中文字幕理论片,69视频免费在线观看,亚洲成人app,国产1级毛片,刘涛最大尺度戏视频,欧美亚洲美女视频,2021韩国美女仙女屋vip视频

打開APP
userphoto
未登錄

開通VIP,暢享免費電子書等14項超值服

開通VIP

首頁

好書

留言交流

下載APP

聯(lián)系客服
網(wǎng)絡安全架構 | 自頂向下的安全架構方法論
許多具有傳統(tǒng)思維定勢的網(wǎng)絡安全專業(yè)人員認為,安全架構只不過是具有安全策略、控制、工具和監(jiān)視。實際上,所有安全專業(yè)人員都必須了解業(yè)務目標,并嘗試通過實施適當?shù)目刂苼碇С诌@些目標。任何企業(yè)中的企業(yè)安全架構,都必須基于該企業(yè)的可用風險來定義。
本文提供了一種啟動企業(yè)安全架構計劃的簡化版敏捷方法,用于確保企業(yè)安全架構滿足業(yè)務需求并可自動調(diào)整。這是一種自上而下的方法論,從業(yè)務目標和愿景開始。
自上而下的安全架構方法論,整合了不同的企業(yè)框架(如SABSA、COBIT、TOGAF)和成熟度模型(CMMI),可以幫助實現(xiàn)將安全需求與業(yè)務需求結合起來的目標。
SABSA:是一個基于風險的業(yè)務驅(qū)動的企業(yè)安全框架,是一種確保業(yè)務一致性的方法論。
? COBIT 5:是一個幫助企業(yè)實現(xiàn)其企業(yè)IT治理和管理目標的綜合框架,使得IT與業(yè)務保持一致。
? TOGAF:是一個開發(fā)企業(yè)架構的框架和一組支持工具集,非常適合任何開始創(chuàng)建企業(yè)安全架構的企業(yè),可用于管理企業(yè)安全架構的生命周期。
? CMMI:是一種能力成熟度評估標準,可用于安全架構成熟度的度量和管理,為管理層和架構委員會提供可見性。

關鍵詞SABSA(Sherwood應用業(yè)務安全架構,Sherwood Applied Business Security Architecture);COBIT(信息系統(tǒng)和技術控制目標,Control Objectives for Information and related Technology);TOGAF(開放組織架構框架,The Open Group Architecture Framework);CMMI(能力成熟度模型集成,Capability Maturity Model Integration)

本文目錄

一、前言

二、SABSA、COBIT、TOGAF及其關系

三、使用框架開發(fā)企業(yè)安全架構

四、一個現(xiàn)實的例子

五、使用CMMI來度量和管理安全架構

六、結論

七、參考資料

一、前言

在企業(yè)中,實現(xiàn)安全架構常常是一個令人困惑的過程。傳統(tǒng)上,安全架構由一些預防性、檢測性、糾正性控制組成,這些控制是為了保護企業(yè)基礎設施和應用程序而實現(xiàn)的。有些企業(yè)通過添加指示性控制(包括策略和過程),在安全架構方面做得更好。許多具有傳統(tǒng)思維定勢的信息安全專業(yè)人員認為,安全架構只不過是具有安全策略、控制、工具和監(jiān)視。
世界發(fā)生了變化,今天的風險因素和威脅不像以前那么簡單。新出現(xiàn)的技術和可能性,例如物聯(lián)網(wǎng),改變了很多公司的運作方式、重點和目標。所有安全專業(yè)人員都必須了解業(yè)務目標,并嘗試通過實施適當?shù)目刂苼碇С诌@些目標,這些控制對于干系人來說是合理的,并與業(yè)務風險相關聯(lián)。
企業(yè)框架,如SABSA、COBIT、TOGAF,可以幫助實現(xiàn)將安全需求與業(yè)務需求結合起來的目標

二、SABSA、COBIT、TOGAF及其關系


01
SABSA

SABSA是一個基于風險和機遇的業(yè)務驅(qū)動的企業(yè)安全框架。SABSA不提供任何特定的控制,而依賴于其他組織,如國際標準化組織(ISO)或COBIT過程。它純粹是一種確保業(yè)務一致性的方法論。

SABSA方法論有六個層次(五個水平面和一個垂直面)。每一層都有不同的目的和視圖。上下文層位于頂部,包括業(yè)務需求和目標。第二層是概念層,即架構視圖。圖1顯示了此框架的六個層。

