丁禹哲 敬 鉛 孫 偉

1(中山大學(xué)數(shù)據(jù)科學(xué)與計(jì)算機(jī)學(xué)院 廣州 510006)2(中山大學(xué)電子與信息工程學(xué)院 廣州 510006)3 (信息技術(shù)教育部重點(diǎn)實(shí)驗(yàn)室(中山大學(xué)) 廣州 510006) (1269419318@qq.com)

隨著云計(jì)算、大數(shù)據(jù)的興起，信息安全的內(nèi)涵在不斷地延伸，從最初的信息保密性發(fā)展到信息的完整性、可用性、可控性和不可否認(rèn)性，并進(jìn)一步發(fā)展到如今的信息安全體系架構(gòu)，單純的加密和靜態(tài)防護(hù)已不能適應(yīng)現(xiàn)在的需要.在信息化普及的大潮中，企業(yè)、政府對(duì)信息系統(tǒng)的依賴性越來(lái)越大,然而，前一階段的信息化建設(shè)主要圍繞單個(gè)部門解決其信息系統(tǒng)存在的問(wèn)題，而無(wú)暇顧及信息系統(tǒng)的整體性、一致性、共享性以及系統(tǒng)效能等內(nèi)容；發(fā)展至今，信息系統(tǒng)“煙囪”問(wèn)題越來(lái)越突出，為此開(kāi)展的治理和規(guī)劃行動(dòng)也開(kāi)始以數(shù)據(jù)為主要對(duì)象，以期解決數(shù)據(jù)資源質(zhì)量，打通數(shù)據(jù)壁壘從而實(shí)現(xiàn)資源共享.

同時(shí)信息系統(tǒng)面臨的安全攻擊越來(lái)越多，損失也越來(lái)越大，信息的安全問(wèn)題伴隨信息系統(tǒng)“煙囪”、數(shù)據(jù)共享等治理的開(kāi)展也越發(fā)普遍.由于信息網(wǎng)絡(luò)技術(shù)的日益更新，帶來(lái)的是網(wǎng)絡(luò)結(jié)構(gòu)的日益復(fù)雜，隨著數(shù)據(jù)資源采集、存儲(chǔ)、管理、共享、隱私保護(hù)以及應(yīng)用系統(tǒng)多點(diǎn)訪問(wèn)、三方應(yīng)用授權(quán)等需求提出和實(shí)現(xiàn)，對(duì)于信息安全保護(hù)也就變得愈加困難，走傳統(tǒng)“腳痛醫(yī)腳、頭痛醫(yī)頭”的方式很難系統(tǒng)性解決現(xiàn)存的安全問(wèn)題.而要結(jié)合數(shù)據(jù)資源治理和共享，提高信息系統(tǒng)的整體安全性，則必須從信息化規(guī)劃和整體架構(gòu)給予分析和設(shè)計(jì)，真正實(shí)現(xiàn)“自頂而下”的企業(yè)信息化安全架構(gòu)規(guī)劃和設(shè)計(jì)，以指導(dǎo)信息化建設(shè)的信息安全工作，從制度、標(biāo)準(zhǔn)、組織、計(jì)劃、管理和團(tuán)隊(duì)等多維度，從業(yè)務(wù)、信息和技術(shù)等多視角，從規(guī)劃、建設(shè)、實(shí)施、變更等多過(guò)程，建設(shè)具備全局性、預(yù)防性、實(shí)時(shí)性、前瞻性的安全架構(gòu)，進(jìn)而確保企業(yè)信息化能夠在高安全保障環(huán)境中支撐業(yè)務(wù)安全運(yùn)行.本文以現(xiàn)有主流企業(yè)信息化規(guī)劃方法為基礎(chǔ)，結(jié)合信息化規(guī)劃中有關(guān)安全架構(gòu)的模型、方法或框架，提出基于EISA和TOGAF ADM框架的SADM安全架構(gòu)開(kāi)發(fā)模型，為開(kāi)展企業(yè)信息化規(guī)劃和架構(gòu)設(shè)計(jì)提供參考，進(jìn)而為后續(xù)建立安全架構(gòu)開(kāi)發(fā)方法體系開(kāi)展前期探索.

1 信息化規(guī)劃框架下的安全體系研究

安全體系架構(gòu)主要包含以下幾方面內(nèi)容研究：安全模型、安全策略、安全系統(tǒng)，以及在研究和評(píng)估系統(tǒng)安全性的準(zhǔn)則[1].因此，安全體系建設(shè)應(yīng)該立足于一個(gè)完整的安全體系，安全體系架構(gòu)定義了企業(yè)向業(yè)務(wù)部門提供的整體安全范圍和功能，是貫穿整個(gè)企業(yè)架構(gòu)的支撐架構(gòu)，一個(gè)真正適合信息安全顯示發(fā)展?fàn)顩r的安全體系架構(gòu)，應(yīng)該是一種能夠清晰描述信息安全目標(biāo)形態(tài)和構(gòu)成要素的模型或者框架.

從目前對(duì)信息化規(guī)劃中的安全體系研究來(lái)看，不同的安全體系架構(gòu)理論、內(nèi)容也不盡相同，本節(jié)提出關(guān)于EA框架下的安全體系研究現(xiàn)狀，則主要以其中的安全體系模型或方法研究現(xiàn)狀為焦點(diǎn)，并從信息化規(guī)劃實(shí)踐與安全體系以及EA框架與安全體系這樣2個(gè)視角展開(kāi).

