安全架构与ADM
对于在应用 ADM 中需要考虑的安全性等问题, TOGAF 9 提供了一些的指导原则。这些指导原则帮助部署ADM的企业架构师告知安全架构师,需要进行哪些安全架构方面的变更。作为指导,这些原则也力图帮助企业架构师避免遗漏关键的安全关注点。
企业中的各种利益相关者都会关注安全性,这一点除非架构师清楚这些干系人的特点,否则很难一下子看清楚。建议尽可能早地 让安全架构师进入到架构项目中去。在ADM的整个过程中,对于应该收集哪些具体的安全信息,采取哪些步骤,并创建哪些制品,TOGAF都给出了指导。与安全相关的架构决策和所有其他的架构决策一样,也应该能够追溯到业务和策略决策上,这些业务和策略决策应该源于风险分析。对于安全架构师的关注领域,普遍接受的领域包括:
- 身份认证( Authentication):以某种方式证实跟系统相关的某个人或实体的身份。
- 授权( Authorization):对已经建立身份的人或实体的允许的能力,进行定义并保证执行。
- 审计( Audit):提供法定数据来证明系统的使用符合安全政策规定的能力。
- 保证( Assurance):测试并证明系统具有支持安全政策规定所需的安全属性的能力。
- 可用性( Availability):系统在发生非正常或恶意事件时,仍能运行而服务不会中断或耗尽的能力。
- 资产保护( Asset Protection):对信息资产的保护使其免于遭受损失或非预期的泄漏,和对资源的保护使其免于未授权和非预期的使用。
- 管理( Administration):增加或者改变安全策略、增加或改变策略在系统中的实现方式、以及增加或改变与系统相关的人或实体的能力。
- 风险管理( Risk Management):组织对风险的态度和承受能力。
典型的安全架构制品包括:
- 关于处理数据/信息资产的业务规则
- 书面的和发布的安全政策
- 成文的数据/信息资产的所有权和保管权说明
- 风险分析的文档记录
- 数据分类策略的文档记录
最近更新于 2022-05-14, 由 孜孜不倦 于 2022-05-05 发布, 已阅 963 次。