问对于企业体系结构来说，安全体系结构作为一个独立的学科有什么好处？

EN

我的第一个观察是，安全是每个人的责任。没有一个人能够监管整个组织的代码库。安全设计和企业设计在目的和目标上有本质上的不同，但两者应该紧密地相互作用，以获得最佳的效果。企业架构师的目标是设计一个系统，以满足业务需求，准确地表示业务流程，并为实现此类功能提供一致的模式。安全架构师的目标是设计一种安全模式，并为其实现和执行提供一致的模式。

在一个大的环境中，这两项任务的规模可能需要不同的人来完成，在业务流程和安全流程之间的职责分离方面可能会略有增加，但总的来说，我不认为有交叉技能的人不能同时完成这两项任务。(我作为一个具有安全设计背景的企业软件架构师这样说。)

发表一个与AJ的优秀答案相反的观点：

在一家大公司中，架构最终可能成为不同部门、国家、地区等的多个团队的责任，以便在每个区域发挥作用，而企业安全则可能从全球的角度进行管理，以减少整个组织的风险。

因此，我倾向于认为安全体系结构是体系结构或安全的一个子学科，从业者与企业架构师一起工作，以达到两个世界(或折衷)解决方案的最佳效果。

首先，如果您讨论的是企业体系结构中的纪律，那么我假设您将讨论以下四个方面：

• 业务体系结构
• 数据体系结构
• 应用体系结构
• 技术体系结构

当然，有许多子学科存在，但我认为上面给出的是最常用的学科(也是TOGAF使用的)。

虽然安全是一个非常重要的方面，但我认为它提供了一个非常详细的观点，而不是作为一项额外的纪律，在上述四个方面之外。企业架构提供了对组织结构的视图，该结构包含在其业务流程、数据(信息)对象、应用程序和基础设施中。所有这些都需要安全，但它们需要更多，这取决于组织所设定的目标。

如果组织没有将安全性设置为目标(意味着它从未出现在萨赫曼框架的动机列中)，则不应将其转换为流程、数据对象、应用程序或基础结构。这是为什么不应将安全体系结构视为EA中的一个独立学科的核心原因之一:安全性不是组织的基本结构的一部分，而是可以选择的结构。

这并不是说安全架构不重要。比较而言:业务流程需要有效率。为什么它需要有效率？因为这是显而易见的，虽然理论上它应该是有效的，只有当有一个动机(Zachman，再次)使这个过程有效。安全方面也是如此。应用程序应该是安全的，因为它很明显(对我们来说)。然而，从理论上讲，应该存在确保应用程序(或业务流程、数据或基础设施)安全的动机。

最后引用TOGAF作者的话：

安全问题普遍存在于体系结构领域和体系结构开发的所有阶段。安全性是单独调用的，因为它是很少对业务功能可见的基础设施。其根本目的是保护企业的系统价值和信息资产价值。

这句话提醒我们，安全实际上对企业架构师和相应的框架非常重要。它只是不属于一般分类(业务、数据、应用程序、技术)。当然，如果您的问题是“为什么企业架构不关心安全性？”或者“为什么EA-方法学从来不谈论安全性？”，我会完全不同意你，因为他们(我)关心，而方法确实谈论安全。

现在，在结束这个答案的时候，我注意到我实际上没有直接回答你的问题。因此，最后一句话是:在EA开发过程中，将安全性作为主要关注事项是有好处的，企业架构师应该已经知道了这些好处。这只是一座桥太远，不能把它作为一个独立的学科，旁边的四个著名的子学科的EA。