专栏首页大数据文摘如何进行安全架构规划

如何进行安全架构规划

点击标题下「大数据文摘」可快捷关注

【数据安全】一直是大数据文摘想做的专题,诚邀此领域专家一起筹划。大数据文摘不仅能给读者带来价值,也愿意为有能力、愿分享的朋友提供交流平台,感兴趣此话题的朋友请给文摘后台留言,谢谢!

版权方授权转载

摘自:NUKE同学的手抄报(微信ID: NUKE404)

转载需征求版权方同意

这个专题如果要讲全,半天都讲不完,这里就简单讲一些核心的,还有介绍推荐一些参考框架和材料,更深层的自己领悟吧。

目前国内传统的安全规划,多是简单根据想买/想卖的产品堆砌一下方案,进而形成一个项目或采购清单就作为规划。从严格意义上来讲,这也就是个安全方案水平,而远远达不到规划水平。不从企业战略出发,不考虑企业业务需求,空想的安全规划都是YY,或者厂家挖坑。规划必须有一定前瞻性,不然实际操作时会发现开始做的规划都是无法操作的,每年都不会真按规划操作,项目也会出现诸多冲突、重合、重复的,完全不能达到规划的目的。

信息安全并不是什么单独奇特的领域,其实质也是IT的一部分,其方法均可以从IT中进行借鉴。而在IT领域,目前比较流行的是采用企业架构EA的方法来进行架构设计和规划。

其实规划包含两部分工作,未来架构的设计和根据架构设计而展开的高阶方案制定和项目清单梳理,其核心交付其实就是一个项目计划清单。其中架构设计是目前安全行业规划普遍薄弱的地方。

IT安全架构目前最流行的方法就是TOGAF,如下图。

内容就不详说,资料网上可以找到,其核心就是如何从企业战略开始、以需求管理为核心,如何一步步制定业务架构、信息系统架构、技术架构、机会识别和解决方案制定、计划制定、实施管控、架构变更管理。

安全架构规划需要重点进行参考的是其从战略到业务,再到应用,再到系统的设计方法,以及其中的设计内容。还有一个值得参考的是,架构不是只设计一个框架,后续的架构管控和架构变更也一定是架构设计的一部分重要内容。还有一个安全人员需要重点学习的地方,就是架构中的标准术语和系统设计的方法,什么数据流、业务流的诡异方法和词汇,其实被专业的人看都笑死了。就跟大家都叫轿车,突然一个做轮胎的出来说这是一个四轮行驶物一样逗。

然后再多说一下,架构又可以分为总体架构和系统架构两个层级,其中规划部分主要对应的是总体架构,具体系统对应的是系统架构。架构不仅仅停留在规划层面就结束。

安全架构设计:SABSA

对于安全架构设计,国际上还有一个比较流行的方法叫SABSA,如下图。

SABSA的六层模型,也是一个可以涵盖从规划到系统建设的模型,架构实际上是一种认识、理解、沟通框架,利用一些好的成熟框架的好处就是可以跨域沟通、保证考虑问题不会少。blablabla...这句略跑。SABSA矩阵如下图。

SABSA也有一系列的风险管理、保证及管控等框架,如下图。

关于SABASA融合至TOGAF也有参考框架如下图。

现有框架理论其实只是一个最佳实践参考,实际操作过程中都需要根据需求、客户情况、项目复杂程度,甚至自身能力进行定制,我自己的框架和方法就不说了。

推荐一些厂家和组织的安全框架和方法论。

(一)IBM的安全架构

源文件网上可以搜到,Using_the_IBM_Security_Framework_and_IBM_Security_Blueprint_to_Realize_Business-Driven_Security.pdf

其总体安全框架如下图,不详述了,自己看好了。

方法。

安全蓝图。

IBM的这白皮书对很多刚开始进行安全架构设计的是个很好参考,基本东西也都不缺了,照抄做一个完整项目也是基本够用的,但是需要注意的是,这也是我说的一个我说的“定制化”的框架。其主要的定制部分是把其中内容对应到其解决方案和产品,你懂的。

(二)Information Security Forum的安全架构报告,简称ISF。

这报告也对什么是安全架构,其包含哪些层面,如何进行各层面设计进行了详细描述。

其三层安全架构模型。

示例概念层安全架构。

示例逻辑层安全架构。

示例物理层安全架构。

业务安全需求和安全控制关系。

企业架构与安全架构关系模型。

重点都已点到,大家自行搜索材料学习吧。这里面提到的只是一个引子,阐述了我的部分观点而已。关于方法,每个公司,甚至每个人都可以有自己不同的理解,不同方法。从某种意义上来说,架构其实是一种认识世界的方法,一种语言,英语、汉语、法语、俄语...没有哪种语言是错的,只有你熟悉的,喜欢的,适用的。

点到即止,发完收工。

本文分享自微信公众号 - 大数据文摘(BigDataDigest)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2014-10-23

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 你永远不想被问到的12个真实技术工作面试题

    大数据文摘
  • 思科资深顾问马旻,解读金融私有云架设信息化金融之路(PPT下载)

    大数据文摘
  • 儿童节|你和你的孩子都该警惕的超级盐弹

    大数据文摘
  • 移动开发架构选型大PK

    架构设计在现今已经成为软件开发必不可少的环节,而架构学习和架构选型往往是一个困难的“工程”。若有一天我们想要改善现有软件的架构模式,或对架构的选择感到迷茫,我们...

    博文视点Broadview
  • 聊聊架构设计做些什么来谈如何成为架构师

      也因为碎片化的时间多了,所以开始刷某乎了,关注了架构相关的板块,也顺手回答了一些问题。发现有很多同道中人正在经历着我前两年经历的阶段,对于做架构没有相对具象...

    Zachary_ZF
  • 《一线架构师实践指南》—— 读后总结

    之前总觉得架构是一件很高大上的工作,跟普通的编码设计不太一样。前一段实践,自己也尝试做过架构的工作,可惜经验不足导致架构非常混乱。这里读完这本书,大体上对架构...

    用户1154259
  • 工作多年,我对架构的一些理解

    每一个程序员都听过架构这个词,每一个程序员都有自己对此的理解和看法,本文分享我对架构的理解。

    Frank909
  • 架构如何为业务和技术“服务”(1)

    前言 为提升架构对于项目,产品的贡献度,更好的服务于业务和技术,本文将探讨架构的现状和规划未来架构的目标。 在讨论架构、业务、技术的问题前,请耐心的阅读完本文有...

    用户1177503
  • 美丽的架构

    美丽的架构究竟是怎样的?架构师们上下求索,孜孜以求,始终不得其解。归根结底,美丽这个词语总还是偏于感性认识,就仿佛音乐之美,绘画之美,不能以尺度来衡量,追求的其...

    张逸
  • 那些没说出口的研发之痛,做与不做微服务的几大理由

    如果在诸多热门云计算技术中,诸如容器、微服务、DevOps等,找出一个最火的方向,那么非微服务莫属。在小数推荐的这篇文章里,做与不做微服务好像理由都很充分。另外...

    程序猿DD

扫码关注云+社区

领取腾讯云代金券