前言:随着國家對網絡安全越來越重視,不少大型企業已經開展或者即将開展網絡安全頂層規劃設計工作,由于這項工作在國内外都還沒有太多體系化的、權威性的指導方法,是以,網絡安全行業的同仁們都在摸着石頭過河,本人也是其中的一員。近幾年,承蒙網絡安全領域的多位大佬指導教誨,個人也有幸在多個項目中不斷求索,獲得一點點經驗和感悟,突然萌生了寫一個關于大型企業網絡安全頂層規劃設計專題的想法,也是對這幾年安全規劃設計工作的系統性梳理。希望能堅持下去。
由于我既在大型企業做過資訊化和網絡安全,又在網絡安全廠商做過解決方案和規劃設計,是以在往後的分享中,我會在甲乙方的視角之間切換,讓甲方爸爸了解網絡安全頂層規劃設計的複雜、磨人又很有意義,然後能多給一點預算上的關愛;同時也希望乙方的同仁們都加倍努力,一起進步,更好的服務于甲方爸爸,為國家安全多做貢獻。
那麼,能看到這裡的人,我想基本上都在資訊化或者網絡安全領域錘煉過,也已經積累了不少的相關知識和經驗,是以可能就有人看到文章的标題後,開始發問,企業架構(Enterprise Architecture)是一種綜合性的管理方法,主要描述和規劃一個組織的各個方面,包括業務流程、資訊資産、技術基礎設施和應用系統等,以確定組織的各個組成部分互相協調,實作組織的目标和願景,他通常被我們用于指導企業資訊化規劃設計的方法,而網絡安全領域的規劃設計工作為什麼要提EA呢?
因為近觀這幾十年國内、外大型企業的發展,很多知名企業都是通過EA的方法論來指導企業資訊化的規劃和建設,而我們在網絡安全領域的實踐中得出一個重要結論:網絡安全是依附于資訊化的,它不可能獨立存在,資訊化環境是網絡安全業務的土壤,網絡安全其實就是資訊化的衍生,他們天生就是一體化的!這也是做網絡安全項目最基本的原則,大家要時刻牢記。如果哪天我們的甲方爸爸聽到乙方技術人員唾沫橫飛的講網絡安全,而不結合資訊化場景,那麼你可以判斷,對面的乙方一定在耍流氓。
是以,個人想要具備網絡安全的頂層規劃設計能力,除了要不斷的積累網絡安全領域的知識外,還要有資訊化知識的儲備,并且我們必須對EA要有深刻的認識,因為裡面蘊藏了不少做網絡安全規劃設計時可以參考借鑒的方法,這也是在開篇講EA的必要性。
為了能深刻的了解一個事物,我們通常會去探究它的起源和發展。我們把時間拉回到二十世紀的後半期,當時的美國引領的IT技術迅猛發展,IT技術不僅改變了人們的生活方式,還幫助企業大幅度提升産能和效率。在嘗到IT技術的甜頭後,企業們紛紛加大了這方面的投資。随着時間的推移,很多企業的核心業務越來越依賴IT技術,與之相關的資訊系統越建越多,結構也越來越複雜,IT技術在帶來生産力的同時,也引發了各式各樣的問題。
比如:在大型企業幹過資訊化的甲方朋友都知道,在10多年前,甚至現在,國内不少大型企業投入了大量的經費,建設了成百上千的資訊系統,而這些資訊系統都是煙囪似的,各自獨立,最後慢慢發展成一個個的資訊孤島,這種情況導緻企業經營資料無法高效流通,而且資料散亂、不準确,帶來最嚴重的問題就是,企業高層由于無法掌握全局的資訊,或者是得到了錯誤的資訊,而做出了不利的經營決策,這對于企業未來的發展影響深遠。
當IT技術逐漸淪為企業發展的“雙刃劍”時,人們對此進行深入的思考,我們發現在很長一段時間内,對于IT技術的發展,我們始終保持着它就是代表企業先進生産力的這麼一個慣性思維,而且我們在建設資訊系統的時候,通常僅關注于解決眼前的業務問題,缺乏全局性視角,當資訊化建設達到一定規模的時候,麻煩随之而來。是以,衆多企業都急需一套行之有效的、系統的、科學的方法來指導資訊化系統的有序建設,而企業架構(Enterprise Architecture)就是這個方法,它是在二十世紀七、八十年代,在美國發展起來的一套理論。EA發展曆程如下圖:
EA發展曆程
EA的發展有三條主線,分别是軍方(DODAF為代表)、政府(FEAF為代表)和企業民間組織(TOGAF為代表)分别引領。
