企業安全架構開發模型與上一篇中所說的企業架構開發模型不大一樣,這裡舉例一個安全架構開發模型:SABSA模型,它是一個企業資訊安全架構開發的模型和方法論,具體什麼意思:它主要是應對,我們在做安全架構的時候,可能要整理一些需求出來跟大家讨論,基于那些方向去做開發,以此整理出來的一個模型,這個模型内容裡面可能包括了戰略、概念,實施、度量跟審計層次,具體有些像Zachman模型,是一個分層模型。
具體來說就是5W1H,什麼時候,什麼地點,什麼人,什麼地點完成了什麼樣的事情,但是,SABSA是從安全的角度去定義的。
我們這裡看一下SABSA的模型的橫縱坐标是怎樣定義的:
我們看一下縱坐标基本上是基于IT的一個層次的内容,例如說概念層,邏輯層,實體層,逐漸到達營運層。橫坐标,就是5W1H,什麼時候,什麼地點,什麼人,什麼地點完成了什麼樣的事情。那我們為什麼需要這個安全架構開發模型這個目标呢?其實是為了識别現在我們有什麼樣的資源,我們需要什麼樣的安全的一些措施,做了什麼安全的措施,那我們還需要做什麼措施進行加強,這個就是SABA模型帶來的其中一個意義。
安全控制模型這裡舉例一個模型CobiT,它是國際審計協會ISACA及IT治理協會ITGI聯合制定的目标集,名字有點長,首先說這個模型之前,我跟大家說一下企業架構,是組織建立的,系統架構的模型,是基于企業架構組織人員的,是與業務相關的。
CobiT模型主要說了四件事情,其實是一個循環,首先有計劃群組織,第二是獲得和實作,第三次傳遞和支援,第四是監控和評價。
COBIT是一個非常有用的工具,也非常易于了解和實施,可以幫助企業在管理層、IT與審計之間交流的鴻溝上搭建橋梁,提供了彼此溝通的共同語言。幾乎每個機構都可以從COBIT中獲益,來決定基于IT過程及他們所支援的商業功能的合理控制。當我們知道這些業務功能是什麼,其對企業的影響到什麼程度時,就能對這些事件進行良好的分類。所有的資訊系統審計、控制及安全專業人員應該考慮采用COBIT原則。