1.1 信息化規(guī)劃實(shí)踐與安全體系研究

安全體系建設(shè)一直以來(lái)都是企業(yè)信息化規(guī)劃的重要組成部分，企業(yè)信息化規(guī)劃也必然包括信息安全體系架構(gòu)的構(gòu)建和設(shè)計(jì).而從信息化規(guī)劃實(shí)踐角度研究安全體系的關(guān)系，大致可以分為2種主要模式：其一是直接以企業(yè)信息安全體系為對(duì)象，圍繞信息安全體系制度、組織、風(fēng)險(xiǎn)識(shí)別與防控、技術(shù)等維度展開(kāi)，強(qiáng)調(diào)對(duì)安全體系準(zhǔn)則、安全管理、安全服務(wù)組成要素的研究，并以建立安全體系準(zhǔn)則和管理服務(wù)框架為研究重點(diǎn)；其二則以安全體系框架和模型為對(duì)象，相對(duì)獨(dú)立于企業(yè)信息化規(guī)劃實(shí)踐過(guò)程，將信息安全體系設(shè)計(jì)進(jìn)行維度或?qū)哟蝿澐?，以?gòu)建架構(gòu)模型或安全系統(tǒng)為研究重點(diǎn).

1) 安全體系架構(gòu)準(zhǔn)則

20世紀(jì)80年代中期，為適應(yīng)美國(guó)國(guó)防部計(jì)算機(jī)保密要求，在計(jì)算機(jī)保密模型Bell&Lapadula基礎(chǔ)上，美國(guó)國(guó)防部頒布了“可信計(jì)算機(jī)安全評(píng)價(jià)準(zhǔn)則(TCSEC)”；隨后完善了數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)等環(huán)境的安全解釋，由此建立信息安全體系架構(gòu)中最早的原則.90年代，歐洲提出了“信息技術(shù)安全評(píng)價(jià)準(zhǔn)則(ITSEC)”，在保密性、可用性方面得到提升.之后美歐6國(guó)共同提出了“信息技術(shù)安全評(píng)價(jià)通用準(zhǔn)則(CC ITSEC)”，該準(zhǔn)則對(duì)信息安全的框架、原則、理論以及安全級(jí)別和內(nèi)容作了更詳盡的規(guī)范和要求，并于1999年7月確立為ISOIEC15408國(guó)際化標(biāo)準(zhǔn)，沿用至今[2].

在信息安全體系架構(gòu)研究方面，國(guó)內(nèi)與國(guó)際上存在較大距離.1999年10月，我國(guó)頒布了“計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則”，為企業(yè)級(jí)的信息安全系統(tǒng)框架建設(shè)提供了參考標(biāo)準(zhǔn)和技術(shù)指導(dǎo)，管理者能夠根據(jù)自身規(guī)模參考相適應(yīng)的等級(jí)保護(hù)標(biāo)準(zhǔn)[3].近年來(lái)進(jìn)一步加強(qiáng)了對(duì)安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)等安全保護(hù)研宄，這些安全內(nèi)核參考的標(biāo)準(zhǔn)仍多采用國(guó)外早期的TCSEC標(biāo)準(zhǔn)，在完整性和規(guī)范性上仍存在很多不足.

2) 安全體系管理服務(wù)框架

完整的信息系統(tǒng)安全體系框架由組織機(jī)構(gòu)、信息技術(shù)、日常管理共同組成.信息系統(tǒng)安全體系在管理上可從制度上加以約束和執(zhí)行，通過(guò)培訓(xùn)學(xué)習(xí)，在技術(shù)體系方面能夠通過(guò)技術(shù)手段和管理辦法上體現(xiàn)，技術(shù)措施包括審計(jì)、OSI安全技術(shù)和運(yùn)行環(huán)境及系統(tǒng)安全技術(shù)；管理措施包括設(shè)備安全、架構(gòu)安全等[4].周逸峰[1]提出根據(jù)OSI模型結(jié)構(gòu)，將安全服務(wù)(安全機(jī)制)作為X軸，協(xié)議層次作為Y軸，系統(tǒng)構(gòu)成單元作為Z軸.構(gòu)建信息系統(tǒng)安全體系三維模型，如圖1所示：

圖1 信息系統(tǒng)安全體系三維圖[5]

Tudor提出由安全組織和基礎(chǔ)設(shè)施，風(fēng)險(xiǎn)管理，安全策略、標(biāo)準(zhǔn)和規(guī)程，依從性監(jiān)控，安全文化、意識(shí)和培訓(xùn)5部分構(gòu)成的信息系統(tǒng)安全架構(gòu)[5].該架構(gòu)對(duì)5個(gè)不同方面進(jìn)行了平衡和整體，強(qiáng)調(diào)共同作用以告知企業(yè)所有員工其安全職責(zé)以及如何去保護(hù)組織的信息資源，但是該框架對(duì)相關(guān)的信息問(wèn)題仍存在疏漏.如圖2所示.

圖2 信息系統(tǒng)安全架構(gòu)

3) 安全體系模型

國(guó)內(nèi)外企業(yè)和學(xué)者針對(duì)安全體系模型的研究成果相對(duì)豐富，如國(guó)內(nèi)學(xué)者楊婕[6]簡(jiǎn)述了安全架構(gòu)的定義、內(nèi)容、定位、作用.其設(shè)計(jì)思路是在安全方針的指導(dǎo)下，再進(jìn)一步建設(shè)策略文檔體系，所參考的安全體系模型是以安全方針、策略為核心，中間層次是信息安全的3個(gè)基本因素：人員技術(shù)和管理，第3層是預(yù)測(cè)、防御、監(jiān)控、回溯4個(gè)周期環(huán).基于此模型建立由信息安全管理體系、信息安全技術(shù)服務(wù)體系、信息安全運(yùn)營(yíng)服務(wù)體系的信息安全體系框架，并且從物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全以及安全管理制度規(guī)范等提出建設(shè)要求和安全強(qiáng)化措施，形成從防御到監(jiān)控、分析、處置自適應(yīng)的安全防護(hù)架構(gòu)，從而實(shí)現(xiàn)整個(gè)安全架構(gòu)總體設(shè)計(jì).

