本节先解释组织体系结构的定义,介绍组织体系结构在信息系统安全的作用,最后介绍组织体系结构的多层面结构与概念框架。
组织体系结构(Enterprise Architecture, EA) ,也可译为"组织架构"或者"企业架构"。这是在信息管理领域开始受到广泛重视的一个概念,也是用于帮助组织理解其自身的构造及运作方式的一种管理工具。EA 一般用于组织应对日益增长的复杂性,优化组织所拥有的技术资源。从安全角度考虑, EA 的建立有助组织深入地了解和认识组织内部的每一个子系统、子系统之间乃至与其他组织之间的交互和安全影响,例如,系统间信息数据流的输入/输出情况的安全影响。
通过EA 的管理框架,组织可以合理有序地把安全考虑加入信息系统开发生命周期(System Development Life-Cyc1e, SDLC)里,在整个SDLC 过程中进行组织内信息系统的安全目标分析、安全风险评估、安全保护等级确认、安全保护措施选择、安全区域职责划分、安全事故处理、安全责任追究时,可以提供更全面、切实的参考。组织在信息化建设与管理中,在为信息系统实现安全保护和风险管理进行资金提供和计划决策时,至少涉及三个不同的决策群体或参与建设的团队:
·信息安全管理负责人和专业人员:
·信息技术管理负责人和专业人员:
·非技术的业务管理者和专业人员。
组织在建构信息系统、讨论资金投入、评估信息安全保障措施的成本效益时,都需要这三个国队对信息安全形成一致的认识。但是,不同领域的专业人员会从自身所处的角度出发去考虑,一般很难达成共识。因此,组织信息化建设与信息系统安全管理的工作非常需要一种管理工具来促进各方面人员在信息系统安全问题上的沟通,同时,通过在一个组织内通用的系统体系框架作为信息系统安全需求的共识磋商的平台,以达到担各方面的需求都统一到这一个框架中。
EA 是一种基于组织业务目标,对信息系统进行构建和改进的方法和管理工具。因此,组织在设计或对现有系统进行升级更新时,都可以利用EA 对己有的信息系统进行分析。
目前在大型企业和政府部门等管理领域内, EA 是一种比较成熟的管理工具。国外很多跨医企业和政府机关(例如,微软的MS.EA 和美国联邦政府的Federal EA 等),己经投入大量资源来开发结合自身情况的EA 框架。EA 作为一个管理工具而言,对信息安全研究有以下优点:
其一, EA 是一个比较成熟的管理概念与工具,国外企业和政府机关已经获得出较广泛的应用,在我国也开始有一些应用。
其二, EA 的多层面兼顾了业务与技术发展问题。一个典型的EA 具有业务体系(Business Architecture) 、信息体系(InformationArchitecture) 、解决体系(Solution Architecture)、技术体系(TechnologyArchitecture)等四个层面结构,这个多层面的特点兼顾业务与技术的发展。同时,在很多企业,实现EA 架构的过程也是企业内部信息系统的重构过程,自首席信息宫(Chief Information Officer, CTO)来负责,这一实际设计有助于考虑信息安全的技术与管理问题及业务与安全的整合。
其三, EA 本身的重要作用。在国际上,经过十几年的实践, EA 已经是一个很成熟的方法论体系,欧美国家的一些企业都把EA 架构能力作为评估企业信息化成熟度的核心要素。可以预计,在不久的将来,中国的政府部门及企业也会逐步采用和推广EA 体系结构,达到合理有序、不断提升自己的信息化水平的目的。因此,在进行信息安全管理分析时,采用EA 这一方法体系非常重要。
前面介绍了组织体系结构的定义和组织体系结构对信息系统安全的作用,下面解释组织体系结构的多层面结构与概念框架。EA 既是组织进行改革的一个系统性过程,也是一种方法论,在应用EA 于信息安全领域时,着重从EA 体系框架的多层架构进行分析和探讨。EA包含四层架构,这四层体系结构也可视为对组织信息化的四种视角。
(1)业务体系结构(Business Architecture)
业务体系结构是对业务功能的架构性描述,定义了组织内部所有业务系统的结构和内容,包括系统处理的信息和提供的服务功能。
(2) 信息体系结构(Information Architecture)
