本發(fā)明涉及架構(gòu)開發(fā)領(lǐng)域����,并且更具體地�,涉及一種基于togaf的企業(yè)安全架構(gòu)模型及其遵從驗證的方法。
背景技術(shù):
信息化企業(yè)架構(gòu)管理起源于上世紀(jì)80年代,發(fā)展至今�����,國際上已形成zachman��、togaf����、feaf��、dodaf等四種主流架構(gòu)框架��。全球財富500強(qiáng)中超過80%采用架構(gòu)理論指導(dǎo)信息化建設(shè)��,其中togaf的占有率超過了50%�。
togaf(theopengrouparchitectureframework)即開放組體系結(jié)構(gòu)框架,是一種工具���,用來幫助架構(gòu)的接受���、創(chuàng)建、使用和維護(hù)�����,togaf基于一個迭代的過程模型,由一些最佳實(shí)踐和一套可重用的已有架構(gòu)資產(chǎn)支持����。
togaf的最新版本為togaf9,togaf9涵蓋了相互關(guān)聯(lián)的業(yè)務(wù)��、數(shù)據(jù)����、應(yīng)用、技術(shù)四類架構(gòu)的開發(fā)�,togaf9的核心是架構(gòu)開發(fā)方法adm(architecturedevelopmentmethod)。adm沒有將安全架構(gòu)的內(nèi)容放入到基本迭代過程中����,togaf9中僅提供了構(gòu)建安全架構(gòu)的指導(dǎo)性原則(安全信息收集方法及步驟、安全架構(gòu)領(lǐng)域��、安全架構(gòu)制品)���,因此針對企業(yè)安全管理需要�,如何基于togaf構(gòu)建企業(yè)安全架構(gòu)模型成為一個問題�。
技術(shù)實(shí)現(xiàn)要素:
為了解決背景技術(shù)存在的上述問題��,本發(fā)明提供一種基于開放組體系結(jié)構(gòu)框架togaf的企業(yè)安全架構(gòu)模型�,所述模型包括:
安全能力視圖建立單元��,其從安全架構(gòu)的策略視角為企業(yè)信息安全工作提供全局性指導(dǎo)和框架�����;
安全概念視圖建立單元�����,其從安全架構(gòu)的管理視角為企業(yè)信息安全工作提供安全的管理指導(dǎo)���;
安全邏輯視圖建立單元,其從安全架構(gòu)的設(shè)計視角為企業(yè)信息化安全管理工作提供設(shè)計指導(dǎo)��;以及
安全物理視圖建立單元���,其從安全架構(gòu)的視角為企業(yè)信息化安全管理工作提供實(shí)施指導(dǎo)���。
進(jìn)一步地,所述企業(yè)安全架構(gòu)模型是togaf中與業(yè)務(wù)架構(gòu)模型����、數(shù)據(jù)架構(gòu)模型���、應(yīng)用架構(gòu)模型和技術(shù)架構(gòu)模型相并列的一種新的架構(gòu)模型。企業(yè)安全架構(gòu)模型是基于togaf的adm方法����,根據(jù)企業(yè)安全需求在adm迭代過程的技術(shù)架構(gòu)構(gòu)建階段后實(shí)現(xiàn)的,故togaf中的業(yè)務(wù)架構(gòu)模型�、數(shù)據(jù)架構(gòu)模型、應(yīng)用架構(gòu)模型和技術(shù)架構(gòu)模型的地位等同���。
進(jìn)一步地�����,所述企業(yè)安全架構(gòu)模型中的所述安全能力視圖建立單元用于制訂信息安全總體方針��、安全管理總體目標(biāo)�、安全技術(shù)基本要求與防護(hù)監(jiān)控要求�;