圖3 MCT企業(yè)信息安全體系架構(gòu)模型[8]

而羅革新等學(xué)者[7]結(jié)合Gartner企業(yè)信息安全體系架構(gòu)的模型，根據(jù)國(guó)內(nèi)實(shí)際，提出由MCT模型為基礎(chǔ)建立的信息安全體系架構(gòu)，從管理、技術(shù)和控制3個(gè)視角與概念層、邏輯層、實(shí)現(xiàn)層3個(gè)抽象層次構(gòu)建企業(yè)安全體系架構(gòu)模型，架構(gòu)模型從企業(yè)信息安全風(fēng)險(xiǎn)管理的角度出發(fā)，構(gòu)建了組織、人員、信息安全流程、制度和標(biāo)準(zhǔn)規(guī)范、基于等級(jí)保護(hù)的安全控制基本要求體系、基礎(chǔ)設(shè)施與應(yīng)用的安全架構(gòu)、共享信息安全服務(wù)等關(guān)鍵要素，從而構(gòu)建由信息安全管理架構(gòu)、信息安全控制架構(gòu)、信息安全技術(shù)架構(gòu)組成的安全體系架構(gòu),如圖3所示.

以上2種安全體系架構(gòu)均從整體框架考慮，從全面性來(lái)看，這些體系對(duì)安全本質(zhì)和功能的闡述是完整的、全面的，模型的層次關(guān)系也很清晰，提出的體系架構(gòu)總體邏輯性強(qiáng)，但比較抽象，缺少方法論，沒(méi)有將數(shù)據(jù)這一層面提升到整個(gè)體系的建設(shè)中，應(yīng)用架構(gòu)缺少數(shù)據(jù)支撐，層次清晰，但是缺少數(shù)據(jù)層面的支撐，并且對(duì)業(yè)務(wù)運(yùn)行、遷移、變更這些方面的關(guān)注還不夠.

1.2 EA與安全體系研究

以企業(yè)架構(gòu)(enterprise architecture, EA)理論和方法論為對(duì)象，將信息安全體系設(shè)計(jì)納入EA整體框架體系進(jìn)行系統(tǒng)性、整體性的設(shè)計(jì)和實(shí)現(xiàn)；重點(diǎn)將安全體系相關(guān)制度、組織、技術(shù)、管理和服務(wù)等納入EA框架實(shí)踐過(guò)程給予設(shè)計(jì)，并以建立安全體系與EA框架融合為研究重點(diǎn).

1) 企業(yè)架構(gòu)(EA)

EA是企業(yè)為成功開(kāi)發(fā)和執(zhí)行戰(zhàn)略，使用一個(gè)全面的方法進(jìn)行分析、設(shè)計(jì)、規(guī)劃和實(shí)施的一個(gè)定義良好的實(shí)踐.企業(yè)架構(gòu)應(yīng)用架構(gòu)原則和實(shí)踐來(lái)指導(dǎo)組織通過(guò)業(yè)務(wù)、信息、流程和技術(shù)變化需要執(zhí)行其戰(zhàn)略[9].EA是Zachman在1987年提出的，經(jīng)過(guò)近30年的發(fā)展，使用廣泛的EA主要有Zachman，TOGAF，F(xiàn)EA和DoDAF等.

① Zachman

由美國(guó)架構(gòu)規(guī)劃專家約翰·扎克提出的Zachman架構(gòu)框架，源于20世紀(jì)70年代IBM使用的信息系統(tǒng)規(guī)劃方法論，以最具代表性的6列5行共30個(gè)元素表示的矩陣表格，用最簡(jiǎn)便的形式刻畫了構(gòu)成信息系統(tǒng)規(guī)劃中所有內(nèi)在關(guān)系的設(shè)計(jì)元素，以及這些元素在設(shè)計(jì)中的功能和作用，構(gòu)成了一個(gè)完整的理論和模型.體系集中在框架上，而不是單純籠統(tǒng)的架構(gòu)，總體來(lái)說(shuō)，Zachman是結(jié)構(gòu)化(靜態(tài)的)框架，更強(qiáng)調(diào)的是視角和視點(diǎn)，被當(dāng)作方法及框架的工件和元分析的分析和分類的模型時(shí)最有效，它沒(méi)有給出一步一步構(gòu)造一個(gè)構(gòu)架的過(guò)程，即缺少完整的流程和次序性，并且，盡管Zachman表格可以幫助組織構(gòu)架材料，但是它在描述企業(yè)復(fù)雜性方面幾乎什么都沒(méi)做.

② TOGAF ADM

開(kāi)放組體系結(jié)構(gòu)框架(the open group architecture framework, TOGAF)是一個(gè)在全球范圍內(nèi)得到最廣泛應(yīng)用的免費(fèi)架構(gòu)框架.TOGAF很重要的一個(gè)改進(jìn)是本身帶有方法論，即架構(gòu)開(kāi)發(fā)方法(architecture development method, ADM).ADM的基本思想還是類似于PDCA的“運(yùn)轉(zhuǎn)、監(jiān)督、反饋”，并由此分為步驟A直至步驟H，外加一個(gè)準(zhǔn)備階段[10].對(duì)方法進(jìn)行安全拓展，將分別位于業(yè)務(wù)架構(gòu)、信息架構(gòu)和技術(shù)架構(gòu)(信息基礎(chǔ)設(shè)施架構(gòu))屮的安全內(nèi)容進(jìn)行分離，獨(dú)立成安全架構(gòu)，形成擴(kuò)展的TOGAF ADM方法.如圖4所示.

圖4 TOGAF ADM安全模型[9]

2) 企業(yè)信息安全架構(gòu)(EISA)

企業(yè)信息安全架構(gòu)(enterprise information security architecture, EISA)是基于EA的企業(yè)安全需求的識(shí)別、分析和分類、風(fēng)險(xiǎn)和威脅以及基于所述框架的最佳集成企業(yè)安全解決方案組合的選擇[11].自Gartner(2006年)提出其EISA模型后，出現(xiàn)了一系列EISA方法論，它們集中在EISA的不同方面.作為整體企業(yè)架構(gòu)以及信息安全技術(shù)治理(governance)組成部分的EISA，已經(jīng)在全世界范圍內(nèi)得到廣泛的應(yīng)用.