圖1-SABSA框架層級


02
COBIT 5

來自ISACA的COBIT 5是一個“幫助企業(yè)實現(xiàn)其企業(yè)IT治理和管理目標的綜合框架”。該框架包括一些工具集和流程,這些工具集和流程彌合了技術問題、業(yè)務風險和流程需求之間的差距。COBIT5框架的目標是“通過在實現(xiàn)收益和優(yōu)化風險水平與資源使用之間保持平衡,從IT中創(chuàng)造最佳價值?!?strong>COBIT5使IT與業(yè)務保持一致,同時圍繞IT提供治理。
COBIT 5產(chǎn)品系列有很多文檔可供選擇,有時很難確切地知道在哪里查找特定信息。圖2一目了然地展示了COBIT5產(chǎn)品系列。COBIT使能器(Enabler)是單獨或集體地影響某些東西是否能工作的因素。

圖2-COBIT 5產(chǎn)品家族

COBIT框架基于五個原則(圖3)。將這些原則應用于任何架構都可以確保業(yè)務支持、一致性和流程優(yōu)化。

圖3-COBIT 5原則

通過使用SABSA框架和COBIT原則、使能器和過程的組合,可以為圖2中的每個類別,定義自頂向下的架構。
以計算機網(wǎng)絡架構開發(fā)為例,可以使用這些原則和過程,來定義從上下文層到組件層的自頂向下方法(圖4)。

圖4-SABSA和COBIT的整合


03
TOGAF

TOGAF是一個開發(fā)企業(yè)架構的框架和一組支持工具集。TOGAF架構開發(fā)周期非常適合任何開始創(chuàng)建企業(yè)安全架構的企業(yè)。與其他框架類似,TOGAF從業(yè)務視圖和層開始,然后是技術和信息(圖5)。

圖5-TOGAF框架生命周期

TOGAF是一個有用的框架,用于定義架構、目標和遠景,完成差距分析,并監(jiān)視整個過程。
通過將SABSA、COBIT、TOGAF結合使用,可以定義一個與業(yè)務需求相一致并滿足所有干系人需求的安全架構。在定義了架構和目標之后,TOGAF框架可用于創(chuàng)建項目和步驟,監(jiān)視安全架構的實現(xiàn)過程以達成其目標。

三、使用框架開發(fā)企業(yè)安全架構

正確的問題總是——“企業(yè)應該從哪里開始?”
如果我們看看這些框架,這個過程是相當清楚的。這必須是一種自上而下的方法,從業(yè)務目標、目的和愿景開始。
啟動企業(yè)安全架構計劃的簡化版敏捷方法的初始步驟是:

  • 識別業(yè)務目標、目的和戰(zhàn)略

  • 識別實現(xiàn)這些目標所需的業(yè)務屬性

  • 識別那些導致業(yè)務目標無法實現(xiàn)的屬性相關的所有風險

  • 識別管理風險所需的控制措施

  • 定義一個計劃/程序來設計和實現(xiàn)這些控制

    • 定義業(yè)務風險的概念架構

      • 治理、政策和領域架構

      • 運行風險管理架構

      • 信息架構

      • 證書管理架構

      • 訪問控制架構

      • 事件響應架構

      • 應用安全架構

      • Web服務架構

      • 通信安全架構

    • 定義物理架構并映射到概念架構:

      • 平臺安全

      • 硬件安全

      • 網(wǎng)絡安全

      • 操作系統(tǒng)安全

      • 文件安全性

      • 數(shù)據(jù)庫安全、實踐和程序

    • 定義組件架構并映射到物理架構:

      • 安全標準(例如,美國國家標準與技術研究所(NIST)、ISO)

      • 安全產(chǎn)品和工具(例如,防病毒[AV]、虛擬專用網(wǎng)絡[VPN]、防火墻、無線安全、漏洞掃描程序)

      • Web服務安全(例如,HTTP/HTTPS協(xié)議、應用程序接口[API]、Web應用防火墻[WAF])

    • 定義運行架構

      • 實施指南

      • 行政管理

      • 配置/補丁管理

      • 監(jiān)測

      • 日志記錄

      • 滲透測試

      • 訪問管理

      • 變更管理

      • 取證等。

就這么簡單。在識別和評估所有風險之后,企業(yè)可以開始設計架構組件,如策略、用戶意識、網(wǎng)絡、應用程序和服務器。
圖6描述了啟動企業(yè)安全架構計劃的簡化版敏捷方法。

