企业在试图从总体上保护安全环境时,往往需要谨慎抉择。使用单一的解决方案,随处部署安全产品,期望通过临时方法保护环境安全并消除企业中的所有脆弱性。大多数企业(特别是中小企业)不考虑先建立一个安全架构,而是关注主营业务的安全需求,只实施必要的安全控制措施来维持运营,然后根据业务的增长逐步调整。这种原始增长提供了一种短期模式,导致需要“不断救火”。
开发企业安全架构的主要原因是:确保安全工作以一种标准化且节省成本的方式与业务运营实践相结合。要成功建立和实现企业安全架构,必须理解并遵循下列要素:战略一致性、 业务赋能、流程强化以及安全有效性。
战略一致性
是指企业安全架构必须能够满足业务运营驱动、监管合规和法律法规的要求。业务赋能
每个企业都有一个或多个特定的业务目标,业务赋能功能是要求核心业务流程必须集成到安全运营模型中,基于标准设计而且符合流程强化
当企业想要真正保障其环境时,必须细致查看不断进行中的每个业务流程,从安全角度来审视业务流程,达到加强和改进的效果。
在一个企业开发企业安全组件时,这些组件必须能有效地集成到业务流程中。这样就能实现过程管理的不断提升和优化,同时将安全集成到系统生命周期和日常运营中。因此,业务赋能意味着“可开展新业务”,流程强化意味着“可更好地开展业务”
舍伍德业务应用安全架构(Sherwood Applied Business Security Architecture, SABSA)。如下图所示,是一个分层模型,第一层从安全角度定义业务需求。模型在抽象方面逐层减少,细节逐层增加。因此,SABSA的层级建立在其他层之上,从策略逐渐到技术和解决方案的实施。这个想法通过上下文、概念、逻辑、物理、组件和运营层次提供可追溯性链条。
下面列出的问答是在该框架的每-层提出的:
想在这一层努力做到什么?
通过安全架构来保护资产。
为什么要这么做?
用该层的术语来表达开展安全工作的动机。
如何做?
在该层要实现的安全保障功能。
都涉及谁?
在该层上与安全相关的人员和组织部门。
在哪里做?
与该层相关的安全的位置要素。
什么时候做?
与该层相关的安全的时间要素。
SABSA是用于企业安全架构和服务管理的框架和方法论。SABSA 是一个框架,为构建架构体系提供了一种结构;但SABSA也是一种方法论,这也意味着它提供建立和维护架构要遵循的过程。SABSA 提供了一个生命周期模型,随着时间的推移,可持续监测和不断改进架构。
<关注下方公众号系列好文持续推送>