所述安全概念視圖建立單元用于從概念上形成安全管理機(jī)構(gòu)、安全管理制度以及人員安全管理��、信息系統(tǒng)安全管理與工作機(jī)制安全管理的安全管理體系��;
所述安全邏輯視圖建立單元用于定義物理、邊界��、主機(jī)�����、網(wǎng)絡(luò)�����、終端��、應(yīng)用和數(shù)據(jù)安全的技術(shù)要求�����;以及
所述安全物理視圖建立單元用于定義物理�����、邊界�、網(wǎng)絡(luò)�、主機(jī),終端����,應(yīng)用�、數(shù)據(jù)安全的技術(shù)措施細(xì)節(jié)�����。
進(jìn)一步地����,企業(yè)安全架構(gòu)模型中各單元之間的關(guān)系以及每個單元的各元素之間的關(guān)系包括:
安全能力視圖建立單元制訂的信息安全總體方針分解為安全管理目標(biāo),安全管理目標(biāo)細(xì)化為安全技術(shù)基本要求和防控監(jiān)護(hù)要求����,并且所述安全管理目標(biāo)為安全概念視圖建立單元形成安全管理機(jī)構(gòu)和安全管理制度提供指導(dǎo);
安全概念視圖建立單元形成的安全管理制度通過工作機(jī)制安全管理�����、人員安全管理和信息系統(tǒng)安全管理的安全管理體系來實(shí)現(xiàn)����;
安全邏輯視圖建立單元定義的安全管理設(shè)計指導(dǎo)和安全技術(shù)要求需要遵循安全概念視圖建立單元形成的工作機(jī)制安全管理、人員安全管理和信息系統(tǒng)安全管理的安全管理體系����;
安全概念視圖建立單元形成的信息系統(tǒng)安全管理需要遵循安全能力視圖建立單元制訂的安全技術(shù)基本要求和防護(hù)監(jiān)控要求��;以及
安全邏輯視圖建立單元指導(dǎo)安全物理視圖建立單元按照定義的技術(shù)要求制訂技術(shù)措施的細(xì)節(jié)�����。
根據(jù)本發(fā)明的另一方面���,本發(fā)明提供一種基于開放組體系結(jié)構(gòu)框架togaf的企業(yè)安全架構(gòu)遵從驗證方法,所述方法包括:
按照定義企業(yè)安全架構(gòu)模型的應(yīng)用范圍���、評審��、考核以及制訂標(biāo)準(zhǔn)的方式設(shè)計基于企業(yè)安全架構(gòu)模型的遵從原則����,所述遵從原則是對企業(yè)安全架構(gòu)模型中的元素以及元素間的關(guān)系的逐一確認(rèn)�;
設(shè)計基于安全架構(gòu)所屬的企業(yè)信息化系統(tǒng)的生命周期的遵從檢查內(nèi)容��,所述檢查內(nèi)容是信息化系統(tǒng)生命周期中的每個階段對原則的細(xì)化和補(bǔ)充��,其中所述信息化系統(tǒng)生命周期的階段包括系統(tǒng)需求���、系統(tǒng)設(shè)計�、系統(tǒng)開發(fā)、系統(tǒng)測試和上線運(yùn)行����;
設(shè)需要檢查的周期為m,每個生命周期內(nèi)的檢查點(diǎn)為每個檢查點(diǎn)的權(quán)重得分為則驗證結(jié)果為:
結(jié)合遵從原則及遵從檢查內(nèi)容����,給出基于安全架構(gòu)模型的遵從原則驗證結(jié)果為k,所有原則遵從時k=1��,存在任意一項原則不遵從時����,k=0;
設(shè)計安全架構(gòu)遵從的基準(zhǔn)值p����,p根據(jù)遵從檢查內(nèi)容決定,則系統(tǒng)安全架構(gòu)遵從驗證結(jié)果需滿足下述公式:
進(jìn)一步地��,所述基于企業(yè)安全架構(gòu)模型的遵從原則包括:
