信息安全架構(gòu)框架的結(jié)構(gòu)與內(nèi)容

企業(yè)信息安全架構(gòu)(EISA)是信息安全計(jì)劃的關(guān)鍵組成部分。EISA的主要功能是以一致的方式記錄和通信安全程序的工件。因此，EISA的主要可交付成果是一組將業(yè)務(wù)驅(qū)動(dòng)因素與技術(shù)實(shí)現(xiàn)指導(dǎo)聯(lián)系起來的文檔。這些文檔是通過多層抽象迭代開發(fā)的。

信息安全應(yīng)在架構(gòu)框架中定義三個(gè)維度或視角：

• 表示信息安全組織和流程維度的“業(yè)務(wù)”視圖。這種觀點(diǎn)反映了“安全業(yè)務(wù)”，即它代表了信息安全在組織中的實(shí)施方式，以及“安全業(yè)務(wù)”如何通過流程、角色、職責(zé)和組織結(jié)構(gòu)與企業(yè)的其他部分相互關(guān)聯(lián)。
• 表示運(yùn)行信息安全功能所需信息的“信息”視圖。它表示安全團(tuán)隊(duì)使用的信息模型，以及用于捕獲企業(yè)信息的安全需求的模型。
• 代表安全基礎(chǔ)架構(gòu)的“技術(shù)”觀點(diǎn)。它捕獲用于將不同的安全需求抽象為所需硬件和軟件配置指南的模型。

安全架構(gòu)應(yīng)該描述如何將安全性編織到業(yè)務(wù)結(jié)構(gòu)中。因此，EISA應(yīng)該與組織的EA集成。EISA過程必須允許來自其他規(guī)劃規(guī)程的設(shè)計(jì)組件的輸入和接口點(diǎn)(圖1)。許多這些輸入可以從EA獲得。然后，隨著架構(gòu)和安全過程的成熟，EISA和EA之間的關(guān)系應(yīng)該變得越來越共生和集成。

圖1

EISA(企業(yè)信息安全架構(gòu))內(nèi)容

EISA由三層文件組成：

• 需求：定義架構(gòu)要實(shí)現(xiàn)的目標(biāo)的文檔。在概念層，這可以表示業(yè)務(wù)需求，例如戰(zhàn)略產(chǎn)品計(jì)劃或法規(guī)要求。在實(shí)現(xiàn)層，它可以表示技術(shù)產(chǎn)品規(guī)范。
• 原則：包含在架構(gòu)(architecture)過程中指導(dǎo)決策的語句的文檔。
• 模型：替代模式或當(dāng)前和未來狀態(tài)的表示?；谀Ｊ降哪Ｐ捅硎緲I(yè)務(wù)流程和應(yīng)用程序中重復(fù)出現(xiàn)的特性，并用作決策工具。當(dāng)前和未來狀態(tài)模型用于提高利益相關(guān)者之間的共同理解，并用于項(xiàng)目規(guī)劃和優(yōu)先順序的差距分析。

用于實(shí)現(xiàn)安全架構(gòu)的不同方法

術(shù)語“安全架構(gòu)”可替換地用于描述一個(gè)過程、一組可交付成果，有時(shí)也用于描述作為該過程的結(jié)果而實(shí)現(xiàn)的解決方案。企業(yè)信息安全架構(gòu)(EISA)是為支持信息安全計(jì)劃而交付規(guī)劃、設(shè)計(jì)和實(shí)現(xiàn)文檔(工件)的過程。

EISA過程是一組動(dòng)態(tài)的規(guī)劃和設(shè)計(jì)活動(dòng)。這些活動(dòng)的確切性質(zhì)取決于組織對(duì)安全架構(gòu)采取的方法。有三種不同的戰(zhàn)略方法：

• 戰(zhàn)略更新方法，其中架構(gòu)的主要功能是指導(dǎo)企業(yè)安全環(huán)境的全面更新。
• 機(jī)會(huì)主義方法，其中架構(gòu)僅用于開發(fā)特定項(xiàng)目和計(jì)劃的安全需求。
• 混合方法，其中架構(gòu)主要以機(jī)會(huì)主義的方式使用，但也有選擇地用于更具戰(zhàn)略性的規(guī)劃目的。

定義有效信息安全計(jì)劃的結(jié)構(gòu)和范圍

有效的信息安全需要一種集成的方法，在這種方法中，安全是業(yè)務(wù)流程核心結(jié)構(gòu)的一部分，是組織文化的一個(gè)關(guān)鍵組成部分。這意味著安全團(tuán)隊(duì)必須努力將安全性的關(guān)鍵組件(策略、流程、行為和技術(shù))注入IT的所有維度：業(yè)務(wù)流程、應(yīng)用程序、技術(shù)基礎(chǔ)設(shè)施，最重要的是人員。挑戰(zhàn)的范圍要求在更大的組織內(nèi)建立戰(zhàn)略安全計(jì)劃。

一個(gè)有效的安全計(jì)劃始于建立一個(gè)資源和原則框架。使用這個(gè)框架，可以管理項(xiàng)目的優(yōu)先順序列表。信息安全計(jì)劃的主要目標(biāo)是建立一個(gè)連續(xù)的、迭代的方案來規(guī)劃、構(gòu)建和運(yùn)行從業(yè)務(wù)需求派生的安全解決方案。為了確保這種解決方案的可伸縮性和可重復(fù)性，安全團(tuán)隊(duì)必須定義和實(shí)現(xiàn)戰(zhàn)略安全流程。該計(jì)劃應(yīng)考慮到這樣一個(gè)事實(shí)，即有效的安全態(tài)勢(shì)是建立在適當(dāng)?shù)恼呋A(chǔ)上的，而這些政策是由操作過程、文化行為和技術(shù)的有效組合所實(shí)施的。下面是一個(gè)顯示安全模型組件的圖表：