08-14：SABSA架构的九大核心概念到底是什么？_安全到底（第一辑）_免费在线阅读收听下载

你好，我是你的朋友晓兵。又到了周四的时间，这里是锐安全《安全到底》栏目的第153篇、总第199篇原创文章《SABSA架构的九大核心概念到底是什么？》，今天大约需要4分钟时间，希望能给你带来启发。

SABSA方法论体系里，有SABSA模型、SABSA矩阵、SABSA服务管理矩阵、SABSA生命周期、SABSA业务属性、SABSA风险运营模型、SABSA风险管理过程、SABSA保障框架、SABSA治理等九个核心概念。

1、SABSA模型（SABSA Model）

这是一个分层架构，有六种角色视角和相对应的架构层次：商人视角对应用安全架构上下文层；架构师视角对应安全架构概念层；设计师视角对应安全架构逻辑层；实施者视角对应安全架构物理层；技术员视角对应安全架构组件层；服务经理视角对应安全架构服务管理层。

除了上述六种角色，还额外定义了两个全局角色视角：检查员视角（The Inspectors’View）和治理员视角（The Governor’sView）。

2、SABSA矩阵（SABSAMATRIX）

SABSA矩阵是SABSA模型的核心，是一个6X6的格子。“行”内容是上面讲的六个架构层次，“列”内容是六种对象：资产（ASSETS）、动机（MOTIVATION）、流程（PROCESS）、人员（PEOPLE）、位置（LOCATION）、时间（TIME）。这样就可以解决企业的六个问题：你的资产是啥？为啥有这样的动机？流程如何做？相关人员是谁？作用于哪里？什么时候实施？

这36个格子涵盖了整个企业安全架构的所有问题，开发SABSA流程的过程就是填这36个格子的过程，同时，SABSA矩阵可以提供完整性（Completeness）和业务合理性（Business Justification）的双向验证。

3、SABSA服务管理矩阵（ServiceManagement Matrix）

该矩阵在原来6个列的基础上又定义了六种管理行为：服务交付管理（Service Delivery Management）、风险运营管理（OperationalRisk Management ）、流程交付管理（Process Delivery Management）、人员管理（Personnel Management）、环境管理（Management ofEnvironment）、时间和性能管理（Time & Performance Management）。

4、SABSA生命周期（SABSALifecycle）

SABSA模型实施的生命周期分四个阶段：战略和计划（Strategy &Planning）、设计（Design）、实施（Implement）、管理和度量（Manage & Measure）

5、SABSA业务属性（SABSABusiness Attributes）

它用来连接商业需求和技术/流程设计，总共有七种属性：用户属性（User Attributes）、管理属性（Management Attributes）、运营属性（Operational Attributes）、风险管理属性（RiskManagement Attributes）、合规监管属性（Legal/RegulatoryAttributes）、技术战略属性（Technical Strategy Attributes）、业务战略属性（Business Strategy Attributes）。

6、SABSA风险运营模型（SABSAModel of Operational Risk）