安全能力視圖建立單元制訂的信息安全總體方針分解為安全管理目標(biāo)��,安全管理目標(biāo)細(xì)化為安全技術(shù)基本要求和防控監(jiān)護(hù)要求�,并且所述安全管理目標(biāo)為安全概念視圖建立單元形成安全管理機(jī)構(gòu)和安全管理制度提供指導(dǎo);
安全概念視圖建立單元形成的安全管理制度通過工作機(jī)制安全管理、人員安全管理和信息系統(tǒng)安全管理的安全管理體系來實(shí)現(xiàn)��;
安全邏輯視圖建立單元定義的安全管理設(shè)計指導(dǎo)和安全技術(shù)要求需要遵循安全概念視圖建立單元形成的工作機(jī)制安全管理���、人員安全管理和信息系統(tǒng)安全管理的安全管理體系����;
安全概念視圖建立單元形成的信息系統(tǒng)安全管理需要遵循安全能力視圖建立單元制訂的安全技術(shù)基本要求和防護(hù)監(jiān)控要求�����;以及
安全邏輯視圖建立單元指導(dǎo)安全物理視圖建立單元按照定義的技術(shù)要求制訂技術(shù)措施的細(xì)節(jié)��。
綜上所述����,本專利給出了一種基于togaf方法的安全架構(gòu)模型,安全架構(gòu)模型的構(gòu)建整合了企業(yè)架構(gòu)信息安全要素����,有效地解決了傳統(tǒng)架構(gòu)方法在架構(gòu)安全方面的設(shè)計較為分散的情況�,對于使用或借鑒togaf方法并對企業(yè)架構(gòu)安全設(shè)計有集約化管理需求的企業(yè)具有參考意義,同時本專利還給出了在此類型安全架構(gòu)的設(shè)計下信息系統(tǒng)安全架構(gòu)的遵從驗證方法�,從而能夠?qū)π畔⒒到y(tǒng)是否遵從企業(yè)架構(gòu)的安全架構(gòu)內(nèi)容進(jìn)行檢查和驗證。
附圖說明
通過參考下面的附圖,可以更為完整地理解本發(fā)明的示例性實(shí)施方式:
圖1是本發(fā)明具體實(shí)施方式的基于開放組體系結(jié)構(gòu)框架togaf的企業(yè)安全架構(gòu)模型的結(jié)構(gòu)圖�����;
圖2是本發(fā)明具體實(shí)施方式的企業(yè)安全架構(gòu)模型中各單元之間的關(guān)系以及每個單元的各元素之間的關(guān)系的結(jié)構(gòu)圖���;以及
圖3是本發(fā)明具體實(shí)話方式的基于開放組體系結(jié)構(gòu)框架togaf的企業(yè)安全架構(gòu)模型的遵從驗證方法的流程圖����。
具體實(shí)施方式
現(xiàn)在參考附圖介紹本發(fā)明的示例性實(shí)施方式���,然而��,本發(fā)明可以用許多不同的形式來實(shí)施����,并且不局限于此處描述的實(shí)施例����,提供這些實(shí)施例是為了詳盡地且完全地公開本發(fā)明,并且向所屬技術(shù)領(lǐng)域的技術(shù)人員充分傳達(dá)本發(fā)明的范圍�。對于表示在附圖中的示例性實(shí)施方式中的術(shù)語并不是對本發(fā)明的限定。在附圖中�,相同的單元/元件使用相同的附圖標(biāo)記。
除非另有說明,此處使用的術(shù)語(包括科技術(shù)語)對所屬技術(shù)領(lǐng)域的技術(shù)人員具有通常的理解含義���。另外�����,可以理解的是���,以通常使用的詞典限定的術(shù)語,應(yīng)當(dāng)被理解為與其相關(guān)領(lǐng)域的語境具有一致的含義����,而不應(yīng)該被理解為理想化的或過于正式的意義。
圖1是本發(fā)明具體實(shí)施方式的基于開放組體系結(jié)構(gòu)框架togaf的企業(yè)安全架構(gòu)模型的結(jié)構(gòu)圖����。如圖1所示,基于開放組體系結(jié)構(gòu)框架togaf的企業(yè)安全架構(gòu)模型100包括安全能力視圖建立單元101���、安全概念視圖建立單元102���、安全邏輯視圖建立單元103和安全物理視圖建立單元104。
