AI 年度盘点与2025发展趋势展望,50+案例解析亮相AICon 了解详情
写点什么

使用 TOGAF 架构开发方法论整合 SABSA 安全架构方法

  • 2011-11-15
  • 本文字数:1264 字

    阅读完需:约 4 分钟

OpenGroup SABSA 研究院联合发表了一份白皮书,名为《TOGAF 与 SABSA 集成:看 SABSA 和 TOGAF 如何相辅相成共同创建更好的架构》,旨在研究将风险管理和安全架构方法集成到 TOGAF 这一建立完善的企业架构方法论中。Jim Hietala,Open Group 的副总,在其博客上引用了白皮书中的以下几行文字来解释这一文章的用意:

长久以来,信息安全一直被认为是一门单独的学科,孤立于企业架构之外。这份白皮书记录了使用 SABSA®安全架构方法来增强 TOGAF®企业架构方法论的方式,从而创建一种全面的架构方法论。

文章一开始简要介绍了 TOGAF 和 SABSA 用于集成的相关概念,包括:TOGAF 架构开发方法(ADM)、TOGAF 内容元模型、SABSA 模型、SABSA 矩阵、SABSA 生命周期以及 SABSA 业务属性概要。因为这两套方法论都是业务驱动的,这就被用来作为捆绑两种方法论的基础。此后的章节便着重于集成的一些细节,它们遵循以下三大原则:

  1. 风险管理是选择安全措施的驱动力——使用 SABSA 方法来进行运维风险管理是由业务驱动的而非威胁驱动。而业务驱动的方式也考虑到了在为取得积极成果中所涉及的风险全景,而威胁驱动方式只注意最小化或消除损失故障的可能性。这种相辅相成、积极的风险观是 TOGAF-SABSA 集成的根本基础。
  2. 需求管理在成功的架构开发中起着核心作用——TOGAF 遵循需求驱动的方法,SABSA 业务属性概要则为获取架构需求提供了一个强大的技术支持。
  3. TOGAD 架构开发方法论(ADM)是一个主流的架构交付流程——这份白皮书中展示了哪些安全架构工件关联到 ADM 中的相关各阶段,这样安全架构就成为企业架构的有机组成部分。如此一来,SABSA 以 TOGAF 的语言来描述,就为 TOGAF 和 SABSA 提供了一种共同的语言,从而促使从业者之间能更好的进行信息交互。

另外集成需要遵循以下三大规则:

• 当某一工件看似出现在不同的架构层次时,那么抽象层次最高的那个应被用做映射。这样一来,集成就可以将其重点放在企业层次。而企业层次恰恰是 SABSA 提供增值的地方。
• 如果两个不同的映射相互抵制,那么请使用最明显的那个。这是因为大多数架构师社区更可能接受最明显的映射,所以这么做更务实些。
• 集成的范围限于那些最重要的和最有用的元素和概念上。

TOGAF 没有指定任何需求管理方法,所以 SABSA 的业务属性概要(BAP)方法被用来获取需求,这是因为它确定了一套以风险为基础的方法来定义那些基于业务目标的需求。业务驱动和安全服务定义之间的两种方法的可追溯性是通过 SABSA 工件连接所达成,它可以扩展应用到企业在 TOGAF 信息系统服务目录中的所有服务,使其仅用 TOGAF 工件便符合业务需求。维护实体关系的 TOGAF 内容元数据得到增强:

业务属性概要在当前元数据中最适合的位置在动机扩展(Motivation Extension),位于对象“Goal”的所在之处。Goal 有自己一套关系解说,即所谓的驱动(对应于 SABSA 的业务驱动)和“目的”(对应于 SABSA 的控制目的)。

最后,该白皮书细致分析并描述了 SABSA 工件和 TOGAF ADM 各阶段之间的映射,见下图概括:

查看英文原文: Integration of SABSA Security Architecture Approaches with TOGAF ADM

2011-11-15 18:303052
用户头像

发布了 52 篇内容, 共 19.1 次阅读, 收获喜欢 3 次。

关注

评论

发布
暂无评论
发现更多内容

华为云FusionInsight大数据技术普惠创新,释放千行百业数据价值

数据湖洞见

大数据 FusionInsight 华为云

区块链支付新模式开发,USDT支付系统搭建

13530558032

SpreadJS 纯前端表格控件应用案例:MHT-CP数据填报采集平台

葡萄城技术团队

SpreadJS 纯前端表格控件应用案例:雨诺订单管理系统(雨诺OMS)

葡萄城技术团队

技术分享:即构互动白板音视频同步、多端有序协作技术实践

ZEGO即构

音视频 在线教育 SVG

Cassandra Gossip协议的二三事儿

华为云开发者联盟

源码 三次握手 开发者 Cassandra Gossip协议

Spring Bean处理器

语霖

Spring Framework

3种双集群系统方案设计模式详解

华为云开发者联盟

数据库 数据仓库 数据 双集群系统 双ETL模式

从 Node.js(JavaScript) 到 Golang,我的开发体验

Garfield

node.js Go 语言

凡泰极客与Rancher达成深度战略合作,加速企业构建私有化小程序生态

FinClip

面试必备知识点:悲观锁和乐观锁的那些事儿

鄙人薛某

面试 乐观锁 悲观锁 CAS 并发控制

1. 不吹不擂,第一篇就能提升你对Bean Validation数据校验的认知

YourBatman

Hibernate-Validator Bean Validation 数据校验 JSR380

云原生如何来进行HTTPS升级

soolaugust

架构 云原生 设计模式

数字资产钱包开发,数字加密货币app搭建

13530558032

C语言内存泄露很严重,如何应对?

华为云开发者联盟

c 内存泄露 内存 代码 函数

关于显性知识和隐性知识

Tanmer

知识管理 知识产权

融云Geek Online 2020 编程挑战赛重磅来袭

InfoQ_967a83c6d0d7

anyRTC Native 4.1.0.1与Web SDK 4.0.11上线

anyRTC开发者

学习 WebRTC 语音 直播 sdk

LeetCode题解:155. 最小栈,单个栈存储入栈元素与最小值之差,JavaScript,详细注释

Lee Chen

大前端 LeetCode

人的转型才是关键 数字化时代你具备数字领导力么

CECBC

区块链 数字化时代

深圳泰利能源有限公司涉嫌传销 共计2.7亿元

CECBC

区块链 基金

区块链助力军事人力资源配置

CECBC

区块链 军事

数字货币交易平台源码,数字货币交易所开发核心功能

13530558032

话题讨论 | 当你敲代码累了时,一般喜欢吃点什么补充能量?

InfoQ写作社区官方

加班 写作平台 代码 话题讨论

挽救你的视频号:能够把PPT转换成视频,把备注转换成语音的开源项目

陈磊@Criss

XSKY对象存储获全球备份领域领导者Commvault官方认证

XSKY星辰天合

某程序员毕业进UC,被阿里收购!跳去优酷土豆,又被阿里收购!再跳去饿了么,还被阿里收购!难道阿里想收购的是他?

程序员生活志

职场 阿里

读懂k8s 容器编排控制器 Deployment

Garfield

k8s pod k8s入门

MAC系统初始化

焦振清

macos 重装系统

你问我答:现有的应用有必要做微服务改造吗?

BoCloud博云

容器 DevOps 微服务 云平台 博云

案例分享丨红外自动感应门设计与实现详解

华为云开发者联盟

物联网 传感器 感应探测器 SMT32处理器 感应门

使用TOGAF架构开发方法论整合SABSA安全架构方法_安全_Jeevak Kasarkod_InfoQ精选文章