2024比较安全架构.docx
《2024比较安全架构.docx》由会员分享,可在线阅读,更多相关《2024比较安全架构.docx(81页珍藏版)》请在课桌文档上搜索。
1、比较安全架构定义和测试用于评估和分类安全性的模型架构框架第二页罗布范-奥斯目录n-缩略语表三、二致谢Q1管理层概要12介绍22.1 ZACHMAN信息系统架构22.2 企业架构22.3 安全架构32.4 信息安全概念32.5 建筑微总33研究问题73.1论文步骤74定义模型104.1 安全架构框架盘点104.2 席存中的架构144.3 比较模型175架构框架分析325.1 萨巴解325.2 欧空局395.3 OSA446使用模型怦估架构526.1 萨巴津526.2 欧空局556.3 OSA607总结与结论657.1 概括657.2 概述657.3 结论677.4 关于比较的承要说明687.5
2、继续研究698反思和总结73附件A表格和图表柢述74AI表格74A.1S74附件B文Itt沙考文IM758.1 文献758.2 参考文献75第三页罗布花契斯-、缩略语列表SWlH什么、哪里、谁、何时、为什么、如何ADM架构开发方法论少触*魅比特市商世、信息、技术、安全filE边境保护CDSACG国际空军CMMI科比特DODAFE2AMMEAtfjBMS欧空卮FEAFH11P(三)WIFEAISRMISSS它ITI1.莫斯科NAC欧空局OSAPDCAPEPRBACSA丽4板粉会SAM1.正方形坐标测量机托加夫XM1.通用数据安全架构保密性、完整性、可用性CapGemini集成架构框架能力成熟度模
3、型指数信息及相关技术的控制目标国防音睬构框架犷展的企业架构成熟度模型企业架构企业信息安全架构企业安全架构联邦企业架构梅架超文本传输协议(安全)身份管理国际电工委员会企业架构开发研究所国际标准化组织信息安全与风险管理瑞士信息安全协会信息技术信息技术基础设施库必网络应用联盟美国国家标准技术研究院开放式企业安全架构开放安全架构计划实施检施行动政策决策点政策执行点公钥基础设施政策管理机施基于角色的访问描Il安全架构Sherwood应用商业安全架构安全断言标记语言软件产品质量要求与评价系统安全工程彘力成熟度模型开放组架构框架目标安全架构统一建模语言可扩展标记语言第四页比较安全架构罗布范奥斯一,致谢我想借
4、此机会圆谢在撰写本文的过程中提供帮助的许多人AbbasShahimttAtosConsuIting信息安全和风险管理(ISRM)合伙人感谢您对研究问题的定义、本论文内容的正确科学基础以及为论文内容和结果提供指导的批判性见解DanHarnesk博士信浮系S三。感平期旨出健熊,筋卜蝴够提交研究计划在最初的截止日期之后很久。HansvanDrunenAtos高级企业架构师感谢您分享您在企业架棚DrT解决方案质量评估方面的专业知识PascaldeKoning-察吐KPN高级商业顾问感谢您分享您在SABSA企业安全架构框架以及TOGAF企业架构与SABSA企业安全架构之间的集成项目方面的专业知识另外臧谢
5、倒谢间对质量属性发表评论。1管理总已安全架构是一个适用于各种活动的术语,每种活动的详细程度耀织级别都不同。这使得不同利相关者之间关于安全架构的沟通变得困难。同样的问题也密I皮全架构躁中由f活动不同这些活的健在!值丽质量上也可能有很大差异。为了使组辘够就符合组织需求的正确安全架构框架做出明智的决策艘Tft甘妨法在本文中魁了T用知屏蜷韩的飕然后将该模型应用于选定的安全架构结果可让您深入了解安全架构、期瞪的目的以及架构的质量这刈滕提供了足够的信息来(妣S腾的决策本论文遵循三步方法来获得所需的结果。第步簸抵邮举螂癖呼健立讨嗅拿蛔元糠创赠避此外还定义了定性特心对架构框架进行定性评估,评(蟠蟠游旗用的方爵