安全能力視圖建立單元101�����,其從安全架構(gòu)的策略視角為企業(yè)信息安全工作提供全局性指導(dǎo)和框架�;
安全概念視圖建立單元102,其從安全架構(gòu)的管理視角為企業(yè)信息安全工作提供安全的管理指導(dǎo)����;
安全邏輯視圖建立單元103,其從安全架構(gòu)的設(shè)計視角為企業(yè)信息化安全管理工作提供設(shè)計指導(dǎo)���;以及
安全物理視圖建立單元104����,其從安全架構(gòu)的視角為企業(yè)信息化安全管理工作提供實(shí)施指導(dǎo)�����。
企業(yè)安全架構(gòu)模型是基于togaf的adm方法���,根據(jù)企業(yè)安全需求在adm迭代過程的技術(shù)架構(gòu)構(gòu)建階段后實(shí)現(xiàn)的����,故togaf中的業(yè)務(wù)架構(gòu)模型�����、數(shù)據(jù)架構(gòu)模型、應(yīng)用架構(gòu)模型和技術(shù)架構(gòu)模型的地位等同�����。如圖1所示�����,所述企業(yè)安全架構(gòu)模型是togaf中與業(yè)務(wù)架構(gòu)模型���、數(shù)據(jù)架構(gòu)模型���、應(yīng)用架構(gòu)模型和技術(shù)架構(gòu)模型相并列的一種新的架構(gòu)。
優(yōu)選地��,所述企業(yè)安全架構(gòu)模型中的所述安全能力視圖建立單元用于制訂信息安全總體方針��、安全管理總體目標(biāo)�、安全技術(shù)基本要求與防護(hù)監(jiān)控要求;
所述安全概念視圖建立單元用于從概念上形成安全管理機(jī)構(gòu)����、安全管理制度以及人員安全管理����、信息系統(tǒng)安全管理與工作機(jī)制安全管理的安全管理體系��;
所述安全邏輯視圖建立單元用于定義物理�����、邊界�����、主機(jī)�����、網(wǎng)絡(luò)�����、終端��、應(yīng)用和數(shù)據(jù)安全的技術(shù)要求����;以及
所述安全物理視圖建立單元用于定義物理、邊界�、網(wǎng)絡(luò)、主機(jī)�����,終端�����,應(yīng)用��、數(shù)據(jù)安全的技術(shù)措施細(xì)節(jié)���。
圖2是本發(fā)明具體實(shí)施方式的企業(yè)安全架構(gòu)模型中各單元之間的關(guān)系以及每個單元的各元素之間的關(guān)系的結(jié)構(gòu)圖���。如圖2所示,企業(yè)安全架構(gòu)模型中各單元之間的關(guān)系和每個單元的各元素之間的關(guān)系包括:
安全能力視圖建立單元制訂的信息安全總體方針分解為安全管理目標(biāo)�,安全管理目標(biāo)細(xì)化為安全技術(shù)基本要求和防控監(jiān)護(hù)要求,并且所述安全管理目標(biāo)為安全概念視圖建立單元形成安全管理機(jī)構(gòu)和安全管理制度提供指導(dǎo)����;
安全概念視圖建立單元形成的安全管理制度通過工作機(jī)制安全管理、人員安全管理和信息系統(tǒng)安全管理的安全管理體系來實(shí)現(xiàn)�����;
安全邏輯視圖建立單元定義的安全管理設(shè)計指導(dǎo)和安全技術(shù)要求需要遵循安全概念視圖建立單元形成的工作機(jī)制安全管理、人員安全管理和信息系統(tǒng)安全管理的安全管理體系��;
安全概念視圖建立單元形成的信息系統(tǒng)安全管理需要遵循安全能力視圖建立單元制訂的安全技術(shù)基本要求和防護(hù)監(jiān)控要求�;以及
