QCon北京「鸿蒙专场」火热来袭!即刻报名,与创新同行~ 了解详情
写点什么

使用 TOGAF 架构开发方法论整合 SABSA 安全架构方法

  • 2011-11-15
  • 本文字数:1264 字

    阅读完需:约 4 分钟

OpenGroup SABSA 研究院联合发表了一份白皮书,名为《TOGAF 与 SABSA 集成:看 SABSA 和 TOGAF 如何相辅相成共同创建更好的架构》,旨在研究将风险管理和安全架构方法集成到 TOGAF 这一建立完善的企业架构方法论中。Jim Hietala,Open Group 的副总,在其博客上引用了白皮书中的以下几行文字来解释这一文章的用意:

长久以来,信息安全一直被认为是一门单独的学科,孤立于企业架构之外。这份白皮书记录了使用 SABSA®安全架构方法来增强 TOGAF®企业架构方法论的方式,从而创建一种全面的架构方法论。

文章一开始简要介绍了 TOGAF 和 SABSA 用于集成的相关概念,包括:TOGAF 架构开发方法(ADM)、TOGAF 内容元模型、SABSA 模型、SABSA 矩阵、SABSA 生命周期以及 SABSA 业务属性概要。因为这两套方法论都是业务驱动的,这就被用来作为捆绑两种方法论的基础。此后的章节便着重于集成的一些细节,它们遵循以下三大原则:

  1. 风险管理是选择安全措施的驱动力——使用 SABSA 方法来进行运维风险管理是由业务驱动的而非威胁驱动。而业务驱动的方式也考虑到了在为取得积极成果中所涉及的风险全景,而威胁驱动方式只注意最小化或消除损失故障的可能性。这种相辅相成、积极的风险观是 TOGAF-SABSA 集成的根本基础。
  2. 需求管理在成功的架构开发中起着核心作用——TOGAF 遵循需求驱动的方法,SABSA 业务属性概要则为获取架构需求提供了一个强大的技术支持。
  3. TOGAD 架构开发方法论(ADM)是一个主流的架构交付流程——这份白皮书中展示了哪些安全架构工件关联到 ADM 中的相关各阶段,这样安全架构就成为企业架构的有机组成部分。如此一来,SABSA 以 TOGAF 的语言来描述,就为 TOGAF 和 SABSA 提供了一种共同的语言,从而促使从业者之间能更好的进行信息交互。

另外集成需要遵循以下三大规则:

• 当某一工件看似出现在不同的架构层次时,那么抽象层次最高的那个应被用做映射。这样一来,集成就可以将其重点放在企业层次。而企业层次恰恰是 SABSA 提供增值的地方。
• 如果两个不同的映射相互抵制,那么请使用最明显的那个。这是因为大多数架构师社区更可能接受最明显的映射,所以这么做更务实些。
• 集成的范围限于那些最重要的和最有用的元素和概念上。

TOGAF 没有指定任何需求管理方法,所以 SABSA 的业务属性概要(BAP)方法被用来获取需求,这是因为它确定了一套以风险为基础的方法来定义那些基于业务目标的需求。业务驱动和安全服务定义之间的两种方法的可追溯性是通过 SABSA 工件连接所达成,它可以扩展应用到企业在 TOGAF 信息系统服务目录中的所有服务,使其仅用 TOGAF 工件便符合业务需求。维护实体关系的 TOGAF 内容元数据得到增强:

业务属性概要在当前元数据中最适合的位置在动机扩展(Motivation Extension),位于对象“Goal”的所在之处。Goal 有自己一套关系解说,即所谓的驱动(对应于 SABSA 的业务驱动)和“目的”(对应于 SABSA 的控制目的)。

最后,该白皮书细致分析并描述了 SABSA 工件和 TOGAF ADM 各阶段之间的映射,见下图概括:

查看英文原文: Integration of SABSA Security Architecture Approaches with TOGAF ADM

2011-11-15 18:303237
用户头像

发布了 52 篇内容, 共 20.0 次阅读, 收获喜欢 3 次。

关注

评论

发布
暂无评论
发现更多内容

牛皮!GitHub上标星90.6K的Java面试指南+笔记

做梦都在改BUG

Java java面试 Java八股文 Java面试题 Java面试八股文

蚁人与量子停车场

白洞计划

AI 智慧停车场

8个不能错过的程序员必备网站,惊艳到我了!!!

