SABSA企業安全架構-白皮書

什麼是SABSA？它有哪些特點？

概念

SABSA是一個方法論，它通過開發以風險作為驅動的企業資訊安全系統和企業資訊保證結構來派生以支援關鍵商務的安全架構解決方案。

特點

• 它是一個開放式的标準，容納了大量的架構、模型、方法和步驟；它是完全免費的産品，它在使用者使用标準來開發結構和執行方案時是不需要許可證的。
• SABSA不會取代任何現有的資訊風險或資訊安全标準，也無需與之競争-它的存在提供了一個總體架構，使所有其他現有的标準加以整合在一個單一的SABSA架構中，并使之聯合起來，形成一個從終端至終端的結構解決方案。
• SABSA與其他标準無縫結合(如TOGAF和ITIL)，并填補了“安全架構”和“安全服務管理”之間的空隙。

從建築學角度了解企業安全架構

建築學的思想

建築學是一套規矩和管理，用于滿足我們建築的要求，這種要求可以是功能角度來提出，也可以是從審美角度來提出。我們對架構設計的概念是為了滿足我們生活，工作，創業，旅行，社交，或是休閑之需。而如此複雜多樣的互動必須通過支援各種各樣的行為活動來完成，這就必須包含每種行為活動間的互相關系以及由于活動間的整合所形成的一個生命周期。而這些活動又以需求的形式最終落地到建築結構上。

決定我們将建造什麼樣的架構，需要考慮三個因素：

·我們的目标

·環境

·我們的技術能力

對于資訊系統的架構，需要考慮到：

• 我們通過系統來實作的目标
• 系統在環境上的建立及使用
• 用于建設和營運系統與其組成部分的子系統所需的技術能力

什麼是架構？

‘架構’的一個關鍵功能是使用建築師的工具來成功解決管理架構的複雜性。小型的，孤立，個别項目并不需要’架構’，因為它們的複雜程度是有限的，單獨一個首席設計師就可以管理整體設計。然而，由于項目的規模和複雜性的增長，對多個設計師的需要就很明顯，所有人共同協作并作為一個團隊來創造一個像是從一個設計表現出來的有獨特設計。

随着複雜程度的增加，則需要一個架構，使每一個設計人員可以在其中工作并促進整體設計的進行。

’架構’這個角色是用來提供架構，使複雜的事物分解并變簡單。這可以通過分層技術實作-思維注意力集中在具體概念層上，并通過子產品化-将原有整體設計打破成可以管理部分并定義其功能和接口。這個過程也被稱為‘系統工程’。

企業安全架構

它是企業組織的共同經驗，許多資訊安全解決方案往往是設計，安裝和實作上都具有針對性。一個要求被确認，一個規範被發展，一個解決方案被用以應付不同情況。在這個過程中并沒有考慮戰略層面，其結果是該組織的以一對一的方式建立了一系列的技術方案，每個方案都是各自獨立設計和指定，并不能保證他們将來的相容性和互相可操作性。通常沒有分析長期成本，特别是成本中總營運成本的構成比例較大，而且沒有可辨認支援企業的各項目标的政策。

企業安全架構，它具有業務驅動性，并描述了結構化程式中技術和解決方案之間的關系以滿足對長期商務需要的支援。如果體系結構要取得成功，那麼它必須提供一個合理的架構并且所有的決定都是基于安全解決方案的選擇之上。決策的标準應該是來自對商務要求的深入了解，這包含：

• 降低成本的需要
• 子產品化
• 可伸縮性
• 易于元件再利用
• 可操作性
• 可用性
• 在内部和外部互操作性
• 與企業IT架構和其遺留系統的整合性

安全架構成功的一個最重要的因素是企業内進階管理人員的接受和支援。企業架構實作與否取決于最高層決策者是否在站在你的立場上。隻有使整個企業共同長遠思考共同協作才能真正享受到一個架構所帶來的成果。