① Gartner EISA框架

該框架強(qiáng)調(diào)與EA的兼容以及相互之間的合作，諸多概念也受EA的啟發(fā)，其中定義了3個(gè)級(jí)別的抽象概念：概念的(conceptual)、邏輯的(logical)和植入的(implantation)，以及3個(gè)視角：業(yè)務(wù)、信息與技術(shù).但是，Gartner EISA由于出現(xiàn)得比較早，因此其并沒(méi)有提供部署方法論，只是提供了EISA結(jié)構(gòu)與框架的通用描述.

② SABSA框架

SABSA(sherwood applied business security architecture)是目前應(yīng)用最廣泛的EISA，也是本文參考最多的方法.SABSA框架主要由安全架構(gòu)模型、SABSA矩陣、安全生命周期以及業(yè)務(wù)屬性概要等部分組成[12].SABSA的安全架構(gòu)模型修改引用自Zachman所定義的EA模型，分為6個(gè)抽象層，每個(gè)層次代表了不同角色定義、設(shè)計(jì)、建設(shè)和應(yīng)用時(shí)的不同觀點(diǎn).分層模型是SABSA比較強(qiáng)調(diào)的特點(diǎn)之一.如圖5所示.

③ RISE框架

SABSA也強(qiáng)調(diào)是基于風(fēng)險(xiǎn)驅(qū)動(dòng)(risk-driven)的方法，引進(jìn)RISE則強(qiáng)調(diào)基于威脅(threat-based)和風(fēng)險(xiǎn)管理(risk-managing)的方法[13].RISE強(qiáng)調(diào)與NIST相關(guān)標(biāo)準(zhǔn)的整合，這完全符合NIST風(fēng)險(xiǎn)管理框架的描述.NIST的一系列標(biāo)準(zhǔn)也是圍繞風(fēng)險(xiǎn)管理為中心.

④ 其他框架

AGM-Based SOA[14]安全治理模型的產(chǎn)生，主要為了2個(gè)標(biāo)準(zhǔn)ISOIEC 27002與SoGP，得以在Agile Governance Model中應(yīng)用有重要關(guān)系，并歸屬于一個(gè)專門的子領(lǐng)域，即SOA(service-oriented architectures).

Intelligent SOA框架與基于AGM模型的SOA框架一樣，SOA[15]屬于同一子領(lǐng)域的EISA模型，而且在這個(gè)模型中，信息安全服務(wù)的選擇與風(fēng)險(xiǎn)管理的實(shí)施都是基于ISOIEC 27002.Intelligent SOA是一個(gè)系統(tǒng)自動(dòng)的管理EISA的模型，包括5層：安全數(shù)據(jù)層、安全應(yīng)用層、整合層、智能層以及信息安全入口層.所有的數(shù)據(jù)域應(yīng)用在整合與智能層整合，以適應(yīng)快速變化的業(yè)務(wù)過(guò)程.

1.3 安全架構(gòu)研究分析

由上述研究可以看出，無(wú)論從信息化規(guī)劃實(shí)踐與安全體系角度，還是從EA框架與安全體系角度存在一些問(wèn)題較為明顯：

1) 重概念.從安全體系角度出發(fā)，大多圍繞安全體系準(zhǔn)則以及衍生出的安全管理體系，所得成果均側(cè)重建立概念層面的要求，而對(duì)于規(guī)劃實(shí)踐的指導(dǎo)，多數(shù)作為原則性、組織性方面加以采用，無(wú)法由此建立更全面、更完整的安全框架，與信息化規(guī)劃實(shí)踐過(guò)程有關(guān)愿景、業(yè)務(wù)、信息以及技術(shù)層面的結(jié)合有限.

2) 靜態(tài)化.以各類EA框架為基礎(chǔ)，雖然建立了多種安全架構(gòu)類體系或模型，如Gartner所提出的EISA框架，雖然構(gòu)建了概念、邏輯、實(shí)現(xiàn)3個(gè)層次和業(yè)務(wù)、信息、技術(shù)3個(gè)視角的交織維度，但并未與信息化規(guī)劃過(guò)程的階段相結(jié)合，從而只能作為靜態(tài)框架，難以適應(yīng)信息化規(guī)劃中各個(gè)階段對(duì)動(dòng)態(tài)化過(guò)程的需要.

因此，目前的安全體系或架構(gòu)研究成果一定程度上存在難以良好適應(yīng)企業(yè)信息化規(guī)劃過(guò)程的實(shí)踐需要.需要綜合應(yīng)用才能提升實(shí)效性和實(shí)用性.為此，下一節(jié)將綜合現(xiàn)有安全體系和架構(gòu)研究成果，提出具有一定的創(chuàng)新性，同時(shí)具備更高綜合性和更好可操作性的安全架構(gòu)開(kāi)發(fā)模型.

2 安全架構(gòu)開(kāi)發(fā)模型設(shè)計(jì)

根據(jù)上節(jié)所述，信息化規(guī)劃框架下的安全體系架構(gòu)開(kāi)發(fā)研究開(kāi)展不可謂不豐富.無(wú)論是以信息化規(guī)劃實(shí)踐為基礎(chǔ)的安全體系、安全模型開(kāi)發(fā)；還是以EA框架為依托的安全架構(gòu)和要素開(kāi)發(fā)，均提出了各類安全架構(gòu)建設(shè)的方法和模板，但是仍存在一些短板，如以規(guī)劃實(shí)踐為基礎(chǔ)的構(gòu)建偏重概念化、制度化，而以EA為基礎(chǔ)的構(gòu)建則偏重靜態(tài)化、技術(shù)化；并且2個(gè)基礎(chǔ)或角度所構(gòu)建的安全體系模型又缺少必要的聯(lián)系和融合.造成涉及諸多信息安全技術(shù)范疇的內(nèi)容較多，但是原本更重要的應(yīng)與之相關(guān)的業(yè)務(wù)流程優(yōu)化、業(yè)務(wù)安全架構(gòu)、績(jī)效管理以及安全過(guò)程架構(gòu)等內(nèi)容卻明顯不足.

