安全架构与ADM

对于在应用 ADM 中需要考虑的安全性等问题, TOGAF 9 提供了一些的指导原则。这些指导原则帮助部署ADM的企业架构师告知安全架构师,需要进行哪些安全架构方面的变更。作为指导,这些原则也力图帮助企业架构师避免遗漏关键的安全关注点。

企业中的各种利益相关者都会关注安全性,这一点除非架构师清楚这些干系人的特点,否则很难一下子看清楚。建议尽可能早地 让安全架构师进入到架构项目中去。在ADM的整个过程中,对于应该收集哪些具体的安全信息,采取哪些步骤,并创建哪些制品,TOGAF都给出了指导。与安全相关的架构决策和所有其他的架构决策一样,也应该能够追溯到业务和策略决策上,这些业务和策略决策应该源于风险分析。对于安全架构师的关注领域,普遍接受的领域包括:

  • 身份认证( Authentication):以某种方式证实跟系统相关的某个人或实体的身份。
  • 授权( Authorization):对已经建立身份的人或实体的允许的能力,进行定义并保证执行。
  • 审计( Audit):提供法定数据来证明系统的使用符合安全政策规定的能力。
  • 保证( Assurance):测试并证明系统具有支持安全政策规定所需的安全属性的能力。
  • 可用性( Availability):系统在发生非正常或恶意事件时,仍能运行而服务不会中断或耗尽的能力。
  • 资产保护( Asset Protection):对信息资产的保护使其免于遭受损失或非预期的泄漏,和对资源的保护使其免于未授权和非预期的使用。
  • 管理( Administration):增加或者改变安全策略、增加或改变策略在系统中的实现方式、以及增加或改变与系统相关的人或实体的能力。
  • 风险管理( Risk Management):组织对风险的态度和承受能力。

典型的安全架构制品包括:

  • 关于处理数据/信息资产的业务规则
  • 书面的和发布的安全政策
  • 成文的数据/信息资产的所有权和保管权说明
  • 风险分析的文档记录
  • 数据分类策略的文档记录

最近更新于 2022-05-14 孜孜不倦2022-05-05 发布, 已阅 963 次。