3、实现业务的安全性

1、评估安全框架和指导方针

安全架构

组织内安全操作的概念性结构

NIST美国信息标准化协议800系列

COBIT 5

ITIL

ISO/IEC 20071

合规例如（网络安全法）

确保满足法律，法规，行业规范和标准以及组织标准等要求的措施。

强制要求合规的机构：

指定法律的政府立法机构

提供各行业标准的政府监管机构

有各自标准的行业协会

法律和规章可能会对组织的安全性造成实质性的影响

安全专业人员必须审查所有相关法律和规章

大多数组织需要服从数据和系统使用的法律

组织的内部策略也需要服从

分层安全

一种包含多种不同防御途径的操作安全实现方法

纵深防御：

数据-》应用-》主机-》网络-》边缘-》物理-》政策和意识

如果一个要素 被破坏，其他安全系统可以接管

安全策略

定义了如何在组织内实现安全性的一种正式声明：

描述了组织如何保护数据和资源的机密性，可用性和完整性

包含多个独立的策略

所有的安全措施都必须服从策略

安全策略与政府的外交策略类似

由组织/政府的需求决定

基于实时或感知的威胁

定义了如何处理这些威胁

如果没有策略，就只能被动地对威胁做出反应，而无法进行预测

岗位轮换

确保没有人可以长时间处于关键工作岗位

强制休假

强制要求每位员工每年进行特定时长的休假的做法

培训和意识

人是最薄弱的环节

确保人员接受安全培训以便缓解此类风险

基于角色的培训：

特权用户

行政用户

数据所有者

系统所有者

系统管理员

安全自动化

提高安全操作效率

可拓展性

计算机环境能够从容地满足其日益增长的资源需求的属性

弹性

计算机可以即时对工作负载的增减需求做出反应

云计算

冗余（备胎）

计算机环境除了主要资源外还保留一组或多组额外资源

电源也需要冗余

容错

计算环境可以承受组件故障并继续提供在可接受范围内的服务

独立磁盘冗余阵列

在多设备存储系统上配置的冗余和容错功能

非持续性

VM（快照）回滚到一定时间点

高度可用性

系统在保持高水平同时，让数据接近100%可用

环境部署

开发、测试、分期、生成