6、啪制。在差步也是酝多中T出?中W资四理.然后可以对这些通用格式的结果进行比较以确定架构框架之间的差异本文创建的模型可用于评估和比较安全架构因为它提供了描述架构框架的特性和质呈属性的通用格式。由于该模型作用于两个不同的层(高级分类法和低级属性列表),因此该模型可用于榭麒立正确的候选者选择并对架构框架进行更深入的比较该模型的主要问题是执行广泛评估所需的时间因此在藏限用该豳t建议首先根据微盗行融出校并创建适维屣看龌.随后刘麟的蟒可册行朝时6T海附.本论文首先介绍信息架构和安全架构主题引言还概述了一些与论文相物聪在下一章中喇了瞅问题并提供了酪舜频详细三步方法.第45和6章分别涉及第3章中描述的步骤之一
7、第7章提供了简要忌结并描述了本论文的主要结论本章还包含一些重要注释和继续研究的领域本文在第八章中进行了反思和总结2简介架构涉及设计在设计物理结构时建筑学处理每个单独区域犍个建筑的尺寸、布局和功能同时考虑这些区域的使翩蛤构要求以确!躲吸耨存在。目标是创建个能够满足其使用目的的结构为了刎蛇一目标鳏破颜考虑ti用于建筑物的去规并且必磨合业主的愿望以及必獭行虹倘建筑商的要求和先决条件,衽个利益相尖者都以不同的方式看儆座建筑;建筑师的工作是创建代表所用阍嵌者观点的设计并统一构成结构的复杂构建块。就“购世界样物而言信探恢嘟同的IfS念从本质上讲它能柳新目标疆景般全不同IT环境日益复杂因此T注了对信息架构的
8、需求健IT复杂性的增加深入了解构成IT环境的所有组件以及这些组件之间的接口变得更加困难它还使得处理与基础设施集成的项目成本更高因为缺乏概览可能会出现不可预见的情况尤其熟了安全这缺乏概览和正规化导致基础设施方面很可能存在差距。2.1 Zachman匚息系统架构JohnA.Zachman认识到信息系统领域对架构的需求并决定分析常规架构以创建信息系统的等效架构。这导致了出版物信息系统架构号1。在本出版轴Zachman探讨了代表架构框架不同层的几个观点(总共5个)。演一层中扎克哪虽调了几个称为樽曲谓断素。雌斓翻是材料(什么)班炭如何和位置(何必)。扎克曼还认为他三僻述:人(谁)时回(何时打动机(为什么
9、)这些胭在后续出版物Ir展减期既息嬲漂构躁中得到了进一步描述2遹翔篇出版物Zachman提供了包含30种独特细胞的分类法,每个单元格都是一列(具有自己的模型的描述)和一行(观点的组合这种信息架构后来被ZaChman描述为企业架构框架而不是信息系统框架32.2 企,W架构ZaChman框架是形式化企业架构(EA)框架的早期尝试EA一词用于表示通过在组织目标和实现这些目标所需的步骤之间架起一座桥梁来努力支持公司决策的举措。咐卜EA试图描述业务、应耀序和基础设施之间的尖系。Zachman框架或分类法本身经历了不同的版本多年来添加了新功能并改进了其他功能除了ZaChman框架之外还创建了许多其他方法和
10、框架来支持EA流程。所有这些方法和博第隋相同的目的但其方法和成熟度水平有所不同虽中TI三J7很好的卷硼三供了具体的开发方法但其他除仅提供了一个框架并简要描述了其实现。这使得企业架构之间的比侬得困难。2.3 安全架构与企业架构类似,安筋构(SA也是一个应用于不同类型活动的术语。电交EA和SA的瓯蛇于EA至少在同一级别处理架构:企幽捌安例构可能踊于企业缎!1但也适用于解决方案的安全考虑的非常详细的级别(通常称为“设计而不是架构)这使得SA更雉以比较本文提供了一种评估和分类安全架构的方法研究问题将在第三章中进F寸论首先,将解释本文中使用的概念和语2.4 信息安全概念本文假设读者对信息安全有基本的了解
11、。因比安全相关概念将不再详细解释然而为了确保充分理解信息安全架构的目标提供了基本概念的简要定义信息安全通常使用三个基本属性来描述4:垸整性FIPSPUB199将完整性描述为:肺止不当的信息修改或破坏,包括确保信息的不可否认性和真实性”有密FIPSPUB199将保密性描述为:”保留对信息访问嬲露的授酬睛J,包括保护个人隐私和专有信息的手段W可用性FlPSPUB199将可用性描述为:礴及时可罪地访问和使用信息这些概念通常被称为OA三元组通常还包括其他概念,例如真实性(验证真实性)jWJ(对特定人员的行为的可追溯性和相关概念不可否认性(不可否认已执行的行为)。安全架构旨在确保信息安全的这些基本概念和