圖6-企業(yè)安全架構模型


四、一個現(xiàn)實的例子

本節(jié)描述了為企業(yè)定義安全架構可以采取的步驟的簡單實用示例。
本例中的企業(yè)是一家金融公司
公司目標是在未來兩年內(nèi)增加100萬用戶。
一些業(yè)務所需的屬性包括:

  • 可用性:系統(tǒng)需要隨時提供給客戶使用。

  • 客戶隱私:客戶隱私需要得到保障。

  • 準確度:客戶和公司信息必須準確。

  • 合規(guī)性:公司受到監(jiān)管(在本案例中是支付卡行業(yè)[PCI]監(jiān)管),必須符合監(jiān)管要求。

一些業(yè)務風險包括:

  • 沒有針對應用程序的正確災難恢復計劃:這與“可用性”屬性相關;

  • 應用程序中的漏洞:這與隱私和準確性屬性相關;

  • 缺乏職責分離(SoD):這與隱私屬性相關;

  • 不符合支付卡行業(yè)數(shù)據(jù)安全標準(PCI DSS):與合規(guī)屬性相關;

一些控制是:

  • 為應用程序構建災難恢復環(huán)境:包含在COBIT DSS04過程中;

  • 實施漏洞管理程序和應用程序防火墻:包含在COBIT DSS05過程中;

  • 實施公鑰基礎設施(PKI)和加密控制:包含在COBIT     DSS05過程中;

  • 在需要的區(qū)域?qū)嵤㏒oD:包含在COBIT DSS05過程中;

  • 實施PCI DSS控制;

所有控制都自動對齊,因為它們與業(yè)務屬性直接關聯(lián)
與任何其他框架一樣,企業(yè)安全架構的生命周期需要得到適當?shù)墓芾?/strong>。很重要的是,必須不斷更新業(yè)務屬性和風險,并定義和實施適當?shù)目刂?/strong>。
安全計劃的生命周期可以使用TOGAF框架進行管理,具體包括創(chuàng)建架構視圖和目標、完成差距分析、定義項目、實現(xiàn)和監(jiān)控項目,直到完成并重新開始(圖5)。

五、使用CMMI來度量和管理安全架構

最后,必須有足夠的監(jiān)視控制和關鍵績效指標(KPI),來度量架構隨時間發(fā)展的成熟度。


01
成熟度管理的第一階段

第一階段使用能力成熟度模型集成(CMMI)模型,度量環(huán)境中所需控制的當前成熟度。
CMMI模型有五個成熟度級別,從初始級別到優(yōu)化級別。在本文中,為那些不到位的控制,添加了一個不存在的級別(0級)(圖7)。

圖7-CMMI成熟度級別

其目的是定義期望的成熟度級別,將當前級別與期望級別進行比較,并創(chuàng)建一個計劃來實現(xiàn)期望的級別。
這種成熟度的識別,可以針對一系列的控制措施而展開。根據(jù)架構的不同,它可能有更多或更少的控制。
一些示例控制包括:

  • 過程控制

    • 風險管理框架

    • 用戶意識

    • 安全治理

    • 安全政策和標準

  • 運行控制

    • 資產(chǎn)管理

    • 事故管理

    • 漏洞管理

    • 變更管理

    • 訪問控制

    • 事件管理和監(jiān)控

  • 應用程序控制

    • 應用安全平臺(web應用防火墻[WAF]、SIEM、高級持續(xù)威脅[APT]安全)

    • 數(shù)據(jù)安全平臺(加密、電子郵件、數(shù)據(jù)庫活動監(jiān)視[DAM]、數(shù)據(jù)防泄露[DLP])

    • 訪問管理(身份管理[IDM],單點登錄[SSO])

  • 端點控制

    • 主機安全(AV、主機入侵防御系統(tǒng)[HIPS]、補丁管理、配置和漏洞管理)

    • 移動安全(自帶設備[BYOD]、移動設備管理[MDM]、網(wǎng)絡準入控制[NAC])

    • 身份驗證(認證、授權和審計[AAA],雙因素,特權身份管理[PIM])

  • 基礎設施控制

    • 分布式拒絕服務[DDoS]、防火墻、入侵防御系統(tǒng)[IPS]、VPN、web、電子郵件、無線、DLP等。

此階段的輸出,是對當前狀態(tài)和期望狀態(tài)的任何控制進行成熟度評級


02
成熟度管理的第二階段

在開發(fā)了計劃和控制了實施之后,成熟度管理的第二階段就開始了。
在此階段,將更新評級,并且管理團隊對該評級的進展具有可見性。
圖8顯示了安全架構的成熟度儀表板示例。

