什么是安全架构

安全架构是评估信息安全控制并在 IT 系统中实施正确的业务流程和工具以保护组织正在使用和存储的数据的过程。归根结底,安全架构只是第一步——安全来自实施和运营。

如果没有正确建立良好的安全架构,组织的团队就会陷入寻找随机防御威胁的设计和实施的困境。大多数“网络安全架构”都是被动且面向威胁的。但是,强大的安全架构将提供预防措施,确保企业安全。

在本指南中,我们将分解什么是安全架构、安全架构的关键要素,以及为什么可靠的安全架构对组织如此重要。

什么是安全架构?

虽然安全架构有多种定义,但它最终是平衡机会和威胁的安全概念、程序和模型的集合。您的业务所做的一切都会带来利益和威胁的可能性。您在业务的不同部分会有不同的风险承受能力。良好的安全架构与您的利益和风险目标相匹配。从本质上确保您在网络攻击中保持足够的安全。业务需求通过安全架构转化为可操作的安全需求。

立即掌握它的一种方法是将其与传统建筑进行比较。安全架构师的工作与房屋、学校或商业建筑架构师的工作非常相似。他们分析房产,考虑客户偏好、土壤类型、地形和气候(土地的现有条件)等方面,然后制定策略以达到预期结果(蓝图)。其他人建造结构,在这种情况下,建筑商和承包商, 在架构师的监督下保证其实现目标(架构治理).

大多数安全架构的目标是保护企业免受网络威胁。安全架构师将与其他 企业架构师 在您的企业中工作一段时间,以发现是什么让您的组织与众不同。他们将与您的高管、员工和 业务架构师 了解您的公司目标、系统要求、消费者需求和其他重要方面。然后,他们可能会制定适合您公司目标并满足您声明的网络安全风险偏好的策略和建议。

有许多 企业架构工作 在领先的企业架构团队中。如果您想探索角色,请跳至 不同的企业架构工作.

安全架构的四个关键要素。

为了更好地理解安全架构的性质,在四个关键上下文中查看安全架构会有所帮助。

没有独立的安全架构

让我们安全架构的一个重要组成部分是没有独立的安全架构。这是一个“跨领域关注”。这意味着每个人都有一个安全方面 企业架构领域.例如:在您的业务环境中,当您考虑您的企业软件时,它会有一个安全组件。这可以被视为您的安全架构和安全操作的一部分。

安全架构是跨领域的

SABSA 模型

安全架构的最佳实践是 SABSA。 SABSA 是一个风险驱动的企业信息安全架构框架,用于支持关键业务活动。虽然它与 扎克曼框架,SABSA采用核心结构。 SABSA 模型的主要特点是,一切都必须从对安全业务需求的研究中得出,尤其是那些将安全作为开发和开发新业务前景的推动力的需求。

该流程从一开始就分析业务需求,并通过生命周期的战略和概念、设计、实施以及持续的管理和测量阶段开发一个可跟踪的链,以确保维持业务任务。该方法以基于现实世界经验的框架工具为后盾。

SABSA 模型本质上是通用的,可以作为任何组织的起点;但是,通过其结构所建议的分析和决策过程,它成为公司特有的,并最终高度个性化为特定的商业模式。它成为企业安全架构,对组织的战略信息安全管理计划的成功至关重要。

Conexiam 的团队与 The Open Group 和 SABSA 研究所 将行业标准的 EA 框架 TOGAF 与 SABSA 集成。 下载将风险和安全与企业架构集成的副本 想要查询更多的信息。

SABSA 解释矩阵

一切都与风险管理有关

安全架构是关于风险管理的.风险是不确定性对实现所有业务目标的影响。不确定性来自于错过机会和受到潜在威胁的打击。安全架构不一定能抵御威胁。必须涉及风险管理的一个要素。

控制与使用信息技术相关的风险的做法被称为信息安全风险管理或 ISRM。它需要识别、分析和响应对组织资产机密性、完整性和可用性的威胁。这种方法的最终目标是根据公司的风险承受能力来应对风险。企业应尝试为其公司确定并承担可接受的总体风险阈值,而不是期望消除所有潜在危险。

