你好,我是你的朋友晓兵。又到了周四的时间,这里是锐安全《安全到底》栏目的第152篇、总第198篇原创文章《看了SABSA架构,才知道我们的方案问题到底出在哪儿了》,今天大约需要4分钟时间,希望能给你带来启发。
SABSA研究院的SABSA企业安全架构(SABSA Enterprise Security Architecture)是始于1995年,并发表于2009年的一个开发“基于风险驱动的信息安全和信息保障架构”的方法论。
它是一个包括框架、模型、方法和过程的开放标准,并融合了TOGAF和ITIL架构。
“风险驱动”与“业务优先”是SABSA最大的价值点,它批判了“技术驱动”的安全框架,提出了技术框架会通过伤害业务从而进一步伤害自己的深刻洞察。
SABSA认为架构的目的是管理复杂性,并且需要关注业务和具备风险管理视角,因此需要引入“系统工程”思想,并平衡IT、业务与威胁之间的关系。
同时也提出了一个让人反思的问题:为什么安全架构往往不能给企业带来好处?
通常技术型解决方案只考虑本身的安全性,并不考虑给企业带来哪些风险,也不考虑成本与收益的平衡,最后安全性就被企业降级为最不重要的特性。
另一方面,安全解决方案往往无法与其它系统进行集成,解决方案的多样性也会导致复杂度和成本增加,因此安全解决方案往往不但不能帮助业务,反而妨碍了业务。
还有,安全解决方案往往只基于业务特殊性(business-specific),它们通常只关注业务信息的可用性、完整性、真实性和机密性,以及提供问责机制和可审计性。但是事实上,业务需求远远不止纯粹的“安全和控制”,还包括以下十五个方面:
1、可用性(Usability):是否可以匹配客户的技术能力且符合客户的预期?
2、互操作性(Inter-Operability):是否可以满足信息系统、应用之间的长期通信和互操作的需求。
3、集成性(Integration):是否支持与应用、平台的集成。
4、可支持性(Supportability):是否能支撑已经在使用的环境?
5、低成本开发(Low Cost Development):模块化设计的解决方案能否以最低成本集成到开发计划中?
6、快速进入市场(Fast Time to Market):是否能够最小延迟地集成到开发计划中,以满足市场的时间窗口?
7、平台可扩展性(Scalability of Platforms):是否适合可能需要集成的计算平台?
8、成本可扩展性(Scalability of Cost):入门级成本是否适合所针对的业务应用范围?
9、安全等级可扩展性(Scalability of Security Level):是否支持其他安全技术?
10、使用可扩展性(Scalability of Use):是否能够扩展以满足未来的用户数量、事务量、吞吐量和存储容量的要求?
11、复用性(Re-Usability):是否可以通过复用来获得最佳投资回报?
12、运营成本(Operations Costs):是否能够有效降低运营成本?
13、管理成本(Administration Costs):是否能够有效降低管理成本?
14、基于风险的成本/效益(Risk-BasedCost/Benefit Effectiveness):是否能够达到风险与收益的平衡?
15、商业支持(Enabling Business):比如当企业开始扩展互联网、全球邮件、第三方远程访问、在线商业服务、数字娱乐、供应商远程运维这些新业务手段时,你的安全策略该如何与之匹配?
恭喜你,又看完了一篇文章。从今天起,和我一起洞察安全本质,这里是锐安全,今天就到这里,咱们下周四再见。
[1] SABSA.Enterprise Security Architecture,2009.https://sabsacourses.com/wp-content/uploads/2021/02/TSI-W100-SABSA-White-Paper.pdf
用户评论