少的人)。然而，太多的安全专业人士只关注最新的技术安全玩具，却忘了锁定网络壁橱的门(举一个微不足道的例子)。

请注意，如果您正在学习专业证书或安全类，那么无论您可能不这么认为，要通过考试，您都需要将证书或类别的类别定义，以及它们将安全控制放在这些类别中的位置。

关于你的第二个放大问题，一些概念上的安全控制的例子可能适合多种分类，我可以从我的头顶上想到：

• “确保计算机设备室的门被锁上”：这既是管理/实物(锁必须安装在门上)，也是程序/操作(一个人需要在日常的基础上检查锁)。
• “安全关键事件的审计日志应立即审查”：这既是技术性的(一些软件或硬件必须生成这些日志)，也是程序性/操作性的(人类需要最终审查这些事件并决定行动方针)。
• “访问敏感数据库服务器的管理员应定期接受背景调查”：管理(建立人力资源安全基础设施和资金/工作人员)、程序/业务(人力资源工作人员必须定期进行这些检查)、技术(大多数背景调查现在通过在线服务进行)。
• “边界路由器应配置为执行网络入侵检测”：技术(路由器硬件及其软件)和操作/过程(某人不仅必须在第一次正确配置路由器时，还必须定期对该配置进行审计，因为不幸的是，管理员会对路由器配置进行无记录和不适当的“动态”更改)。

我相信其他的回应者可以提出更多的例子。