通常,作为安全架构一部分的风险管理将涉及识别资产、识别潜在漏洞、识别威胁、发现控制以及定期进行全面评估。

安全和企业架构需要整合

安全架构的开发需要与企业架构的开发充分结合。

在大多数企业中,提高安全性是一项不可能完成的任务。不是开发集成的安全架构,而是执行随机工作来保护业务的某些部分。通常与业务的其他部分容易渗透或破坏。提供安全环境需要采取预防、调查和补救措施。

许多传统的信息安全从业者认为安全架构只不过是安全规则、控制、工具和监控的存在。

所有安全专业人员都应该了解业务目标,并努力通过设计适当的安全控制来实现这些目标,这些安全控制可以很容易地被利益相关者证明并与业务风险相关。企业框架,例如 SABSA 和 TOGAF 标准,帮助协调安全和业务需求。

了解 TOGAF

TOGAF 是一个 企业架构框架.企业架构师使用 TOGAF 架构开发方法 (ADM) 专注于改变,减少错误,并使 IT 与业务部门保持一致,以创造高质量的成果。

看看我们的 TOGAF 与 SABSA 想到 TOGAF 的文章  萨博萨。使用世界一流的风险和安全性扩展您的企业架构。

 

安全架构培训

为什么网络安全架构对组织很重要

提高安全性的第一个(也是最明显的)优势是减少了安全漏洞。许多攻击者采用极其基本的攻击策略,针对那些不参与开发坚实安全架构基础的公司所共有的常见网络安全弱点。

几个不同的信息安全标准,如 HIPAA、GDPR 等,可能适用于您的公司。其中许多数据安全标准要求公司维护稳健且管理良好的安全架构,以及各种特定的安全程序。如果您将可靠的安全架构设计作为组织的关键组成部分,那么实现这些类型的标准会更简单。准确了解您的网络架构和集成的许多安全措施,尤其是可以更轻松地确定您是否有违反主要法律的危险。

赢得信心需要强大的安全架构。当您的公司被公认为网络安全领域的领导者时,它可能会帮助您获得他人的信任。这不仅仅适用于潜在客户;它也适用于未来可能发生的商业伙伴和潜在伙伴关系。

下一步:安全架构培训

本课程旨在加深对安全架构的理解。通过基于现实世界案例研究的练习,通过实践经验增强学习。

信息系统安全架构师的目标是设计有效管理与信息和信息技术相关的风险的控制。安全架构师的目标是保护企业,而不是技术。

有效的安全架构与企业架构完全集成。安全架构师必须使用而不是反对企业的工具、实践和文化。他们必须平衡防止成功的动力的需要。

关键安全架构学习目标:

完成本课程后,学生将能够:

  • 识别和评估与信息和信息技术相关的业务风险。
  • 了解如何沟通风险。
  • 描述机密性、完整性和可用性等关键信息安全问题。
  • 识别和描述典型信息系统架构中的特征,包括网络、操作系统和应用程序。
  • 描述安全性如何与架构和系统开发方法相适应
  • 识别并描述常见的安全控制。
  • 了解信息系统安全和隐私之间的联系
  • 了解信息系统安全标准格局。
  • 定义保障并了解保障在信息系统安全中的作用。
  • 识别并描述排名前 20 位的信息系统保护措施。

安全架构培训课程

包含在交付中:

  • 3天的教学
    • 演讲
    • 工作坊练习
    • 练习回顾
  • 所有 Conexiam 课件和练习材料的电子副本
  • 全部电子版 导航 课程中使用的模板和公共架构工具
    • 学生可以访问最新的课件、练习材料、 导航 一年多的模板和公共架构内容

所有课程材料均以电子方式提供。对于课堂交付课程幻灯片和练习材料在活页夹中提供。

推荐的先决条件:

了解系统或 企业架构.的完成 TOGAF® 9 认证 或者 EA 与 TOGAF® 和 导航™ 是一种资产。

谁该参加:

  • 想要更好地了解全局的安全工程师和设计师
  • 想要了解安全性的企业和系统架构师

有关更多信息 Conexiam的定制课程.

DIY成功之路
滚动到顶部