衆所周知,很多先進的技術源頭來自于軍方,EA也不例外,1970年的時候,美國啟動了一項C4ISR計劃。當時這個計劃的目标并不是要建立企業架構,而是美國國防部(DOD)要建立一個大而全的系統,目的是對戰略部隊進行統一協同指揮、排程,進而形成美國現代軍隊的神經中樞。這一過程漫長且充滿波折,期間很多部門涉及其中,在1986年美國國防資訊系統局(US Defense Information Systems Agency/Center)開始開發TAFIM(Technical Architecture Framework for Information Management),直到1991年第一版草稿才完成,他的重點是指導當時商用市場的新技術在DOD内的應用。
随後美軍在經過阿富汗和伊拉克戰争的磨砺,這個大而全的系統日臻成熟,如何建構複雜巨型系統的方法已成體系,在2003年,美國軍方的“企業架構架構”發展成為更加成熟的DODAF v1.0,即:美國國防部資訊化總體架構架構理論,直到2010年釋出DODAF v2.02版,該架構以後會專門提及。
當美軍在開發TAFIM的時候,嗅覺敏銳的企業也緊跟腳步,1987年,在IBM工作的John Zachman先生撰寫了著名的論文:《資訊架構架構》(《A framework for information systems architecture》)。這篇論文雖然沒有明确提出企業架構和企業架構架構的定義,但是他首次提出了“資訊系統架構架構”這一概念。在這篇論文中,Zachman先生以現實生活中建造房子為例,用簡約的方式設計了一個資訊系統的構成所需要的元素以及他們之間的關系。這篇論文在業界也被奉為企業架構架構理論的開山之作,Zachman先生本人也被稱為企業架構架構理論之父。
美國政府随之引入了Zachman先生的成果,國家技術标準研究所在1989年也釋出NIST架構,此後聯邦政府内部出現了多個架構,例如,财政部的DOT等,但這種各自為戰的狀态并不符合企業架構的精神。于是在1996年美國頒布Clinger-Cohen(克林格·科恩)法案,主要是美聯邦政府想要改進和提升政府在資訊技術管理方面的效率和效能。法案要求由美聯邦CIO委員會負責牽頭IT架構開發、實施和維護,并稱之為“ITA”,被解釋為IT企業架構,也就是企業架構(EA)這一概念的由來。為了使聯邦政府應作為一個整體建立統一的企業架構,
于是在1999年9月,美國聯邦CIO委員會出版了聯邦企業架構架構(FEAF),作用是為聯邦政府機構資訊系統建設工作提供指導和規範,以實作資訊技術的整合、互操作性和效率。到了2002年2月,建設聯邦企業架構的責任由美聯邦CIO委員會轉移到了OMB(美國政府管理和預算辦公室),為此OMB建立了FEA-PMO(聯邦企業架構程式管理辦公室)來開發聯邦企業架構(FEA),FEA-PMO于2006年推出了企業架構評估架構(EAAF v2.1),2008年更新為EAAF v3.0。由此可見,美聯邦政府對企業架構的應用的推動也發揮了重要的作用。
當企業架構在美國聯邦政府興起後,企業架構的理念很快就得到各個咨詢公司和研究機構的認可,自1993年開始,The Open Group開始應客戶要求定制企業架構的标準,并于1995年在DOD的允許和鼓勵下,基于TAFIM釋出了第一版TOGAF v1.0,這也是大名鼎鼎的TOGAF的由來。之後經過數年的發展,The Open Group于2001年12月釋出了TOGAF 7,并于次年12月釋出了TOGAF 8。經過長時間的修修補補,在2009年釋出的TOGAF 9發生比較大的變化,它在TOGAF 8的基礎之上增加了内容架構等重要内容,使TOGAF架構更加完備。時至今日,已經更新到了TOGAF 9.2,也成為IT行業最受歡迎的企業架構架構,據統計,有80%的福布斯(Forbes)全球排名前50的公司在使用TOGAF架構指導企業的資訊化規劃設計。
以上就是企業架構(Enterprise Architecture)發展的基本脈絡,如果有興趣的話,大家可以找找相關資料進一步研究。後面,我還會圍繞DODAF、Zachman先生的論文、FEAF和TOGAF與大家做進一步分享,敬請期待。