「企业安全架构」EA874:信息安全架构

简介: 「企业安全架构」EA874:信息安全架构

信息安全架构框架的结构与内容

企业信息安全架构(EISA)是信息安全计划的关键组成部分。EISA的主要功能是以一致的方式记录和通信安全程序的工件。因此,EISA的主要可交付成果是一组将业务驱动因素与技术实现指导联系起来的文档。这些文档是通过多层抽象迭代开发的。

信息安全应在架构框架中定义三个维度或视角:

  • ·表示信息安全组织和流程维度的“业务”视图。这种观点反映了“安全业务”,即它代表了信息安全在组织中的实施方式,以及“安全业务”如何通过流程、角色、职责和组织结构与企业的其他部分相互关联。
  • ·表示运行信息安全功能所需信息的“信息”视图。它表示安全团队使用的信息模型,以及用于捕获企业信息的安全需求的模型。
  • ·代表安全基础架构的“技术”观点。它捕获用于将不同的安全需求抽象为所需硬件和软件配置指南的模型。

安全架构应该描述如何将安全性编织到业务结构中。因此,EISA应该与组织的EA集成。EISA过程必须允许来自其他规划规程的设计组件的输入和接口点(图1)。许多这些输入可以从EA获得。然后,随着架构和安全过程的成熟,EISA和EA之间的关系应该变得越来越共生和集成。



图1

EISA(企业信息安全架构)内容

EISA由三层文件组成:

  • 1] 需求:定义架构要实现的目标的文档。在概念层,这可以表示业务需求,例如战略产品计划或法规要求。在实现层,它可以表示技术产品规范。
  • 2] 原则:包含在架构(architecture)过程中指导决策的语句的文档。
  • 3] 模型:替代模式或当前和未来状态的表示。基于模式的模型表示业务流程和应用程序中重复出现的特性,并用作决策工具。当前和未来状态模型用于提高利益相关者之间的共同理解,并用于项目规划和优先顺序的差距分析。

用于实现安全架构的不同方法

术语“安全架构”可替换地用于描述一个过程、一组可交付成果,有时也用于描述作为该过程的结果而实现的解决方案。企业信息安全架构(EISA)是为支持信息安全计划而交付规划、设计和实现文档(工件)的过程。

EISA过程是一组动态的规划和设计活动。这些活动的确切性质取决于组织对安全架构采取的方法。有三种不同的战略方法:

  • 战略更新方法,其中架构的主要功能是指导企业安全环境的全面更新。
  • 机会主义方法,其中架构仅用于开发特定项目和计划的安全需求。
  • 混合方法,其中架构主要以机会主义的方式使用,但也有选择地用于更具战略性的规划目的。

定义有效信息安全计划的结构和范围

有效的信息安全需要一种集成的方法,在这种方法中,安全是业务流程核心结构的一部分,是组织文化的一个关键组成部分。这意味着安全团队必须努力将安全性的关键组件(策略、流程、行为和技术)注入IT的所有维度:业务流程、应用程序、技术基础设施,最重要的是人员。挑战的范围要求在更大的组织内建立战略安全计划。

一个有效的安全计划始于建立一个资源和原则框架。使用这个框架,可以管理项目的优先顺序列表。信息安全计划的主要目标是建立一个连续的、迭代的方案来规划、构建和运行从业务需求派生的安全解决方案为了确保这种解决方案的可伸缩性和可重复性,安全团队必须定义和实现战略安全流程。该计划应考虑到这样一个事实,即有效的安全态势是建立在适当的政策基础上的,而这些政策是由操作过程、文化行为和技术的有效组合所实施的。下面是一个显示安全模型组件的图表。