為此，本文綜合信息化規(guī)劃實(shí)踐和EA兩方面在安全體系模型的經(jīng)驗(yàn)和優(yōu)勢(shì)，提出新的面向企業(yè)信息化規(guī)劃的安全架構(gòu)開(kāi)發(fā)模型，以從信息化規(guī)劃整體角度，建立信息安全架構(gòu)，力求保證IT安全符合業(yè)務(wù)戰(zhàn)略要求，并保持一致；確保從業(yè)務(wù)戰(zhàn)略到支持這些戰(zhàn)略的技術(shù)之間保持可操作性、可追溯性；使得安全架構(gòu)開(kāi)發(fā)模型不止于名詞概念，而是真正的信息化規(guī)劃活動(dòng)和行為實(shí)踐的重要組成部分.

2.1 安全架構(gòu)開(kāi)發(fā)模型(SADM)總體設(shè)計(jì)

Gartner提出的EISA架構(gòu)構(gòu)建了業(yè)務(wù)、信息、技術(shù)3個(gè)視角來(lái)描述企業(yè)信息安全體系架構(gòu)模型，并從概念、邏輯和實(shí)現(xiàn)3個(gè)層次來(lái)展現(xiàn)架構(gòu)不同視角的關(guān)注點(diǎn)，以體系架構(gòu)方式呈現(xiàn)了一個(gè)企業(yè)信息安全體系架構(gòu)模型[8].而TOGAF提出架構(gòu)開(kāi)發(fā)方法ADM，從業(yè)務(wù)、數(shù)據(jù)、應(yīng)用和技術(shù)等方面梳理企業(yè)內(nèi)部結(jié)構(gòu)與關(guān)系，有詳細(xì)的步驟和方法，并提供了一個(gè)完整的內(nèi)容框架.ADM循環(huán)是主要的焦點(diǎn)，可以研究數(shù)據(jù)在每個(gè)階段的集成，ADM實(shí)現(xiàn)了從業(yè)務(wù)愿景到業(yè)務(wù)能力的轉(zhuǎn)換和驅(qū)動(dòng)，實(shí)施中包含了ADM指引和技術(shù)的支持，其成果體系以內(nèi)容框架的方式進(jìn)行展現(xiàn)，并放入組織連續(xù)統(tǒng)一體之中，而參考模型作為模型的一種也放在了組織連續(xù)統(tǒng)一體之中.

在借鑒EISA和ADM架構(gòu)先進(jìn)經(jīng)驗(yàn)和各自優(yōu)勢(shì)基礎(chǔ)上，依照國(guó)內(nèi)信息安全保障體系方面的相關(guān)規(guī)定，以及國(guó)家信息安全等級(jí)保護(hù)中提出的從管理和技術(shù)2個(gè)方面提高信息安全保障能力的要求，并充分考慮和結(jié)合國(guó)內(nèi)企業(yè)信息化規(guī)劃實(shí)際.為此,我們提出從過(guò)程、視圖和視角3個(gè)維度構(gòu)建安全架構(gòu)開(kāi)發(fā)模型(security architecture development model, SADM).

SADM模型總體結(jié)構(gòu)如圖6所示:

圖6 安全架構(gòu)開(kāi)發(fā)模型(SADM)

2.2 安全架構(gòu)開(kāi)發(fā)模型(SADM)構(gòu)建

1) SADM模型空間構(gòu)建

SADM模型總體結(jié)構(gòu)包括過(guò)程域、視圖域和視角域，三者交織映射構(gòu)成模型的三維架構(gòu)空間，其中過(guò)程域主要依據(jù)TOGAF ADM方法，從業(yè)務(wù)愿景到業(yè)務(wù)能力的轉(zhuǎn)換和驅(qū)動(dòng)，實(shí)施中包含了ADM指引和技術(shù)的支持，其成果體系以內(nèi)容要素框架的方式進(jìn)行展現(xiàn)，并放入組織連續(xù)統(tǒng)一體之中，從業(yè)務(wù)、數(shù)據(jù)、應(yīng)用和技術(shù)等方面梳理企業(yè)內(nèi)部結(jié)構(gòu)與關(guān)系，建立以需求為中心的循環(huán)的過(guò)程域；視圖域則從概念層、邏輯層和實(shí)現(xiàn)層3個(gè)層次來(lái)考慮企業(yè)信息安全體系架構(gòu)，并據(jù)此對(duì)架構(gòu)內(nèi)容要素進(jìn)行可操作性分類；而視角域則從業(yè)務(wù)、信息和技術(shù)3個(gè)視角來(lái)綜合考慮企業(yè)信息安全體系的構(gòu)建，并據(jù)此對(duì)架構(gòu)內(nèi)容要素進(jìn)行分類.

2) SADM模型要素構(gòu)建

根據(jù)三域安全空間所建立的三維坐標(biāo)體系形成后，就可針對(duì)信息化規(guī)劃過(guò)程進(jìn)行安全活動(dòng)內(nèi)容要素識(shí)別和分類，并將結(jié)果部署于滿足三域映射的空間坐標(biāo)位置中，從而完成SADM模型建立，在進(jìn)行企業(yè)信息化規(guī)劃過(guò)程中，即可根據(jù)所建立的SADM模型及內(nèi)容要素參與規(guī)劃過(guò)程，并指導(dǎo)規(guī)劃各個(gè)階段的安全設(shè)計(jì)實(shí)現(xiàn).

