3.3　安全框架的規劃和設計方法

進行具體的安全框架討論之前，可能都有一個疑問，就是服務于某個組織或企業的安全框架是如何規劃、如何設計的？

安全框架可以是一些企業架構的一部分，但并不是所有組織都使用它們或擁有企業架構實踐。當然，安全框架也可以在沒有企業架構的情況下存在。

3.3.1　TOGAF體系結構開發方法介紹

行業內常見的安全框架規劃和設計方法，可以參考The Open Group的TOGAF。這是一個架構生成的框架，它基于行業的最佳實踐和可復用的迭代模型，提供了一個幫助企業接受、設計、使用和維護一個框架或架構的方法和工具。

TOGAF提供的現有框架理論其實只是一個最佳實踐參考，在實際操作過程中，需要根據需求、客戶情況、項目復雜程度，以及企業自身能力進行定制。

TOGAF體系結構開發方法（Architecture Development Method，ADM）涵蓋了通常被視為企業體系結構子集的4個體系結構域的開發：業務、數據、應用程序和技術設施。安全體系結構與所有這4個體系結構交互，因此稱其跨領域，其相互關系如圖3-1所示。作為一個跨領域的關注點，安全體系結構會影響并通知業務、數據、應用程序和技術設施體系結構。

這種方法通過TOGAF體系結構開發方法（ADM）（當前主流版本為9.2版，其體系結構開發方法見圖3-2），增進對不同階段的安全概念和活動的理解。業務導向將有助于證明安全組件的合理性。

在TOGAF體系結構開發方法ADM中，各階段的活動具體如下。

1. 初步階段

初步階段建立了指導安全體系結構設計所需的安全上下文。需要體現在安全框架體系文檔中的內容主要有業務驅動因素（或業務目標）、安全原則、風險偏好、關鍵風險領域（或業務影響分析）、安全資源計劃。

2. 階段A：架構遠景

階段A旨在使得相關利益方尤其是控制預算的利益相關者，對預期的安全收益、業務收益滿意，即最終的安全運行狀態不會代表任何未知或不可接受的風險，并且符合公司的政策、標準和原則，在風險、合規和業務利益之間找到了適當的平衡。主要包括以下內容。

（1）確定所有利益相關者的完整列表。

（2）收集所有利益相關者的需求，以確定解決相關問題的安全藍圖。

3. 階段B：業務架構

階段B的安全元素包括業務級別的信任、風險和控制，這些元素獨立于特定的IT或其他系統，具體包含安全策略架構、安全域模型、信任框架、風險評估、業務風險模型（或風險注冊）、法律法規適用性注冊、控制框架適用性注冊。

4. 階段C：信息系統架構

階段C的安全元素主要有安全功能服務及其安全分類。具體包含安全服務目錄，如身份和訪問管理、連續性管理、安全情報、數字取證、安全分析、審核，網絡監控、合規管理、培訓和意識計劃等。

（1）安全分類。

（2）數據質量。

5. 階段D：技術架構

階段D沒有開發特定的安全技術架構或相關的架構文檔模塊，僅需包含相關的安全控制和機制即可。安全規劃設計人員必須確保所需的安全控制均包含在相關的技術體系架構中，并且驗證控制可以有效和高效地運行。例如，特定技術體系架構的安全視圖、可交付成果等。

6. 階段E：機遇與解決方案

階段E旨在評估安全性和風險，確定實施路線和優先級可以對應到業務目標和驅動因素。主要包括設計風險緩解計劃。

7. 階段F：遷移計劃

遷移本身就是需要保護的業務流程。遷移策略應包括風險評估和風險緩解計劃。在F階段，風險緩解計劃僅限于過渡。此外，遷移計劃應包括安全影響分析，以了解更改目標狀態的所有安全影響。

8. 階段G：實施治理

安全體系結構實施治理可確保詳細設計，以及已實現的過程和系統遵守總體安全體系結構。這樣可以確保與架構原則和實施準則之間的差異不會造成任何無法接受的風險。主要包含安全審核、安全培訓和安全意識。

9. 階段H：架構變更管理

階段H定義了兩個流程，風險管理流程和安全體系架構的治理流程。雖然該階段的活動不是安全框架的組成部分，但是至關重要。架構治理是一個過程，需要持續評估現有架構有關業務機會和安全威脅變化的過程。根據此過程的結果，當前體系結構可能認為它不適合緩解已更改或新的風險，或者可能會在利用新機會方面過多地限制業務。在這種情況下，必須更改體系結構。

3.3.2　SABSA應用業務安全架構方法介紹

SABSA（Sherwood Applied Business Security Architecture）是另一種常見的構建安全框架的方法，它建立在Zachman企業架構方法論的基礎上，根據相關方的視圖對架構的各個方面進行了結構化定義，即做什么、如何做、在哪里做、誰來做、何時做及為什么要做。SABSA采用了一個類似的結構，稱為SABSA矩陣（具體內容可以通過https://sabsa.org/download/tsir101-sabsa-matrices-2018-release-notes/下載）。

SABSA是一種開發有效安全架構的方法論，它關注業務需求，同時考慮處理風險和機會。它提供了從業務計劃到可部署安全組件的可跟蹤（以及反向跟蹤）方法。SABSA是模型、視圖和方法的組合，以幫助安全專業人員根據自己的需要，全面和系統地定義架構。

SABSA利用不同的視圖組合來幫助安全專業人員有邏輯地獲得和呈現安全架構。它支持從一開始使用自頂向下的方法（從業務級別向下到從業人員）開發安全架構，然后使用自底向上的可跟蹤性來確保架構的嚴密性。

SABSA方法論的核心原則是SABSA矩陣。需要注意的是，并非SABSA矩陣中所有的項目都需要完成，只需要完成架構師團隊認為對組織有用的那些項目。在使用SABSA的過程中，架構師應該關注策略域和信任的相互關系，以幫助對這些域進行分解，從而建議應該在哪里分配屬性。在這里，架構師可以定義需要哪些低層次的控制措施，這需要深入了解業務的驅動因素。要做好這項活動，必須深入了解組織，包括要保護的業務流程和功能。

總之，網絡服務的業務功能及其所面臨的安全環境和安全挑戰，需要與之對應的安全架構進行總體的規劃和設計。安全框架提供了一個動態的安全風險管理載體，隨著組織和IT系統的發展、變化和轉型，該框架會隨著組織的發展而成長，并支持實際的維護。安全框架在風險和合規要求，以及組織IT和業務流程的復雜性之間起著橋梁的作用。參照行業安全框架的規劃實踐，可以幫助組織快速構建符合其業務目標和安全需求的安全框架。