架构安全模型开发方式探索
“架构安全”有“从上至下”和“从下至上”的两种模型。要想做出正确的选择,企业必须评估在它们自己的环境里应用这两种安全模型的难度,并且考虑到这两种模型对应用程序和中间件演进的影响。 维护一个强大的安全模型,以及相关合规和管控的需求越来越重要,特别是在如今黑客和入侵几乎每天都会发生的情况下。根据安全规划师所言,最大的安全问题是企业都偏向于有了安全问题再解决,而不是在设计系统时就考虑到安全因素。 从上至下的安全和合规设计基于以下假定:应用安全和管控需求能够从所使用的业务框架里获得。显然,数据本身如何更加安全或者怎样的变化需要被跟踪并不困难。困难在于如何将有用的业务输入翻译成安全并且合规的模型。 一种方式是画出企业架构(EA)结果,将安全和管控需求映射到应用程序。所有现在流行的EA框架都有这个功能,并且每个模型都有很多来于用户的成功案例。EA链接意味着EA建模能够定义安全需求,来管控产品是否满足这些需求,因为它们支持所使用的模型。这是最纯粹的自上而下的做法,但是除非整个公司都能够全力为EA而努力,否则很难实施。 另一种方式有所不同,可能更容易实施。开发安全架构框架是一种问题驱动的模型,假定某个...