3) SADM模型組件構(gòu)建

以SADM模型視圖(Y)域角度，對(duì)內(nèi)容組件進(jìn)行解析，具體內(nèi)容如圖7所示:

圖7 SADM模型組件

3 安全架構(gòu)開(kāi)發(fā)模型域空間解析

3.1 SADM過(guò)程域

本文嘗試以TOGAF架構(gòu)框架作指導(dǎo)，依據(jù)ADM開(kāi)發(fā)方法構(gòu)建SADM過(guò)程域，并符合ADM以需求為中心的循環(huán)流程設(shè)計(jì).下面對(duì)過(guò)程域各個(gè)階段進(jìn)行詳細(xì)闡述[15]：

1) 預(yù)備階段(X1)

首先是界定受信息安全架構(gòu)影響的組織范圍，識(shí)別最受影響且可以從信息安全保護(hù)工作中達(dá)成最大價(jià)值的組織，以及并不直接影響但有能力變化的組織，識(shí)別所設(shè)計(jì)的利益攸關(guān)者；再者，定義使用的法規(guī)要求和信息安全保護(hù)策略需求并將其文件化，組織的書面安保方針必須到位，并且在必要時(shí)進(jìn)行更新，信息安全保護(hù)方針中建立的架構(gòu)約束必須傳達(dá)給架構(gòu)團(tuán)隊(duì)的其他成員；與此同時(shí)，預(yù)備階段還需將信息安全保護(hù)能力定義為架構(gòu)能力的一部分，并且定義實(shí)施信息安全架構(gòu)的工具，應(yīng)就信息安全架構(gòu)在組織架構(gòu)流程和在架構(gòu)及IT治理中的角色達(dá)成一致意見(jiàn)，信息安全保護(hù)考量因素可能與功能考量因素沖突，并且在信息安全保護(hù)倡議者需要確保所有問(wèn)題得到解決且利益沖突不會(huì)妨礙對(duì)困難問(wèn)題的明確考量因素.

2) 階段A：架構(gòu)愿景(X2)

在信息安全架構(gòu)設(shè)計(jì)中，架構(gòu)愿景階段所需完成的任務(wù)是獲取對(duì)信息安全體系測(cè)定的管理層支持，由于項(xiàng)目可能具有開(kāi)發(fā)和基礎(chǔ)設(shè)施的影響，這在單獨(dú)觀察有疑問(wèn)的系統(tǒng)時(shí)是無(wú)法充分可見(jiàn)的，對(duì)與風(fēng)險(xiǎn)和安保性有關(guān)的問(wèn)題進(jìn)行全面考慮和緩解可能被視為浪費(fèi)資源和事件，必須在整個(gè)架構(gòu)開(kāi)發(fā)小組中理解并傳達(dá)管理層支持的程度.還需確定適用的災(zāi)難恢復(fù)或業(yè)務(wù)連續(xù)性計(jì)劃并將其文件化，理解現(xiàn)有災(zāi)難恢復(fù)計(jì)劃并定義文件化與計(jì)劃系統(tǒng)的關(guān)系，識(shí)別將要部署系統(tǒng)的預(yù)期物理、業(yè)務(wù)、法規(guī)環(huán)境并將其文件化；確定并文件化系統(tǒng)的關(guān)鍵性程度，分為安全關(guān)鍵性、任務(wù)關(guān)鍵性、非關(guān)鍵性.

3) 階段B：業(yè)務(wù)架構(gòu)(X3)

關(guān)于業(yè)務(wù)領(lǐng)域架構(gòu)的工作.階段A架構(gòu)愿景中概括的基線和目標(biāo)架構(gòu)在此階段將被詳細(xì)說(shuō)明，從而作為技術(shù)分析的有用輸入.此階段的詳細(xì)工作如下：

確定與產(chǎn)品、服務(wù)、流程交互的合法施動(dòng)者，評(píng)估當(dāng)前信息安全保護(hù)特定的業(yè)務(wù)流程并建立基線，識(shí)別項(xiàng)目控制范圍之外的互聯(lián)系統(tǒng)并將其文件化，定性并且定量地確定是各種情況下的資產(chǎn)損失或者影響的成本，確定并文件化適當(dāng)?shù)陌脖Ｈ∽C流程，識(shí)別可用性的關(guān)鍵度臨界點(diǎn)及修正整體服務(wù)的運(yùn)行，評(píng)估所識(shí)別的信息安全保護(hù)方針與業(yè)務(wù)目標(biāo)的一致性或沖突，由于復(fù)雜組織體業(yè)務(wù)種類繁多，其復(fù)雜性遠(yuǎn)超單個(gè)成員的能力范圍，個(gè)體的關(guān)注也自然被局限在單一業(yè)務(wù)領(lǐng)域內(nèi).解決業(yè)務(wù)協(xié)同需要一張業(yè)務(wù)整體性藍(lán)圖，使用相同規(guī)則繪制整體藍(lán)圖過(guò)程就是業(yè)務(wù)模型化的過(guò)程.

4) 階段C：信息系統(tǒng)架構(gòu)(X4)

關(guān)于階段C實(shí)際應(yīng)用和數(shù)據(jù)架構(gòu)的交付，該階段利用基線和階段A架構(gòu)愿景中開(kāi)始的目標(biāo)架構(gòu)，以及業(yè)務(wù)間隙分析的結(jié)果，并根據(jù)架構(gòu)工作描述中所概括的計(jì)劃，為目前和展望的環(huán)境交付應(yīng)用及數(shù)據(jù)架構(gòu).

信息系統(tǒng)架構(gòu)用以評(píng)估當(dāng)前安保特定架構(gòu)元素并建立基線，在進(jìn)行差距分析前，必須編制實(shí)施信息安全保護(hù)服務(wù)的架構(gòu)元素完整存儲(chǔ)清單，識(shí)別安全默認(rèn)行為和失效模式，識(shí)別和評(píng)價(jià)適用的得到認(rèn)可的指南和標(biāo)準(zhǔn)，從信息安全保護(hù)立場(chǎng)考慮，已經(jīng)由相應(yīng)領(lǐng)域的專家仔細(xì)審查的標(biāo)準(zhǔn)協(xié)議、標(biāo)準(zhǔn)對(duì)象庫(kù)和標(biāo)準(zhǔn)貫徹有助于確保實(shí)施中不會(huì)發(fā)生錯(cuò)誤；回顧項(xiàng)目控制范圍之外的關(guān)于互連系統(tǒng)的假設(shè)；確定所存儲(chǔ)、創(chuàng)建、使用的信息的靈敏度或分類等級(jí)并將其文件化；識(shí)別并文件化資產(chǎn)的保管，為了擁有者的利益，必須識(shí)別承擔(dān)該責(zé)任的特定人員或組織；識(shí)別每項(xiàng)功能的可用性的關(guān)鍵度臨界點(diǎn)和正確運(yùn)行的關(guān)鍵性.

