IT管理

【专家视点】浅论TOGAF对安全架构的指导意义

2016-08-09 11:30:42 | 来源:中培企业IT培训网

开放组体系结构框架(TOGAF)是一个行业标准的体系架构框架,它能被任何希望开发一个信息系统体系架构在组织内部使用的组织自由使用。中培伟业《IT战略规划与企业架构最佳实践/TOGAF认证》王老师指出,对于在应用TOGAF ADM中需要考虑的安全性等问题,TOGAF提供了 一些的指导原则。这些指导原则帮助部署ADM的企业架构师告知安全架构师,需要进行哪些安全架构方面的变更。作为指导,这些原 则也力图帮助企业架构师避免遗漏关键的安全关注点。

企业中的各种利益相关者都会关注安全性,这一点除非架构师清楚这些干系人的特点,否则很难一下子看清楚。建议尽可能早地让安全架构师进入到架构项目中去。在ADM的整个过程中,对于应该收集哪些具体的安全信息,采取哪些步骤,并创建哪些制品, TOGAF都给出了指导。与安全相关的架构决策和所有其他的架构决 策一样,也应该能够追溯到业务和策略决策上,这些业务和策略决 策应该源于风险分析。对于安全架构师的关注领域,普遍接受的领 域包括:
     ◎ 身份认证(Authentication):以某种方式证实跟系统相关的 某个人或实体的身份。
     ◎ 授权(Authorization):对已经建立身份的人或实体的允许 的能力,进行定义并保证执行。
     ◎ 审计(Audit):提供法定数据来证明系统的使用符合安全 政策规定的能力。
     ◎ 保证(Assurance):测试并证明系统具有支持安全政策规定 所需的安全属性的能力。
     ◎ 可用性(Availability):系统在发生非正常或恶意事件时, 仍能运行而服务不会中断或耗尽的能力。
     ◎ 资产保护(Asset Protection):对信息资产的保护使其免于 遭受损失或非预期的泄漏,和对资源的保护使其免于未授权和非预 期的使用。
     ◎ 管理(Administration):增加或者改变安全策略、增加或改 变策略在系统中的实现方式、以及增加或改变与系统相关的人或实 体的能力。
     ◎ 风险管理(Risk Management):组织对风险的态度和承受 能力。
典型的安全架构制品包括:
     ◎ 关于处理数据/信息资产的业务规则
     ◎ 书面的和发布的安全政策
     ◎ 成文的数据/信息资产的所有权和保管权说明
     ◎ 风险分析的文档记录
     ◎ 数据分类策略的文档记录

标签: TOGAF