写点什么

使用 TOGAF 架构开发方法论整合 SABSA 安全架构方法

  • 2011-11-15
  • 本文字数:1264 字

    阅读完需:约 4 分钟

OpenGroup SABSA 研究院联合发表了一份白皮书,名为《TOGAF 与 SABSA 集成:看 SABSA 和 TOGAF 如何相辅相成共同创建更好的架构》,旨在研究将风险管理和安全架构方法集成到 TOGAF 这一建立完善的企业架构方法论中。Jim Hietala,Open Group 的副总,在其博客上引用了白皮书中的以下几行文字来解释这一文章的用意:

长久以来,信息安全一直被认为是一门单独的学科,孤立于企业架构之外。这份白皮书记录了使用 SABSA®安全架构方法来增强 TOGAF®企业架构方法论的方式,从而创建一种全面的架构方法论。

文章一开始简要介绍了 TOGAF 和 SABSA 用于集成的相关概念,包括:TOGAF 架构开发方法(ADM)、TOGAF 内容元模型、SABSA 模型、SABSA 矩阵、SABSA 生命周期以及 SABSA 业务属性概要。因为这两套方法论都是业务驱动的,这就被用来作为捆绑两种方法论的基础。此后的章节便着重于集成的一些细节,它们遵循以下三大原则:

  1. 风险管理是选择安全措施的驱动力——使用 SABSA 方法来进行运维风险管理是由业务驱动的而非威胁驱动。而业务驱动的方式也考虑到了在为取得积极成果中所涉及的风险全景,而威胁驱动方式只注意最小化或消除损失故障的可能性。这种相辅相成、积极的风险观是 TOGAF-SABSA 集成的根本基础。
  2. 需求管理在成功的架构开发中起着核心作用——TOGAF 遵循需求驱动的方法,SABSA 业务属性概要则为获取架构需求提供了一个强大的技术支持。
  3. TOGAD 架构开发方法论(ADM)是一个主流的架构交付流程——这份白皮书中展示了哪些安全架构工件关联到 ADM 中的相关各阶段,这样安全架构就成为企业架构的有机组成部分。如此一来,SABSA 以 TOGAF 的语言来描述,就为 TOGAF 和 SABSA 提供了一种共同的语言,从而促使从业者之间能更好的进行信息交互。

另外集成需要遵循以下三大规则:

• 当某一工件看似出现在不同的架构层次时,那么抽象层次最高的那个应被用做映射。这样一来,集成就可以将其重点放在企业层次。而企业层次恰恰是 SABSA 提供增值的地方。
• 如果两个不同的映射相互抵制,那么请使用最明显的那个。这是因为大多数架构师社区更可能接受最明显的映射,所以这么做更务实些。
• 集成的范围限于那些最重要的和最有用的元素和概念上。

TOGAF 没有指定任何需求管理方法,所以 SABSA 的业务属性概要(BAP)方法被用来获取需求,这是因为它确定了一套以风险为基础的方法来定义那些基于业务目标的需求。业务驱动和安全服务定义之间的两种方法的可追溯性是通过 SABSA 工件连接所达成,它可以扩展应用到企业在 TOGAF 信息系统服务目录中的所有服务,使其仅用 TOGAF 工件便符合业务需求。维护实体关系的 TOGAF 内容元数据得到增强:

业务属性概要在当前元数据中最适合的位置在动机扩展(Motivation Extension),位于对象“Goal”的所在之处。Goal 有自己一套关系解说,即所谓的驱动(对应于 SABSA 的业务驱动)和“目的”(对应于 SABSA 的控制目的)。

最后,该白皮书细致分析并描述了 SABSA 工件和 TOGAF ADM 各阶段之间的映射,见下图概括:

查看英文原文: Integration of SABSA Security Architecture Approaches with TOGAF ADM

2011-11-15 18:303106
用户头像

发布了 52 篇内容, 共 19.4 次阅读, 收获喜欢 3 次。

关注

评论

发布
暂无评论
发现更多内容

关于软件物料清单(SBOM),你所需要了解的一切

SEAL安全

安全 软件物料清单 SBOM

python中类与对象的动态性,混入机制

乔乔

11月月更

Apache Pulsar 社区年度峰会 Pulsar Summit Asia 2022 即将召开

腾源会

大数据 开源

zabbix添加自定义监控项&告警(邮件)

A-刘晨阳

Linux 运维 zabbix 11月月更

Java中的BigDecimal比较大于小于等于,四舍五入保留几位(setScale方法详解),加减乘除取余

共饮一杯无

Java BigDecimal 11月月更

荣耀开发者大会预约有礼

荣耀开发者服务平台

开发者 手机 开发者大会 荣耀 honor

数据结构学习笔记(一)

lxmoe

数据结构 学习笔记 11月月更

产品待办列表PBL与产品需求文档PRD的本质区别

ShineScrum

Scrum PRD 产品待办列表 PBL 产品需求文档

浅谈HTTP缓存与CDN缓存的那点事

京东科技开发者

缓存 性能 Web CDN HTTP缓存

Linux系统保存文件命令的详细介绍

源字节1号

软件开发 前端开发 后端开发 小程序开发

redhat运维-ftp服务故障

阿柠xn

Linux 运维 ftp 11月月更

算法基础:离散化及模板详解

timerring

算法 11月月更 离散化

Wallys/ DR9074-6E QCN9074 WIFI 6E 802.11AX 4X4 6GHz/ industrial M.2 card / DR9074-6E(PN02.7)

Cindy-wallys

m.2 QCN9074 WIFI 6e

Wallys/IPQ4018/IPQ4028 2x2 2.4Ghz 2x2 5Ghz Industrial WIFI5 router/Support 11ABGN/AC

Cindy-wallys

IPQ4018 IPQ4028 2.4G&5G

用了8年MQ!聊聊消息队列的技术选型,哪个最香!

小小怪下士

Java RocketMQ RabbitMQ 消息队列

Linux系统中CPU占用率较高问题排查思路与解决方法

A-刘晨阳

Linux 运维 cpu 11月月更

vue实战中的一些小技巧

yyds2026

Vue

vue实战-深入响应式数据原理

yyds2026

Vue

React Context源码是怎么实现的呢

flyzz177

React

记一次京东前端面试被问到的题目

helloworld1024fd

JavaScript

企业级 Angular 应用路由路径自定义配置和开发的案例分享

汪子熙

typescript 前端开发 angular Web应用 11月月更

数据结构学习笔记(二)

lxmoe

数据结构 学习笔记 11月月更

HarmonyOS 3.1版本发布,全面进入声明式开发

HarmonyOS开发者

HarmonyOS

腾讯前端高频手写面试题

helloworld1024fd

JavaScript

【docker】导入镜像报错磁盘空间不足的解决方法 && 【docker】修改默认的存储路径

A-刘晨阳

Docker Linux 运维 11月月更

技术分享| Etcd如何实现分布式负载均衡及分布式通知与协调

anyRTC开发者

分布式 etcd 通知 式负载均衡 协调

vue实战-完全掌握Vue自定义指令

yyds2026

Vue

细说react源码中的合成事件

flyzz177

React

能否手写vue3响应式原理-面试进阶

helloworld1024fd

JavaScript

手撕常见JS面试题

helloworld1024fd

JavaScript

ElasticSearch深度分页详解

京东科技开发者

数据库 elasticsearch 分布式搜索引擎 分布式实时搜索引擎

使用TOGAF架构开发方法论整合SABSA安全架构方法_安全_Jeevak Kasarkod_InfoQ精选文章