5) 階段D：技術(shù)架構(gòu)(X5)

利用技術(shù)架構(gòu)的交付，完成TOGAF ADM循環(huán)的詳細(xì)架構(gòu)工作，開(kāi)發(fā)目標(biāo)信息系統(tǒng)的技術(shù)架構(gòu)，識(shí)別候選的架構(gòu)路線圖組件.同時(shí)，還需回顧項(xiàng)目控制范圍之外關(guān)于互連系統(tǒng)的假設(shè)，識(shí)別并評(píng)價(jià)使用的已認(rèn)可的指南和標(biāo)準(zhǔn)，識(shí)別用于調(diào)整資源消耗的方法，考慮相關(guān)的技術(shù)架構(gòu)資源，衡量其是否能夠支撐應(yīng)用系統(tǒng)建設(shè)的需求，指導(dǎo)IT架構(gòu)師分析并設(shè)計(jì)符合實(shí)際需要的IT基礎(chǔ)設(shè)施，并根據(jù)需求制定最佳的解決方案.

6) 階段E：機(jī)會(huì)和解決方案(X6)

該階段是制定目標(biāo)架構(gòu)實(shí)現(xiàn)方案的階段.本階段直接關(guān)注架構(gòu)實(shí)施，闡明目標(biāo)架構(gòu)所表現(xiàn)出的機(jī)會(huì)，并概述可能的解決方案，此階段中的工作圍繞著實(shí)現(xiàn)方案的可行性和實(shí)用性.識(shí)別緩解措施以應(yīng)對(duì)已識(shí)別的風(fēng)險(xiǎn)，一旦確定易于緩解的風(fēng)險(xiǎn)以及評(píng)價(jià)處于風(fēng)險(xiǎn)中資產(chǎn)有關(guān)的緩解措施的合理投資，則必須設(shè)計(jì)、實(shí)施、部署那些緩解措施；評(píng)價(jià)經(jīng)測(cè)試且可復(fù)用的安保軟件和信息安全保護(hù)系統(tǒng)資源.此階段生成的工件包括實(shí)現(xiàn)與移植策略、高層次實(shí)現(xiàn)計(jì)劃以及項(xiàng)目列表，還有作為實(shí)現(xiàn)項(xiàng)目所使用的藍(lán)圖中已更新的應(yīng)用架構(gòu).

7) 階段F：遷移規(guī)劃(X7)

目的是將機(jī)會(huì)與解決方案的總體規(guī)劃落實(shí)為可執(zhí)行的詳細(xì)計(jì)劃.評(píng)估新的信息安全保護(hù)措施對(duì)其他新組件或已得到充分利用的現(xiàn)有系統(tǒng)的影響，將所提議的實(shí)現(xiàn)項(xiàng)目劃分優(yōu)先級(jí)，并且執(zhí)行移植過(guò)程的詳細(xì)計(jì)劃和間隙分析.該工作包括評(píng)估項(xiàng)目之間的依賴性，并且最小化它們對(duì)組織運(yùn)作的整個(gè)影響.在此階段中更新了項(xiàng)目列表(project list)，詳述了實(shí)現(xiàn)計(jì)劃，并且將藍(lán)圖傳遞給了實(shí)現(xiàn)團(tuán)隊(duì).

8) 階段G：實(shí)施治理(X8)

以架構(gòu)手段約束各個(gè)項(xiàng)目實(shí)施為目的.本階段重點(diǎn)強(qiáng)調(diào)治理，即對(duì)項(xiàng)目實(shí)施過(guò)程的監(jiān)控與實(shí)施后評(píng)審.這里出現(xiàn)了架構(gòu)與業(yè)務(wù)運(yùn)行的交界面，架構(gòu)作為組織變革的規(guī)劃，執(zhí)行需借助組織本身業(yè)務(wù)變革完成，而在此過(guò)程中，架構(gòu)將以架構(gòu)契約的形式約束項(xiàng)目實(shí)施的范圍與效果，并在過(guò)程中進(jìn)行一致性審查.具體實(shí)施為建立架構(gòu)制品、設(shè)計(jì)和代碼審查，并為所做成果的成功實(shí)施定義驗(yàn)收準(zhǔn)則，實(shí)施必須的培訓(xùn)以確保正確部署、配置和運(yùn)行與安保性相關(guān)的子系統(tǒng)和組件，確保對(duì)系統(tǒng)和其組件的所有用戶和非特權(quán)操作者進(jìn)行認(rèn)知培訓(xùn).

9) 階段H：架構(gòu)變更管理(X9)

重點(diǎn)轉(zhuǎn)移到實(shí)現(xiàn)的解決方案的交付所達(dá)到的架構(gòu)基線的變更管理.體現(xiàn)了ADM開(kāi)發(fā)方法對(duì)架構(gòu)迭代過(guò)程變化的持續(xù)關(guān)注，架構(gòu)變更的訴求也會(huì)成為啟動(dòng)下一輪架構(gòu)迭代工作的輸入.該階段可能會(huì)成為企業(yè)架構(gòu)工作的后繼循環(huán)設(shè)置目標(biāo)的架構(gòu)工作請(qǐng)求.

