本章需掌握知识点:

  • 企业安全架构
    • 了解企业安全架构的概念
    • 了解舍伍德商业应用安全架构模型构成及生命周期

一、企业架构的概念

  1. 什么是企业安全架构
    1. 企业架构的一个子集
    2. 定义了信息安全战略,包括分层级的解决方案、流程和规程,与企业的战略、战术、和运营链接的方式
    3. 开发企业安全架构的主要原因确保安全工作以一个标准化的和节省成本的方式与业务实践相结合

  2. 常见企业安全架构

    1. 舍伍德的商业应用安全架构(SABSA,Sherwood Applied Business Security Architecture)
    2. Zachman框架
    3. 开放群组架构框架(TOGAF,The Open Group Architecture Framework)

      二、舍伍德商业应用安全架构模型构成及生命周期

  3. 舍伍德的商业应用安全架构模型

    1. 分层的模型,包括六个层级,六个因素 |
      | 资产(什么) | 动机(为什么) | 过程(如何) | 人(谁) | 地点(何地) | 时间(何时) | | —- | —- | —- | —- | —- | —- | —- | | 背景层 | 业务 | 业务风险模型 | 业务过程模型 | 业务组织和关系 | 业务地理布局 | 业务时间依赖性 | | 概念层 | 业务属性配置文件 | 控制目标 | 安全战略和架构分层 | 安全实体模型和信任框架 | 安全域模型 | 安全有效期和截止时间 | | 逻辑层 | 业务信息模型 | 安全策略 | 安全服务 | 实体概要和特权配置文件 | 安全域定义和关系 | 安全过程循环 | | 物理层 | 业务数据模型 | 安全规则、实践和规程 | 安全机制 | 用户、应用程序和用户接口 | 平台和网络基础设施 | 控制结构执行 | | 组件层 | 数据结构细节 | 安全标准 | 安全产品和工具 | 标识、功能、行为和访问控制列表(ACL) | 过程、节点、地址和协议 | 安全步骤计时和顺序 | | 运营层 | 业务连续性保障 | 运营风险管理 | 安全服务管理和支持 | 应用程序和用户管理与支持 | 站点、网络和平台的安全 | 安全运营日程表 |

  4. 每层的介绍

    1. 背景层(业务视图)
      1. 业务视图说明所有架构必须满足业务要求。了解该系统的业务需求驱动,选择合适的架构
      2. 业务视图被成为背景环境的安全架构。这是安全系统必须设计、建造和运营的业务范围内的描述
    2. 概念层(架构视图)
      1. 架构是整体的概念,可满足企业的业务需求。也被成为概念性的安全架构。
      2. 定义在较低层次的抽象逻辑和物理元素的选择和组织上,确定指导原则和基本概念
    3. 逻辑层(设计视图)
      1. 设计师架构的具体反映,设计过程通常被称为系统工程,涉及整个系统的架构元素的识别和规范。
      2. 逻辑的安全架构应该反映和代表所有概念性的安全架构中的主要安全战略
    4. 物理层(建设视图)
      1. 设计是产生一套描述了系统的逻辑抽象,这些都需要形成一个物理的安全体系结构模型,该模型应描述实际的技术模式和指定的各种系统组件的详细设计。
      2. 如需要描述提供服务的服务器的物理安全机制和逻辑安全服务等。
    5. 组件层(实施者视图)
      1. 这层的模型也被成为组件安全架构。
    6. 运营层(服务和管理视图)
      1. 当建设完成后,需要进行运维管理
      2. 保持各项服务的正常运作,保持良好的工作秩序和监测,以及按要求执行
      3. 也被成为服务管理安全架构。关注的焦点是安全性相关的部分。