12、原则在企业的不同层面上准确地解决。2.5 架构概念为了给论文提供一个参考框架,本段将解释与架构相关的概念。这个解释可以作为论文参考的术语表2.5.1 体系结构体系结构本身并不是信息技术领域所独有的。因比信蟋觉个植樨梅个副牌跄购。在故中棒W揶是信黑驹。颗&修嫁语架构(企业架构和安全架构的其他术语将其自身限制为信息系统。从更广泛的意义上来说建筑是某种事物的复杂或梅心设I柏哈构它也是设计和建造健筑物的艺术或实践5这意味着建藏是名词(结构又是动词(实践)在本论文中重点将放在建筑作为名词(含义:结果);尽管架构的过程也有待讨论2.5.2 企业驾佝本章简要描述了企业架构。Gartner为EA提供的完整定义
13、是:wEA是一门学科,通过识别和分析针对所需业务愿景傩果的变革执行情况主动、全面地渡企业应对颜覆性力量。EA通过向业务和IT领导者提供签名就绪的产品来创造价值啊整政策和项目以实嘛唬傲场中断的目标业务成果的建议EA用于引导决策朝蓿未来状态架构的演变发展6企业架构的主要目标是有效性傩辘性和酎用性(7EA是一个自20世纪90年代初期和中期以来就备受关注的话题这种关注己经积累到相当多的框架上糖架列表包括架构框架包括:开放组架构低架CTOGAF)0-Zachman信息架构框架。除了通用框架之外还存在组织和本地匕的特定框架其中包括:S防部(DoD)架构糖架(DoDAF)本邦企业架构框架(FEAF)其中一些
14、框架己经产生了琅佳实践方法这些方法被描述为使用该框架的方法传统架构可以扩展来满足安全需求,1览大多数情况下版安全并未作刘(珠的TR分津!正式解决,这意味着信息安全构图球构之上而不是集廨J架构中近年来熊息安全纳入企蝴匈蹦懦求不断增加,这催生了多项举措这些举措产生了旨田枝全需求集成f煤构框架中的安全架构蟀,这些举措的背景阚度、嬲梆四性解成水平各不胴幽卜割一些框架包括指导实施的方法,而其他框剁l00及实版相反拉些阚凝供安全架构的属性或模式2.5.3 倍总梁性信息架构没有正式的定义在架幽再如TOGAF信息架构繇构廨中的f域(8T三说可以说信Je架恸儆Tn丽信宸领N磔谀MTMl.这样可频射硒NsB嫡息交
15、换并对正在交换的信息进行分类2.5.4 安全架啊本章前面部分也简要介绍了安全架构如新解安锣频!以做!硒蟆漏弊活动-这使睇牌提供f整体的定义.T三说安筋脸蟒提供期用锄谢炯以在业务层面、信息系统层面或技术层面提供本论文将更详细地讨论安全架构不同类型标全架构及其作用级另够被检查和分类2.5.5 卷考架明参考架构在其定义上也遇到了与安全性和企业架构类似的问题国防三陵现参考架谶定义和目标有相似之处在比较了几个定义和侬定义之后他Il增出参号邮财主要目的是指导和约束解抉方案架构的实例化9换句话说参不构提供了解决方案的模S这些模不提供解决方案的台描述而是谶趣踊舫案的基础知识和边界.参考架构不会是本文的主要主题
16、但值得注意的是每种架构都有自己的参考架构2.5.6 架构模元架构模式也棕糠构风格“通过为经常出现的问Sg提供解决方案来改进分区并促进设计室用“10,这些模式是可以以标准f昉式字的单点解决方案,与参萼喇一样架构偿式提供了一种标准化机制,酗保留了灵活性控区别e于.参考架构提供了会的架构模板而架构模式特定于单个解决方案.因此具有更蝴节2.5.7 架机域EA见理组织不同级别的架构心些级别中,架构工作进一步细分为专门的焦点或视图这些视图被认为是架构域例如在TOGAF9.1企业架构框架中,区分了以下架构域8:肉业数据拉用柔术企业架构之间的确切领域有所不同但企业架构框架之间的架构领域存在幅部呻iW和Tsff
17、l程序架拗鲫组合成f术语:信息系统架构2.5.8 人工制三建筑人工制品是建筑过程中产生的产品创皎些工件是为了瞰!企业的系统、解决方案或状态*11蜘蜷中6腱的工件的行贿:矩阵触目录蟠策略类似的文档也可以是工件2.5.9 笑构视图和秒J架构视图旨在提供系统的表示这棉示函常提供给特定的利益相关考利朗联者对系统有担忧或至关重要的利谥本身和观点应西屋相关者提供有关这些臾丽屋的信息视图和视点之间的区别在于,领5供表示而视点定义15两谥供者概述视图的方式换诳说可以创建具有多个观点的单一视图,从而可以正确表示每个木蜡相关者2.5.10 其他概念在架构领域孰撼念(例如框架、分类法懑和方法通常用于描述架构的一部分
