写点什么

SOA 与信息风险管理

  • 2010-12-20
  • 本文字数:1429 字

    阅读完需:约 5 分钟

Clive Gee ,IBM 资深 SOA 从业者,在 SOA Magazine 中探讨了 IT 信息安全是如何发展到他所谓的信息风险管理这一阶段的。随着合作空间的扩张、应用整合以及面向服务的系统,他分析了面对日益提升的威胁及脆弱点的风险管理。

在 SOA 使得信息资产能更容易地暴露给更广泛的受众的同时,它也增加了信息资产相关的风险。虽然这对于业务运作带来了价值,同时也为安全和风险管理人员带来了更多的担忧。SOA 治理团队和风险管理团队合作对(SOA 带来或激化的)风险进行评估变得非常关键。

进行风险管理需要识别脆弱点、威胁、潜在的风险表现形式以及风险发生时所产生的影响,并最终做出避免、接受、减轻或转移风险的决定。风险管理人员必须权衡风险发生时可能发生的成本和对风险及相关机会成本进行管理所需的成本。

通过对威胁和脆弱点的深入观察,他提醒人们,缺乏适当的保护可能会造成信息破坏。

……信息正面临着由于缺乏合适控制或者犯罪活动而引发的向未授权方暴露的危险。如果信息遭到破坏,那么业务便利和信息的广泛共享所带来的益处就会被很快抵消。 风险管理的一部分工作应当包括识别“哪些信息易于受到攻击”和“它们面临的潜在攻击”并对它们进行编目。一旦完成了威胁的编目,我们就可对它们进行评估并根据其发生的可能性和潜在的影响进行分类。

他将脆弱点归类成:

  • 知识产权(IP)——……取决于公司业务的自然特性,IP 指的是公司最有价值的,或至少对其市场竞争起重大影响的资产。
  • 管理合规——……确保组织符合相关法律和条例(或对被抓住违法时所受的处罚和实施控制所需的成本进行管理)……违反这些条例可能会造成重大罚单、制裁和商业机会的丢失。
  • 业务关系——在当今的经济社会中,信息是 B2B 和 B2C 关系的核心。企业必须确保客户的私有信息与经济数据,必须既安全又经济地在业务伙伴间交换信息。

……威胁可归类成:

  • 自然威胁——台风、洪水和地震等。
  • 环境威胁——电力故障、水资源破坏和污染等。
  • 人为威胁——商业间谍、病毒感染和 DOS 攻击等。

接着,他列举了风险管理方面的一些顾虑,探讨了在企业架构的各级别上减轻风险的多个框架与流程,如应用层的私密性、认证和授权等,保护物理设备免受非法访问,多种开发流程和运维流程。他建议通过安全分类模型建立不同级别的安全管理,如将信息划分为公共信息、敏感信息、私密信息、私有信息等,他还建议将流程作为信息风险管理的一部分,与策略和合规框架一起建立控制机制。他推荐的控制类型有:

[…]

管理控制——定义和维护治理信息风险的策略、过程、标准和指导原则。

运维控制——实施并加强管理控制。

审计控制——确保遵守管理控制以及运维控制的有效性。

业务持续性和灾难恢复——确保在电力故障、自然灾害或其他类似灾难发生时保持业务的运行是业务持续性工作的目标。

[…]

Clive 重申此类项目 / 投资成功的关键需要组织结构内相关干系人的买账,若没有组织的支持,风险减轻措施是不可能成功实施的。“一旦我们理解了信息风险管理”,他说,“以及处理风险所需的措施,我们还必须确保组织结构一定会切实执行这些措施”。

如多数大型项目一样,组织的总监和执行委员会必须支持并资助风险管理部门。他们必须确保风险管理策略和过程与总体业务目标和战略一致。

他在总结文章时强调,随着组织结构的调整,如员工升迁、调动和离职等事件发生时,有必要重新评估信息访问控制权限并采取合适的行动。

原文发布在在线SOA 杂志上。请务必去读一读原文并分享你自己的经验。


查看英文原文: SOA and Information Risk Management

2010-12-20 10:361496
用户头像

发布了 184 篇内容, 共 79.3 次阅读, 收获喜欢 8 次。

关注

评论

发布
暂无评论
发现更多内容

as-if-serial规则和happens-before规则的区别

Java 程序员 后端

DL4J实战之五:矩阵操作基本功,微服务架构技术栈

Java 程序员 后端

6月GitHub上最牛逼的10个Java开源项目,号称“Star收割机

Java 程序员 后端

90行代码,15个元素实现无限滚动,吃透这份Java高级工程师面试497题解析

Java 程序员 后端

97 道大厂 Java 核心面试题出炉,来试试看你会几道题?

Java 程序员 后端

apiserver源码分析——启动流程,java工程师技术栈

Java 程序员 后端

MacBook M1 搭建OpenVINO环境

IT蜗壳-Tango

OpenVINO MacBook M1 10月月更

4年Java开发经验,从传统公司裸辞之后足足准备了3个月,终于拿到美团

Java 程序员 后端

Alibaba内部流行的“Java突击宝典”,springboot模块化架构

Java 程序员 后端

CAS都不了解,你还怎么看J-U-C,下载量瞬秒百万

Java 程序员 后端

CPU战争40年,终于把Intel打趴下了,字节跳动两轮面试让等hr

Java 程序员 后端

6 种事件驱动的架构模式,springboot入门书籍

Java 程序员 后端

6年拉力工作经验,学了阿里P8级架构师的7+1,java基础学习百度云

Java 程序员 后端

apollo在Spring boot加载过程解析,redis单线程原理

Java 程序员 后端

架构实战营模块二作业

随风King

「架构实战营」

BAT大厂Java面试必备:20道最新JVM面试题(含答案

Java 程序员 后端

Dijkstra求最短路算法 ( 超级超级详细的 ) 不断更新中

Java 程序员 后端

浅谈如何实现自定义的 iterator 之二

hedzr

c++ stl Iterator 迭代器

30岁程序员裸辞,闭关三月,拿下阿里字节百度等12家offer

Java 程序员 后端

30张图带你分析:spring事务源码,mysql基础教程视频

Java 程序员 后端

985应届进大厂,后端开发两年被裁,对前路迷茫的我

Java 程序员 后端

CDH+Kylin三部曲之二:部署和设置,java项目百度网盘

Java 程序员 后端

5种可能在10年后消失的开发语言,java消息队列面试题

Java 程序员 后端

7年Java开发经验,面试20多家公司,砍下16个Offer

Java 程序员 后端

CentOS部署Harbor镜像仓库,java进阶训练营百度网盘

Java 程序员 后端

client-go实战之一:准备工作,干货分享

Java 程序员 后端

28天读完349页,这份Alibaba面试通关手册,助我

Java 程序员 后端

95% 的算法都是基于这 6 种算法思想,大厂Java面试必考点

Java 程序员 后端

avatar Logo,nginx负载均衡算法及原理

Java 程序员 后端

4个实验,彻底搞懂TCP连接的断开,实战nginx张宴

Java 程序员 后端

Binder源码阅读指南之java层,Java程序员如何有效提升学习效率

Java 程序员 后端

SOA与信息风险管理_SOA_Dilip Krishnan_InfoQ精选文章