什么是安全架构?
虽然安全架构的定义多种多样,但它最终是平衡机遇与威胁的安全概念、流程和模型的集合。您的企业所做的每一件事都会带来收益和威胁。您在业务的不同部分会有不同的风险承受能力。良好的安全架构与您的收益和风险目标相匹配。本质上,它确保您能够充分抵御网络攻击。业务需求通过安全架构转化为可操作的安全要求。.
理解这一点的一个方法是将其与传统建筑进行比较。安全架构师的工作与房屋、学校或商业建筑的建筑师非常相似。他们会分析房产,考虑客户偏好、土壤类型、地形和气候(土地的现有状况)等方面,然后制定策略以达到预期效果(蓝图)。其他人则负责建造建筑结构,在这种情况下,指的是建筑商和承包商。, 在架构师的监督下,确保其实现目标(架构治理).
大多数安全架构的目标是保护企业免受网络威胁。安全架构师将与其他 企业架构师 在您的企业工作一段时间,以了解贵公司的独特之处。他们会与您的高管、员工和 商业架构师 了解贵公司的目标、系统要求、客户需求以及其他重要方面。然后,他们可以制定符合贵公司目标并满足您声明的网络安全风险偏好的策略和建议。.
安全架构的四个关键要素。.
为了更好地理解安全架构的本质,从四个关键角度来看待安全架构会有所帮助。.
没有独立的安全架构
安全架构的一个重要组成部分是,没有独立的安全架构。它是一个‘跨领域关注点’。这意味着每个安全架构都涉及安全方面。 企业架构领域. 例如:在您的业务环境中,当您考虑企业软件时,它会包含一个安全组件。这可以被视为您的安全架构和安全运营的一部分。.
SABSA 模型
安全架构的最佳实践是 SABSA。. 南非啤酒协会 是一个风险驱动的企业信息安全架构框架,用于支持关键业务活动。虽然它与 Zachman框架, ,SABSA 采用核心结构。SABSA 模型的主要特点是,一切都必须基于对业务安全需求的研究,特别是那些将安全作为开发和利用新业务前景的推动因素的业务需求。.
该流程从一开始就分析业务需求,并构建一个可追踪的生命周期链条,涵盖战略与概念、设计、实施以及持续的管理和衡量阶段,以确保业务目标得以实现。该方法以基于实际经验的框架工具为后盾。.
SABSA 模型本质上是通用的,可以作为任何组织的起点;但是,通过其结构所暗示的分析和决策过程,它会变得针对公司而具体化,并最终高度个性化,以适应特定的业务模式。它将成为企业安全架构,对组织的战略信息安全管理计划的成功至关重要。.
Conexiam 团队曾与 The Open Group 和 SABSA 研究所 将行业标准 EA 框架 TOGAF 与 SABSA 相结合。. 下载《将风险与安全与企业架构相结合》 了解更多信息。.
一切都与风险管理有关
安全架构与风险管理有关. 风险是指不确定性对实现所有业务目标的影响。不确定性源于错失良机和遭受潜在威胁。安全架构并不一定能有效防御威胁。风险管理元素必须纳入其中。.
控制与信息技术使用相关的风险的实践被称为信息安全风险管理(ISRM)。它需要识别、分析和应对对组织资产机密性、完整性和可用性的威胁。这种方法的最终目标是根据公司的风险承受能力来应对风险。企业应努力确定并承担公司可接受的总体风险阈值,而不是期望消除所有潜在风险。.
通常,作为安全架构的一部分的风险管理将涉及识别资产、识别潜在漏洞、识别威胁、寻找控制措施以及定期进行全面评估。.
安全性和企业架构需要整合
安全架构的发展需要与企业架构的发展充分结合。.
在大多数企业中,提升安全性几乎是不可能的。企业并非构建集成的安全架构,而是随意地对部分业务进行安全防护。而其他业务部门往往容易受到入侵或破坏。构建安全的环境需要预防、调查和补救措施。.
许多传统的信息安全从业者认为安全架构只不过是安全规则、控制、工具和监控的存在。.
所有安全专业人员都应了解业务目标,并努力通过设计适当的安全控制措施来实现这些目标,这些控制措施应易于向利益相关者证明其合理性,并与业务风险相关。企业框架,例如 SABSA 和 TOGAF 标准, ,有助于协调安全和业务需求。.
了解 TOGAF
TOGAF 是一个 企业架构框架. 企业架构师使用 TOGAF架构开发方法(ADM) 集中精力改变、减少错误,并使 IT 与业务部门保持一致,以创造高质量的成果。.
看看我们的 TOGAF 与 SABSA 思考TOGAF的文章 加 SABSA. 通过世界一流的风险和安全性扩展您的企业架构。.
为什么网络安全架构对组织如此重要
安全性提升的首要(也是最明显的)优势是安全漏洞减少。许多攻击者采用极其基础的攻击策略,瞄准那些缺乏扎实安全架构基础的公司常见的网络安全漏洞。.
您的公司可能适用多项不同的信息安全标准,例如《健康保险流通与责任法》(HIPAA)、《通用数据保护条例》(GDPR)等。许多数据安全标准都要求公司维护稳健且管理良好的安全架构,以及各种特定的安全程序。如果您将稳固的安全架构设计作为组织的关键组成部分,那么实现这些标准就会更加容易。准确了解您的网络架构以及其中集成的众多安全措施,可以更轻松地判断您是否面临违反重大法律的风险。.
赢得信任需要强大的安全架构。当您的公司被公认为网络安全领域的领导者时,它或许能帮助您赢得他人的信任。这不仅适用于潜在客户,也适用于潜在的业务合作伙伴以及未来可能建立的潜在合作关系。.
后续步骤:安全架构培训
本课程旨在加深对安全架构的理解。课程通过基于真实案例的练习,让学员亲身体验,从而提升学习效果。.
信息系统安全架构师的目标是设计有效管理与信息和信息技术相关的风险的控制措施。安全架构师的目标是保护企业,而不是技术。.
有效的安全架构必须与企业架构完全集成。安全架构师必须与企业的工具、实践和文化相协调,而不是相互冲突。他们必须在保护需求和成功驱动力之间取得平衡。.
关键安全架构学习目标:
完成本课程后,学生将能够:
- 识别和评估与信息和信息技术相关的商业风险。.
- 了解如何传达风险。.
- 描述机密性、完整性和可用性等关键信息安全问题。.
- 识别并描述典型信息系统架构中的特征,包括网络、操作系统和应用程序。.
- 描述安全性如何与架构和系统开发方法相适应
- 识别并描述常见的安全控制。.
- 了解信息系统安全与隐私之间的联系
- 了解信息系统安全标准概况。.
- 定义保证并了解保证在信息系统安全中的作用。.
- 确定并描述最重要的 20 个信息系统保障措施。.
安全架构培训课程
包含在交付中:
- 3天的指导
- 演讲
- 研讨会练习
- 练习回顾
- 所有 Conexiam 课件和练习材料的电子版
- 全部电子版 导航 课程中使用的模板和公共架构工具
- 学生可以访问更新的课件、练习材料、, 导航 模板和公共建筑内容超过一年
所有课程材料均以电子版提供。课堂授课的课程幻灯片和练习材料以活页夹形式提供。.
建议的先决条件:
对系统或 企业架构. 完成 TOGAF 企业架构培训课程 或者 EA 与 TOGAF® 和 导航™ 是一项资产。.
谁应该参加:
- 希望更好地了解全局的安全工程师和设计师
- 想要了解安全性的企业和系统架构师
欲了解更多信息 Conexiam 的定制课程.