引迈信息

前端

python进阶:带你学习实时目标跟踪

华为云开发者联盟

Python 人工智能 华为云 华为云开发者联盟 企业号 3 月 PK 榜

《2023大型企业财务数智化白皮书》:大型企业财务数智化建设应用架构

用友BIP

财务数智化 智能财务

Java敏捷开发框架 高效搭建数据报表

力软低代码开发平台

提升面试成功率:深入理解C++11新特性

小万哥

程序员 面试 软件开发 新特性 C++11

软件测试/测试开发丨RPC接口测试技术-Tcp 协议的接口测试

测试人

软件测试 自动化测试 测试开发

美团二面特点:喜欢写一个 SQL 语句,然后问你加了哪些锁!

Java你猿哥

Java 数据库 sql ssm InnoDB存储引擎

远程桌面连接软件:Jump Desktop 8 mac激活版

真大的脸盆

Mac 远程办公 Mac 软件 远程连接 远程工具

看起来很简单的二维码巡检,究竟是怎么实现的?

草料二维码

小程序 二维码 表单 设备巡检

现货合约一键自动跟单app系统开发搭建(api对接)

开发v-hkkf5566

瓴羊Quick BI作为自定义数据门户,在企业的有效管理中发挥巨大作用

流量猫猫头

不要再问我 In,Exists 走不走索引了

做梦都在改BUG

终于扒完国内算法第一人10年经验总结的数据结构与算法详解文档

程序知音

Java 算法 编程语言 数据结构与算法 后端技术

IPQ5018 cooperate QCN6122 / QCN6102 high performance high speed wi-fi connection

Cindy-wallys

ipq5018 QCN6102 QCN6122 IPQ5010

分析 | NFTScan NFT API 在加密钱包开发中的应用

NFT Research

API NFT

建木缓存—提升构建速度,让你不加班!

Jianmu

maven 缓存 持续集成 CI/CD 流水线

字节三面被挂后,狂刷算法,意外斩获阿里offer,定级P6+

做梦都在改BUG

Java 数据结构 面试 算法

让国内顶尖程序员社区“牛客网”低头的这份Java面试手册真的强

程序知音

Java 编程语言 java面试 java架构 八股文

3月27日“文心一言云服务”系列产品将发布 已有21家企业签约

极客天地

全员狠人!CG大佬的连环暴击!第二届瑞云3D渲染动画创作大赛入围名单出炉!人气奖投票进行时!

Renderbus瑞云渲染农场

3D渲染动画创作大赛 瑞云3D渲染动画大赛

MQTT协议是什么?MQTT和Kafka的联系与区别

EMQ映云科技

kafka 物联网 IoT mqtt 企业号 3 月 PK 榜

【IT小知识】扩容是什么意思?扩容的近义词有哪些?

行云管家

扩容 IT运维

想稳中求进?字节大佬的硬核学习神器《图解Java并发编程》看了吗

Java你猿哥

Java 面试 Java并发 ssm 面经

给跪了!阿里P7技术专家进阶必备,架构进阶宝典

做梦都在改BUG

Java 进阶 架构师

建木v2.7.0发布

Jianmu

node.js maven 缓存 CI/CD 流水线

轻松搞定面试拿offer的Java面试宝典(全彩图文版)24个Java技术栈

Java你猿哥

Java 面试 ssm 面经 java技术栈

爱了!阿里P8纯手码出489页SQL优化手册,附笔记源码

做梦都在改BUG

Java 数据库 sql 面试

布隆过滤器(Bloom Filters)的原理及代码实现(Java)

做梦都在改BUG

Java 布隆过滤器

使用TOGAF架构开发方法论整合SABSA安全架构方法_安全_Jeevak Kasarkod_InfoQ精选文章