安全邏輯視圖建立單元指導(dǎo)安全物理視圖建立單元按照定義的技術(shù)要求制訂技術(shù)措施的細(xì)節(jié)。
圖3是本發(fā)明具體實(shí)話方式的基于開放組體系結(jié)構(gòu)框架togaf的企業(yè)安全架構(gòu)模型的遵從驗證方法的流程圖�。如圖3所示��,基于開放組體系結(jié)構(gòu)框架togaf的企業(yè)安全架構(gòu)遵從驗證方法300從步驟301開始��。
在步驟301�����,按照定義企業(yè)安全架構(gòu)模型的應(yīng)用范圍���、評審���、考核以及制訂標(biāo)準(zhǔn)的方式設(shè)計基于企業(yè)安全架構(gòu)模型的遵從原則,所述遵從原則是對企業(yè)安全架構(gòu)模型中的元素以及元素間的關(guān)系的逐一確認(rèn)�����;
在步驟302,設(shè)計基于安全架構(gòu)所屬的企業(yè)信息化系統(tǒng)的生命周期的遵從檢查內(nèi)容��,所述檢查內(nèi)容是信息化系統(tǒng)生命周期中的每個階段對原則的細(xì)化和補(bǔ)充����,其中所述信息化系統(tǒng)生命周期的階段包括系統(tǒng)需求、系統(tǒng)設(shè)計�、系統(tǒng)開發(fā)、系統(tǒng)測試和上線運(yùn)行����;
在步驟303,設(shè)需要檢查的周期為m�,每個生命周期內(nèi)的檢查點(diǎn)為每個檢查點(diǎn)的權(quán)重得分為則驗證結(jié)果為:
結(jié)合遵從原則及遵從檢查內(nèi)容,給出基于安全架構(gòu)模型的遵從原則驗證結(jié)果為k���,所有原則遵從時k=1�,存在任意一項原則不遵從時�����,k=0���;
在步驟304�,設(shè)計安全架構(gòu)遵從的基準(zhǔn)值p,p根據(jù)遵從檢查內(nèi)容決定���,則系統(tǒng)安全架構(gòu)遵從驗證結(jié)果需滿足下述公式:
優(yōu)選地�����,所述基于企業(yè)安全架構(gòu)模型的遵從原則包括:
安全能力視圖建立單元制訂的信息安全總體方針分解為安全管理目標(biāo)�����,安全管理目標(biāo)細(xì)化為安全技術(shù)基本要求和防控監(jiān)護(hù)要求,并且所述安全管理目標(biāo)為安全概念視圖建立單元形成安全管理機(jī)構(gòu)和安全管理制度提供指導(dǎo)�����;
安全概念視圖建立單元形成的安全管理制度通過工作機(jī)制安全管理�、人員安全管理和信息系統(tǒng)安全管理的安全管理體系來實(shí)現(xiàn);
安全邏輯視圖建立單元定義的安全管理設(shè)計指導(dǎo)和安全技術(shù)要求需要遵循安全概念視圖建立單元形成的工作機(jī)制安全管理�����、人員安全管理和信息系統(tǒng)安全管理的安全管理體系�����;
安全概念視圖建立單元形成的信息系統(tǒng)安全管理需要遵循安全能力視圖建立單元制訂的安全技術(shù)基本要求和防護(hù)監(jiān)控要求;以及
安全邏輯視圖建立單元指導(dǎo)安全物理視圖建立單元按照定義的技術(shù)要求制訂技術(shù)措施的細(xì)節(jié)���。
通常地��,在權(quán)利要求中使用的所有術(shù)語都根據(jù)他們在技術(shù)領(lǐng)域的通常含義被解釋����,除非在其中被另外明確地定義�����。所有的參考“一個/所述/該【裝置��、組件等】”都被開放地解釋為所述裝置�、組件等中的至少一個實(shí)例,除非另外明確地說明����。這里公開的任何方法的步驟都沒必要以公開的準(zhǔn)確的順序運(yùn)行,除非明確地說明����。