如果加星标,可以及时收到推送
点击文末【阅读原文】,看到一个完整的安全系统
本文1024字,阅读时长4分钟,文章版本:V1.0
你好,我是你的朋友晓兵。又到了周四的时间,这里是锐安全《安全到底》栏目的第152篇、总第198篇原创文章《看了SABSA架构,才知道我们的方案问题到底出在哪儿了》,今天大约需要4分钟时间,希望能给你带来启发。
|
SABSA研究院的SABSA企业安全架构(SABSA Enterprise Security Architecture)是始于1995年,并发表于2009年的一个开发“基于风险驱动的信息安全和信息保障架构”的方法论。它是一个包括框架、模型、方法和过程的开放标准,并融合了TOGAF和ITIL架构。“风险驱动”与“业务优先”是SABSA最大的价值点,它批判了“技术驱动”的安全框架,提出了技术框架会通过伤害业务从而进一步伤害自己的深刻洞察。SABSA认为架构的目的是管理复杂性,并且需要关注业务和具备风险管理视角,因此需要引入“系统工程”思想,并平衡IT、业务与威胁之间的关系。同时也提出了一个让人反思的问题:为什么安全架构往往不能给企业带来好处?通常技术型解决方案只考虑本身的安全性,并不考虑给企业带来哪些风险,也不考虑成本与收益的平衡,最后安全性就被企业降级为最不重要的特性。另一方面,安全解决方案往往无法与其它系统进行集成,解决方案的多样性也会导致复杂度和成本增加,因此安全解决方案往往不但不能帮助业务,反而妨碍了业务。还有,安全解决方案往往只基于业务特殊性(business-specific),它们通常只关注业务信息的可用性、完整性、真实性和机密性,以及提供问责机制和可审计性。但是事实上,业务需求远远不止纯粹的“安全和控制”,还包括以下十五个方面:1、可用性(Usability):是否可以匹配客户的技术能力且符合客户的预期?2、互操作性(Inter-Operability):是否可以满足信息系统、应用之间的长期通信和互操作的需求。3、集成性(Integration):是否支持与应用、平台的集成。4、可支持性(Supportability):是否能支撑已经在使用的环境?5、低成本开发(Low Cost Development):模块化设计的解决方案能否以最低成本集成到开发计划中?6、快速进入市场(Fast Time to Market):是否能够最小延迟地集成到开发计划中,以满足市场的时间窗口?7、平台可扩展性(Scalability of Platforms):是否适合可能需要集成的计算平台?8、成本可扩展性(Scalability of Cost):入门级成本是否适合所针对的业务应用范围?9、安全等级可扩展性(Scalability of Security Level):是否支持其他安全技术?10、使用可扩展性(Scalability of Use):是否能够扩展以满足未来的用户数量、事务量、吞吐量和存储容量的要求?11、复用性(Re-Usability):是否可以通过复用来获得最佳投资回报?12、运营成本(Operations Costs):是否能够有效降低运营成本?13、管理成本(Administration Costs):是否能够有效降低管理成本?14、基于风险的成本/效益(Risk-Based Cost/Benefit Effectiveness):是否能够达到风险与收益的平衡?15、商业支持(Enabling Business):比如当企业开始扩展互联网、全球邮件、第三方远程访问、在线商业服务、数字娱乐、供应商远程运维这些新业务手段时,你的安全策略该如何与之匹配?
| 恭喜你,又看完了一篇文章。从今天起,和我一起洞察安全本质!这里是锐安全,今天就到这里,咱们下周四再见! |
点击文末【阅读原文】,看到一个完整的安全系统
如果你对本文有任何建议,
欢迎联系我改进;
如果本文对你有任何帮助,
欢迎分享、点赞和在看
如果心生欢喜,不如做个长期朋友:)
打开下面小程序,可连续收听本栏目音频
参考资料:
【1】SABSA.Enterprise Security Architecture,2009.https://sabsacourses.com/wp-content/uploads/2021/02/TSI-W100-SABSA-White-Paper.pdf
题图:碗中宇宙:属于你的这一碗
题图创作者:晓兵Jason与AI小助手
算法提供:SDXL
还没有评论,来说两句吧...