对于在应用ADM中需要考虑的安全性等问题,TOGAF 9提供了一些的指导原则。这些指导原则帮助部署ADM的企业架构师告知安全架构师,需要进行哪些安全架构方面的变更。作为指导,这些原则也力图帮助企业架构师避免遗漏关键的安全关注点。
企业中的各种利益相关者都会关注安全性,这一点除非架构师清楚这些关系人的特点,否则很难一下子看清楚。建议尽可能早地让安全架构师进入到架构项目中去。在ADM的整个过程中,对于应当收集哪些具体的安全信息,采取哪些步骤并创建哪些制品,TOGAF都给出了指导。与安全相关的架构决策和所有其他的架构决策一样,也应该能够追溯到业务和策略决策上,这些业务和策略决策应该源于风险分析。对于安全架构师的关注领域,普遍接受的领域包括以下内容。
1.身份认证(authentication) 以某种方式证实与系统相关的某个人或实体的身份。
2.授权(authorization) 对已经建立身份的人或实体的允许的能力,进行定义并保证执行。
图8-68 层次化ADM过程的示例
3.审计(audit) 提供法定数据来证明系统的使用符合安全政策规定的能力。
4.保证(assurance) 测试并证明系统具有支持安全政策规定所需的安全属性的能力。
5.可用性(availability) 系统在发生非正常或恶意事件时,仍能运行而服务不会中断或耗尽的能力。
6.资产保护(asset protection) 对信息资产的保护使其免于遭受损失或非预期的泄漏,和对资源的保护使其免于未授权和非预期的使用。
7.管理(administration) 增加或者改变安全策略、增加或改变策略在系统中的实现以及增加或改变与系统相关的人或实体的能力。
8.风险管理(bisk management) 组织对风险的态度和承受能力。
典型的安全架构制品包括:①关于处理数据或信息资产的业务规则;②书面和发布的安全政策;③成文的数据或信息资产的所有权和保管权说明;④风险分析的文档记录;⑤数据分类策略的文档记录。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