圖8-安全架構成熟度報告和儀表板示例

六、結論

無論使用何種方法論或框架,任何企業(yè)中的企業(yè)安全架構都必須基于該企業(yè)的可用風險來定義企業(yè)框架SABSA、COBIT和TOGAF保證了定義的架構與業(yè)務目標和目的的一致性。
使用這些框架,可以產(chǎn)生一個符合業(yè)務需求的成功安全架構:

  • COBIT原則和使能技術:提供了關于業(yè)務一致性、最大化交付和收益的最佳實踐和指導。

  • COBIT過程評估模型(PAM):提供了企業(yè)級安全架構的需求過程和控制的完整視圖。

  • SABSA層和框架:為COBIT中的每個需求、控制和過程,創(chuàng)建并定義了一個自頂向下的架構。

  • TOGAF框架:對于定義架構目標、收益和遠景,以及建立和實施項目來實現(xiàn)這些目標非常有用。

  • CMMI模型:有助于為管理層和架構委員會提供可見性,并報告架構隨時間推進的成熟度。

啟動企業(yè)安全架構計劃的簡化版敏捷方法,確保企業(yè)安全架構是業(yè)務需求的一部分,尤其是要滿足業(yè)務需求,并且可自動調(diào)整。

七、參考資料

1. ISACA, COBIT 5, USA, 2012, www.isaca.org/COBIT/Pages/COBIT-5-Framework-product-page.aspx
2. Thomas,M.; “The Core COBIT Publications: A Quick Glance,” COBIT Focus, 13 April 2015, www.isaca.org/Knowledge-Center/Research/Documents/COBIT-Focus-The-Core-COBIT-Publications-A-Quick-Glance_nlt_Eng_0415.pdf
3. Op cit, ISACA
4. The Open Group, “Welcome to TOGAF 9.1, an Open Group Standard, http://pubs.opengroup.org/architecture/togaf9-doc/arch/
5. The Open Group, “TOGAF 9.1 Architecture Development Cycle,” http://pubs.opengroup.org/architecture/togaf9-doc/arch/chap05.html
6. CMMI Institute, “CMMI Maturity Levels,” http://cmmiinstitute.com/capability-maturity-model-integration
7. Rassoul Ghaznavi-Zadeh; “Enterprise Security Architecture - A Top-down Approach”. www.isaca.org/-/media/files/isacadp/project/isaca/articles/journal/2017/volume-4/enterprise-security-architecture-a-top-down-approach_joa_eng_0717.pdf
(本篇完)

安全架構系列

網(wǎng)絡安全架構 | 新一代企業(yè)網(wǎng)絡安全框架
網(wǎng)絡安全架構 | 美軍網(wǎng)絡安全框架
網(wǎng)絡安全架構 | 建立安全架構方法的指導框架
網(wǎng)絡安全架構 | 通過安全架構提升安全性
網(wǎng)絡安全架構 | 安全模式方法論
網(wǎng)絡安全架構 |《零信任架構》NIST標準草案第2版正式發(fā)布和主要變化
網(wǎng)絡安全架構 |《零信任架構(ZTA)建議》解讀
網(wǎng)絡安全架構 | BeyondProd 云原生安全架構
網(wǎng)絡安全架構 | 遠程網(wǎng)絡訪問安全架構
網(wǎng)絡安全架構 | CTF(網(wǎng)絡威脅框架)
網(wǎng)絡安全架構 | ICD(集成網(wǎng)絡防御)概念參考模型

本站僅提供存儲服務,所有內(nèi)容均由用戶發(fā)布,如發(fā)現(xiàn)有害或侵權內(nèi)容,請點擊舉報。
打開APP,閱讀全文并永久保存 查看更多類似文章
猜你喜歡
類似文章
網(wǎng)絡安全架構 | 建立安全架構方法的指導框架 | MGClouds
如何進行安全架構規(guī)劃
風險管理之系統(tǒng)驅(qū)動的風險管理
ITIL、COBIT、CMMi和ISO 17799管理新一代數(shù)據(jù)中心的最佳實踐介紹
【干貨】完整的企業(yè)架構方法論 構建企業(yè)未來能力
內(nèi)部論壇--新技術交流--推薦:企業(yè)架構EA介紹
更多類似文章 >>
生活服務
熱點新聞
分享 收藏 導長圖 關注 下載文章
綁定賬號成功
后續(xù)可登錄賬號暢享VIP特權!
如果VIP功能使用有故障,
可點擊這里聯(lián)系客服!

聯(lián)系客服