这里是人们需要了解的企业信息安全架构以及如何开始实施计划。企业安全的一个主要趋势是企业信息安全架构的创建和采用。然而,关于这个主题的大部分内容都非常模糊,可能会让IT专业人员想知道企业信息安全架构到底是什么,更不用说如何实施了。在这种情况下,有些人想把事情简单化,帮助企业理解什么是企业信息安全架构,以及如何将其付诸实践。要了解什么是企业信息安全架构以及它为何有益,有必要退后一步,审视企业传统上实施IT安全的方式。从历史上看,企业安全是关于使组织在IT预算允许的范围内尽可能安全。IT专业人员将使用各种策略、程序和产品来加强组织以抵御感知威胁(或响应法规要求)。企业信息安全架构试图直接使IT部门的安全方法与组织的业务需求保持一致。这种方法有两个主要好处。首先,实施企业信息安全架构迫使IT关注对业务影响最大的安全挑战。它不是追逐最新的安全趋势,而是关注对企业最重要的问题。其次,企业信息安全架构不仅仅涉及决定购买哪些安全产品或关注哪些安全挑战。该模型与业务密切相关。它成为“我们如何做事”的关键部分。这种思维方式强调将安全性纳入业务决策过程的力量。没有万能的解决方案。当然,这提出了组织如何着手实施企业信息安全架构的问题。理解该过程的一件重要事情是“企业信息安全架构”是一个有点笼统的术语。没有单一的、固定的流程来定义组织实施模型的意义。那么,如果没有明确的标准,一个有安全意识的组织如何实施企业信息安全架构呢?幸运的是,有几个可用的框架。一些更流行的框架包括SABSA、COBIT和TOGAF。为了描述这些框架,需要花时间去研究完全不相关的东西。如果您从事IT工作已有一段时间,您可能听说过开放系统互连(OSI)模型。开放系统互连(OSI)模型定义了构成网络堆栈的层。这些层包括应用层、表示层、会话层、传输层、网络层、数据链路层和物理层。每一层都有特定的工作要做,每一层都设计为与其上层和下层交互。通常,上述框架也采用分层方法来定义安全架构。例如,SABSA框架包括场景、概念、逻辑、物理和组件安全架构等层。这些层共同构成了整体安全架构。总的来说,各种框架提供诸如架构图、流程图和文档之类的东西。这些资源可用于推动组织内企业信息安全架构的实施。请记住,没有规定组织必须严格遵守这些框架之一。组织可以选择设计自己的架构,或者创建两个或多个可用框架的混搭。无论组织选择如何处理其企业信息安全架构,目标始终应该是将组织的安全工作与关键业务目标联系起来。例如,如果一家企业声明其在线商店必须始终可供客户使用,则流程的下一步将是识别可能影响该资源可用性的风险。有些风险与安全无关,但会以其他方式推动IT决策。例如,组织数据中心的电源故障可能会影响在线商店的可用性,因此IT部门需要制定计划来控制风险。同样,拒绝服务攻击可能会阻止客户访问在线商店。在这种情况下,拒绝服务攻击是一种已识别的安全风险,与关键业务目标直接相关。这让IT部门有理由专注于防止拒绝服务攻击。