3.2 SADM視圖域

企業(yè)信息安全體系架構(gòu)必須能夠指導(dǎo)企業(yè)將信息安全的戰(zhàn)略和業(yè)務(wù)的要求轉(zhuǎn)換成可操作的信息安全風(fēng)險(xiǎn)管理實(shí)踐.在實(shí)現(xiàn)信息安全目標(biāo)的過(guò)程中,不同層級(jí)的管理和實(shí)施者關(guān)心不同詳細(xì)程度的信息.因此選擇概念、邏輯、實(shí)現(xiàn)3個(gè)角度作為SADM視圖域的主要構(gòu)成，以建立與過(guò)程域和視角域的交織映射.

1) 概念視圖(Y3).定義了信息安全體系架構(gòu)的概念模型.與ADM安全過(guò)程中各階段概念要素對(duì)應(yīng).概念模型由概念要素組成,包含目標(biāo)和特征，是高度抽象的模型，在較長(zhǎng)的時(shí)間內(nèi)保持穩(wěn)定.概念模型為信息化規(guī)劃過(guò)程所關(guān)注要點(diǎn)，闡述了實(shí)現(xiàn)企業(yè)信息化規(guī)劃中有關(guān)安全戰(zhàn)略目標(biāo)所需要的要素組件.

2) 邏輯視圖(Y2).定義了信息安全體系架構(gòu)的邏輯模型.與ADM安全過(guò)程中各階段計(jì)劃要素對(duì)應(yīng).邏輯模型由功能邏輯元素組成，描述了如何通過(guò)功能邏輯元素及元素間的合作關(guān)系來(lái)實(shí)現(xiàn)概念模型要求的目標(biāo)和特征,與具體的資源和產(chǎn)品無(wú)關(guān).邏輯模型為信息化規(guī)劃過(guò)程所關(guān)注要點(diǎn)，是在環(huán)境、資源、各種可能選擇分析和權(quán)衡基礎(chǔ)上確定的實(shí)現(xiàn)概念層目標(biāo)的各種思想、方法、技術(shù)和設(shè)計(jì).

3) 實(shí)現(xiàn)視圖(Y1).定義了信息安全體系架構(gòu)的實(shí)施模型.與ADM安全過(guò)程中各階段輸出要素對(duì)應(yīng).實(shí)施模型由具體的物理實(shí)現(xiàn)元素組成，描述用什么資源和產(chǎn)品來(lái)實(shí)現(xiàn)邏輯設(shè)計(jì)方案，解決部署和配置等方面問(wèn)題.實(shí)施模型涉及具體的資源、產(chǎn)品，為信息化規(guī)劃過(guò)程關(guān)注要點(diǎn)，是概念層目標(biāo)和邏輯層設(shè)計(jì)的具體實(shí)現(xiàn).

3.3 SADM視角域

實(shí)際上，視角域包含的業(yè)務(wù)、信息和技術(shù)3個(gè)要素，與過(guò)程域的定義階段，即業(yè)務(wù)架構(gòu)、信息系統(tǒng)體系架構(gòu)和技術(shù)體系架構(gòu)階段具有較高的交織映射關(guān)系.具體而言：

1) 業(yè)務(wù)視角(Z1).包括企業(yè)信息安全模型和信息安全組織架構(gòu)；關(guān)注企業(yè)的信息安全控制架構(gòu)，描述了企業(yè)信息安全對(duì)業(yè)務(wù)運(yùn)作過(guò)程的要求.

2) 信息視角(Z2).包括信息技術(shù)框架、安全技術(shù)模型、各類記錄信息以及網(wǎng)絡(luò)和信息系統(tǒng)所采用的保護(hù)方式.

3) 技術(shù)視角(Z3).包括概念設(shè)計(jì)模型、邏輯設(shè)計(jì)、模型、技術(shù)參考模型包括安全基礎(chǔ)設(shè)施架構(gòu)、安全服務(wù)架構(gòu)和安全應(yīng)用架構(gòu)等.關(guān)注企業(yè)的信息安全技術(shù)架構(gòu).信息安全技術(shù)架構(gòu)從技術(shù)角度描述了企業(yè)信息技術(shù)基礎(chǔ)設(shè)施和應(yīng)用系統(tǒng)的安全保護(hù)措施，包括應(yīng)用安全架構(gòu)、信息安全服務(wù)架構(gòu)、信息技術(shù)基礎(chǔ)設(shè)施安全架構(gòu)等方面.

4 小 結(jié)

綜上所述，信息安全是企業(yè)信息化發(fā)展到一定程度勢(shì)必面臨的越來(lái)越突出的問(wèn)題，而建立信息安全體系架構(gòu)，尤其是將信息安全架構(gòu)融入信息化規(guī)劃過(guò)程則可以從整體、頂層視野建立長(zhǎng)期、一致、穩(wěn)定、有效的信息安全架構(gòu)，盡可能多地幫助企業(yè)降低信息安全問(wèn)題帶來(lái)的損失.因此，本文綜合分析了目前信息化規(guī)劃過(guò)程對(duì)于信息安全架構(gòu)體系的研究情況，結(jié)合信息化規(guī)劃中有關(guān)安全架構(gòu)的模型、方法或框架，提出基于EISA和TOGAF ADM框架的SADM安全架構(gòu)開(kāi)發(fā)模型，并對(duì)模型設(shè)計(jì)和模型域空間給出了說(shuō)明和解析，力圖建立模型和方法指導(dǎo)，用于滿足企業(yè)信息化規(guī)劃過(guò)程對(duì)安全架構(gòu)的全局性規(guī)劃的實(shí)踐.通過(guò)本文內(nèi)容基本實(shí)現(xiàn)了對(duì)SADM模型基本內(nèi)容的構(gòu)建，但是信息安全體系具有開(kāi)放體系特征，需要具備持續(xù)改進(jìn)的能力才能隨著業(yè)務(wù)和信息技術(shù)的發(fā)展不斷自我發(fā)展和完善；因此本文提出SADM僅僅是面向企業(yè)信息化規(guī)劃的安全架構(gòu)體系開(kāi)發(fā)的嘗試，還需在具體應(yīng)用實(shí)踐中獲得驗(yàn)證和反饋，以實(shí)現(xiàn)SADM迭代完善.