舍伍德（SABSA）安全架構

6種視角

業務視角

當一個新的建設被授權建設，其委托業主會有一套滿足架構的業務需求。在最高一級，其需求表達了對建築物名稱的描述：它是一個國内的房子，一個工廠；一辦公大樓，一個體育中心，一所學校，一個醫院，一個倉庫，一個劇院，一個購物中心，一個機場，一個火車站；或什麼的。

架構視角

架構師是具有創造力且同時能夠從宏觀上考慮問題的人。建築師熱衷于具有挑戰性的商務需求。他們列集了他們的技能，經驗和專業知識得到靈感來創造建築圖，并對其進行高層次描述。這些建築圖的細節描述工作需要其他專業人士的知識技能來填補。

設計視角

設計者将接替架構師的工作。設計者解釋架構師的概念設想，把它建設成一個邏輯結構，設計，創造一個真實的的建築。架構師是一個藝術家而且富有遠見，但設計者則是工程師。

在商業計算和資料通訊的世界裡，這種設計過程通常稱為系統工程。它涉及到整個系統的鑒定和邏輯上建築元素的較長的描述。可以把這種業務模式看作為一個系統，系統組建本身就是一個個個子系統。它将主要架構安全要素用安全服務這種邏輯表達出來，并介紹了邏輯上的元素間的控制流程和互相關系。是以，這也被稱為邏輯安全體系架構。

建設者視角

架構設計師會把工作傳遞給建築商或建造商。建築商是那些可以采用邏輯描述及圖紙然後把它們建設這些成為一個技術模型并用于之後興建的人。建築商的角色是用于選擇群組裝的實體元件，使邏輯設計落地成生活中一個真正的建築。這種觀點，是以也被稱為實體安全架構。

在商業資訊系統的世界裡，設計師設計出一系列對系統的有邏輯性的抽象描述。這些都需要變成實體安全架構模型，并通過模型描述其實際技術模式和詳解所指定的系統元件。邏輯安全服務是在服務方面表示，現在的實體安全機制和伺服器，将這些服務進行承載。

實施者視角

當建設商計劃的建設過程中，需要建造建築的專家團隊：砌磚工，泥水匠，電工，水管工，木匠等。它們每一個人都會給我們帶來一些非常具體的生産技能和一些非常具體的産品，以及全面的建設的程序。是以，在資訊系統建設中，建築商需要組裝和安裝專業廠商出産的系列産品，還需要一個擁有整合技術的團隊加入整個産品設計應用中。

每一次整合和安裝都相當于一個商人與等同于建築材料群組件的特殊産品及系統互相工作。它們可能是與硬體有關的，與軟體有關的，或是面向服務的。從實施者的角度，這就變成了硬體項目，軟體項目和接口标準與規範。是以，這種模型層的建築也被稱為元件安全架構。

服務和管理視角

當建築物完成後，總要有人來維護這個建築。這樣的人通常被稱為經理或服務經理。服務經理的工作是管理整個建築的的運作，其建築的服務設施，維護良好秩序，監測并觀測它是如何在滿足規定而執行。在這個架構就是所謂的服務管理安全架構。

SABSA生命周期

在此SABSA生命周期中，前兩個階段的過程被歸類為‘戰略與規劃’。其次是’設計’，它包含了建築設計中的邏輯設計，實體設計，元件設計和服務管理設計。再來就是‘實施’，緊随其後的則是‘管理和衡量’。

‘管理和衡量’這一活動的活動的重要意義在于提早設定目标績效名額。一旦該系統投入使用，衡量目标的實際性能并管理任何一個被發現的偏差。

SABSA業務風險模型

SABSA保證模型

總結：

SABSA是一套資訊系統安全架構架構，以業務視角作為起點，從6個層面提供了企業資訊系統的安全架構的完整解決方案。SABSA是一套開放的架構，将不同的資訊安全标準方法進行整合，形成一個端到端的安全解決方案，并與其他标準無縫結合(如TOGAF和ITIL)，填補了“安全架構”和“安全服務管理”之間的空隙。