18、或架构本身为了正确分类为每个术语和附加术语提供了定义框架ISO/IEC/IEEE42010-2011系统和软件工程架构描述为与架构相关的术语提供了许多定义该标准定义了一个架构框架作为描述在特定应用领域和/或利益相关者社区内建立的架构的惯例原则和实践12这意味着一个框架必须:4苗述架构福供惯例藏厢以我福供观点并描述每个观点的利益相关者架构本身必须具有特定的用途该标准还提供了框架要被婕蝇簿必须满足的一系列要求这辱求将用于i三确定架构躁是否已正确分类在本论文中术语架构检构框架可以互换使用.这是因为架构面很少将自己微妙IN三.相反应用通用术语喋陶。在第456和7空中当文本指的是正在分析和评估隹腴构髅之
19、T5术语WT可以替换为术语喋构廨分类法分类法用于实体的分类口3卜分类法定义了此分类过程的规则使用定义的顺则自身进行分蝴蝠以炳“余螃金的窿中分类法可用于对人工制品或活动进行分类模型在本文中术语1三,实乐段用于信息t避信息才鹦剧共了釉娥设讯娇意曲触宾州触用熊与者邮阂联者并解轲诞参与者之间的关系模型通常使用标准模语言(例如统一建模语言(UM1.)或更具体地针对EAArChiMate米定义1.ee14提供了与此解释一致的信息模型的定义:信息模型是概念猱继驰厢制用旃厢为幽论蛭馥姬语义J方法论方法论是规则三、方滋网骅陵合它Ii醺供了实现腌魁状态的手段15该方法概述了架构师可用的所有工具并详细说明了所需的输
20、入和输出碓豆杂的方法中可以定义多个步骤以及每个步骤中需要交付的产品.这些产品累积到所需的最终结果。过程与方法论类似潞使用输入并提供输出如果方法论仅提供臧刷雌蝌典航程在定义艘采取的确切步骤方面非常严格梅上类似于指导指南,TS可以是方法论的一部分。实践实践是可以用来解决特定向Sg的工具,通堂术语爆器我用于嗣H目己懒证可烟藏狂馋工具信图琳翱毓库(ITI1.)就是此类(最佳)实践的一个示例:超可以整体或部分实施以标准化服务交付的工具(即服务管理流程)最佳实践可提高效率和效果163EH究司”安全架构面IS与企业和信息架构相同的问题:该术语用于各种各样的活动每种活动的详细程度胭颊别都不同这个问题使得很难针
21、对特定的架构稣构三微出明智的决定。组织可以根据他们可以获得的信息来选择解;W鳞既物雌.为了最大f维的糊暗储保豳睬可以在燮中实施并为组织问题提供解决方案他们应该能够就最合适的架构框架做出明智的决定安全架构必须简(b三卜槐有架构,并且不会使它们变得更加复杂,这一点至关重要。安全架构非常会主需求工程这种整求工程可以在组织中的多个级别发挥作用从业物别(处理业务需求到技术级别(技术要求)哎瞟做出选择如果架构与组织需求和组织能力不匹配短蝴长躺螺构工作都可能产生负面影响,短期负面影D胞括由于安全架构无去有效驱动实施过程而导致实施的解决方案与组织需求不匹配的情况。长期负面影。胞括组织由于缺乏专业知识而无罐护安
22、全架构的情况和支持或缺乏与现有架构流程的集成这种情况可能会导致企业和安全架构工作不一致并可能导致高水平的安全问题IT复杂性。短螂胀蝴负面影响都会给组织带来时明Q金钱畸失并可能导致IT部门的声誉受损。信息架构旨在刘壁唧碰瞰町旨在降低复杂性。飕性相反瞰媒IT部门的声誉可能会受到严重损害。为了防止因实施与组织不匹配的安全架构而产生负面影响组织首先确定其对安全架构的要求至辐要这使组织能够对符合这些要求的安全架构做出有根据的选择然而做出有根据的蝌需要能使用聊标准ft:模型来比较安全架构而目前尚不可用。本文试图回答的研究问题如下:安全架构框架如何进行相互比较?本文通过定义模型提供了这种比较的方法。该模型将
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2024 比较 安全 架构
链接地址:https://www.desk33.com/p-1424781.html