企业数字化安全转型面临着信息系统架构的选择、判断和组合的困扰。对组织、技术、人才、管理和业务模型等多方面的有机融合和运转构成了架构,而安全是架构高效发挥的基础,二者都是竞争力。
国际云安全联盟CSA发布报告《企业架构参考指南》是国外大型企业实践经验的总结凝练,汇编了现有的企业架构定义,是一个与时俱进的参考指南。指南对企业架构建设、优化和运营实践的指导意义,在于他抽取、吸收了TOGAF、ITIL、SABSA、Jericho、NIST SP 500-299、 NIST SP 500-292、ISO 27001、ISO 27002等系列框架理论的精要,从而使得在云大物移环境下,企业架构的高效搭建与运行既拥有了理论框架,又有了可查找的实践行动。
本指南展开对四个域的解构:业务运营支持服务(BOSS)、信息技术运营与支持(ITOS)、技术解决方案服务(TSS)、安全和风险管理(SRM),可以用东方人的模式和中国人的思维去思考,即“你我他”的思维,你:是指框架中的任何组件、域,我:企业架构的需求、困难、链接方式、紧要度等,他:传递的下一站,实现企业架构期望的目标或阶段方向。
微信搜索“国际云安全联盟”公众号,回复关键词“企业架构”即可获取报告完整版
何为企业架构
企业体系结构既是一种方法,也是一组工具,是安全架构师、企业架构师和风险管理专业人员能够利用的一组通用的解决方案和控制措施。这些解决方案和控制措施满足了一系列共同的要求,风险经理必须对内部IT安全和云提供商控制措施的运营状态进行评估,这些控制以安全功能表示,旨在创建一个通用的路线图,以满足其业务的安全需求。
CSA企业架构是安全、身份感知云基础架构的综合方法,业务需求由法律法规、标准框架、行业安全标准以及IT审计框架驱动。根据业务需求,CSA企业架构定义并组织了一组安全功能:SABSA从业务角度定义了安全模型,信息技术基础设施库(ITIL)指定了管理公司IT服务所需的模式和安全管理指南,杰里科论坛(Jericho Forum)指定了技术安全规范,开放组架构框架(TOGAF)提供了一个企业架构框架和方法,用于规划、设计和管理信息体系架构,最终形成一个通用框架,将安全架构师的工作与组织的企业架构集成在一起。
如何使用企业架构
企业IT治理、安全治理、生产运营、应急事件处理是数字化转型基础内容,CSA发布的《企业架构参考指南》可服务于对安全、效率和运营有持续优化诉求的大中小企业,指南聚焦实践,沉淀知识,对于企业管理者和IT、业务、运营、安全的负责人能够快速学习,定位问题,抓住要领,快速实践。
企业架构可用于评估改进机会、创建技术采用路线图、识别可复用的安全模式,并根据一组通用能力评估各种云提供商和安全技术供应商。
CSA 企业架构
国际云安全联盟CSA发布的《企业架构参考指南》对应CSA企业架构的两种表示形式,在云安全联盟的网站有更多交互形式的内容,并且可以深入研究各部分内容。
1.业务运营支持服务(BOSS)
BOSS域是基于最佳实践和参考框架设计的,有效赋能业务协调和跨组织之间的信息安全实践,涵盖了企业安全计划至关重要的支持功能;BOSS域致力于使ITOS和SRM域与业务所需的战略、能力和风险组合保持一致。
提供服务包括:合规性、数据治理、运营风险管理、安全监控服务、法律服务。大多数安全体系结构只关注技术能力,而忽略与业务建立动态协同的机会,BOSS将被动实践切入到主动领域,可以使业务指挥中心能够提供有关信息资产和业务流程健康状况。
2.信息技术运营与支持(ITOS)
ITOS域概述了IT组织支持业务需求时所需的全部必要服务。该领域提供了与行业标准和最佳实践的对标(PMBOK、CMMI、ISO/ IEC 27002、COBIT和ITIL v3),从两个主要角度提供参考,使组织能够支持业务需求。
提供服务包括:IT运营、服务管理、服务支持、事件管理、问题管理、知识管理、变更管理、发布管理。使用ITOS分析服务是实现有效业务操作服务的关键,支持业务运营支持服务,以保持业务和IT之间的战略一致性,ITOS实现了表现、应用、信息和基础设施服务。
3. 技术解决方案服务(TSS)
TSS域可以被认为是一个技术栈,在顶层实现同协议栈、应用程序的互动,协议栈和应用程序接收到互动之后,把数据传输到底层的电脑和网络,并在此进行数据操作。
提供服务包括:展示层服务、应用服务、信息服务、基础架构服务。其中展示层服务利用安全和风险管理域对最终用户进行身份验证和授权,保护端点设备上和传输到应用程序服务域的数据;应用服务利用安全和风险管理领域进行应用间的信息加密,并且对应用进行授权和认证使其能够互相交流;信息服务域为应用程序和展示服务域提供上下文支持;基础架构服务提供了许多核心组件和功能,用于支撑架构其他部分所提供的功能。
4. 安全和风险管理(SRM)
SRM域提供了一个组织的信息安全计划的核心组成部分,保护资产和检测、评估、监测运营活动中的固有风险。其功能包括身份管理和访问控制、治理、风险管理与合规(GRC)、政策和标准、威胁和漏洞管理以及基础设施和数据保护。
提供服务包括:治理风险和合规性、信息安全管理、权限管理基础设施、威胁和漏洞管理、基础设施保护服务、数据保护、策略和标准。SRM为信息技术运营与支持 (ITOS)提供安全环境,SRM是业务运营支持服务(BOSS)下运营风险管理的关键组成部分,并且提供的身份和访问管理服务是向用户展示数据的先决条件。
总结
任何一个架构都是有时期性的,因为变是万物常态,运动是活力之源,企业架构的运营是指南中所提所有相关技术,组织,业务,风险应对与系统管理的多维协同,任何之一的变动延伸,都是对指南演进的新要求。本指南也为这种延伸铺垫了未来持续发挥的思路和舞台,努力为企业把技术用精,把业务做顺,把组织做通,把管理做活。