相关文章
|
1月前
|
Cloud Native Devops 持续交付
构建未来:云原生架构在现代企业中的应用与挑战
【2月更文挑战第31天】 随着数字化转型的加速,云原生技术已经成为推动企业IT架构现代化的关键力量。本文深入探讨了云原生架构的核心组件、实施策略以及面临的主要挑战。通过分析容器化、微服务、DevOps和持续集成/持续部署(CI/CD)等关键技术,揭示了如何利用这些技术实现敏捷性、可扩展性和弹性。同时,文章还讨论了企业在采纳云原生实践中可能遇到的安全性、复杂性和文化适应性问题,并提供了解决这些问题的策略和建议。
|
2月前
|
存储 监控 安全
360 企业安全浏览器基于阿里云数据库 SelectDB 版内核 Apache Doris 的数据架构升级实践
为了提供更好的日志数据服务,360 企业安全浏览器设计了统一运维管理平台,并引入 Apache Doris 替代了 Elasticsearch,实现日志检索与报表分析架构的统一,同时依赖 Doris 优异性能,聚合分析效率呈数量级提升、存储成本下降 60%....为日志数据的可视化和价值发挥提供了坚实的基础。
360 企业安全浏览器基于阿里云数据库 SelectDB 版内核 Apache Doris 的数据架构升级实践
|
28天前
|
运维 Cloud Native 持续交付
云原生架构的未来演进:打造灵活、高效的企业IT基础
随着数字化转型的不断深入,企业的IT基础设施正经历着从传统架构向云原生架构的根本转变。本文将探讨云原生技术的最新发展趋势,分析其在提高业务敏捷性、降低运维成本以及促进技术创新方面的关键作用。我们将重点讨论如何借助容器化、微服务、DevOps和持续交付等核心技术,构建一个能够适应快速变化市场需求的云原生生态系统。通过实际案例分析,揭示企业在迁移到云原生架构过程中面临的挑战与解决策略,为读者呈现一幅云原生技术赋能企业未来的蓝图。
|
11月前
|
安全 架构师
【企业架构】什么是 TOGAF? 企业架构方法论
【企业架构】什么是 TOGAF? 企业架构方法论
|
13天前
|
运维 Cloud Native 持续交付
构建未来:云原生架构在现代企业中的应用与挑战
【4月更文挑战第10天】 随着数字化转型的不断深入,企业对信息技术基础设施的要求日益提高。云原生架构作为一种新兴的设计理念和技术集合,以其灵活性、可扩展性和容错性,正在成为推动企业技术革新的关键力量。本文将探讨云原生技术的核心组件、实施策略以及面临的主要挑战,并分析如何通过采纳云原生架构来优化业务流程和提升服务效率。
|
1月前
|
Cloud Native 安全 网络安全
构建未来:云原生架构在企业数字化转型中的关键角色网络安全与信息安全:防御前线的关键技术
【2月更文挑战第30天】 随着数字转型的浪潮席卷各行各业,企业正寻求更加灵活、可扩展的解决方案以适应不断变化的市场需求。本文将深入探讨云原生架构如何成为支持这一转型的核心技术,分析其优势和挑战,并提出实施策略。云原生技术的采用不仅加速了开发过程,还提供了自动化运维、弹性伸缩等特性,为企业带来了前所未有的敏捷性和效率。然而,迁移至云原生架构也伴随着技术复杂性增加和安全风险的挑战。文章最后,我们将提供一系列最佳实践,帮助企业在采纳云原生技术的过程中规避风险,实现持续创新。 【2月更文挑战第30天】 在数字化时代,数据成为核心资产,而网络安全与信息安全则是维护这些资产不可或缺的屏障。本文深入探讨了
|
1月前
|
Cloud Native 安全 Devops
构建未来:云原生架构在现代企业中的应用与挑战
【2月更文挑战第30天】 随着数字化转型的深入,企业正迅速采纳云原生技术以适应不断变化的市场环境。本文探讨了云原生架构的关键组成部分,包括容器化、微服务、持续集成/持续部署(CI/CD)和DevOps实践,并分析了它们如何促进企业的敏捷性和可扩展性。同时,文章也识别了企业在采用云原生技术时面临的安全、文化和技术挑战,并提出了相应的解决策略,以帮助企业在云时代保持竞争力。
|
4月前
|
安全 网络架构
对转发路由器TR在企业云上网络架构规划中的使用体验测评
对转发路由器TR在企业云上网络架构规划中的使用体验测评
432 3
|
7月前
|
弹性计算 网络协议 数据库
弹性计算Clouder认证:企业级云上网络构建——课时8:企业网络架构最佳实践
弹性计算Clouder认证:企业级云上网络构建——课时8:企业网络架构最佳实践
104 0