信息体系结构是对通过数据模型实现信息功能的架构性描述,定义了组织内部所需要和使用的信息结构(包括相互依赖关系),涉及组织信息的结构和用途。根据组织的战略、战术和业务方面的要求,组织可对信息体系结构加以调整。
(3)解决方案体系结构(Solution LayoutArchitecture)
解决方案体系结构是对业务应用系统的解决方案和功能的架构性描述,是关于软件系统、指导组织的体系结构类型的重要决策集合。
(的信息技术体系结构(InformationTechnology Architecture)
信息技术体系结构是对信息技术的基础设施和功能的架构性描述,定义了整个信息系统中的技术环境和基础结构的平台,包括网络、操作系统、数据库、存储器、处理器、安全基耐建设、系统运维等技术模块。信息技术体系结构是IT 人员较为熟悉的部分。
EA 的总体体系框架把这四个结构(业务体系结构、信息体系结构、解决方案体系结构和信息技术体系结构)系统有序地关联在一起。通过这个体系框架,可以更清晰地把一个视角的考虑确定为另一个视角的需求。例如, EA 可以让技术人员明白,信息技术体系结构的建设目标是组织为获取商业利润、实现组织目的的产物。这意味着,即使是信息技术体系结构也不是纯粹的技术问题。
这四个视角的体系结构是信息安全需求的主要来源方向,也是信息安全的最终目标和落脚点。
在描述组织体系结构时,一般采用框架(Framework)的概念来实现。框架是一种详细地表述体系结构的模式,也可视为一种通用语言,可以用来开发EA ,也可用来管理、设计、描述EAo EA 体系框架与具体组织设置和具体技术可以分开考虑,因此, EA 体系框架的概念可以适合各种领域。
目前,比较通用的框架主要有开放组织体系结构框架(The Open Group ArchitectureFramework, TOGAF) ,扩展性组织架构框架(ExtendedEnterprise Architecture Framework,E2AF) ,组织架构计划(Enterprise ArchitecturePlanning, EAP) ,联邦政府组织架构框架的deral Enterprise Architecture Framework, FEAF) ,集成架构框架(IntegratedArchitectureFramework, IAF) ,信息管理的技术体系结构框架(Technical Architecture Framework forInfonnation Management, TAFIM)等。对EA 及体系框架有浓厚兴趣的读者可查询相关资料以便深入了解。
前面介绍了组织体系结构的定义和组织体系结构在信息系统安全的作用,也解释了组织体系结构的多层面结构与概念框架。下面介绍组织体系结构在信息系统安全领域里的一些具体安排应用。然后是对EA 的具体应用领域和方法的介绍。
(1) EA 信息系统开发生命周期(Security Considerationsof SDLC, SC of SDLC)中各阶段的应用。
EA 在SDLC 的各阶段中都有具体应用,但最主要影响的范自还是在前期。
①初始阶段。
便于管理人员的理解,获得高层管理者的支持和人力物力的支持,所有涉及人员形成安全共识:提出信息系统的预期目标,并在SDLC 中各阶段都关注其实现情况。
②需求分析阶段。
进行安全目标分析和安全需求分析。启动立项以及之前的安全需求分类,是构建信息系统过程中最重要的阶段。很多信息系统构建失败的原因是需求不完整或不正确,因此,通过EA 将对业务和业务需求有更深刻的了解。安全需求是由组织体系结构四个层次的需求提取汇集雨来的,分别是业务需求、信息需求,解决方案需求、信息技术需求。这些需求共同决定了信息系统的安全需求。
③系统设计阶段。
利用框架描述目前信息系统,包括所E临的问题、安全分类、集成方式等信息。从信息技术体系结构这一层E的分析对系统的设计和实现尤其重要,将关系到新的信息系统的设计和实现。具体需要了解的内容或领域包括:网络、系统和网络管理环境、基础应用程序、物理安全环境。
此外,在SDLC 各阶段还需提供管理层易于理解的和基于业务考虑的风险评估审计报告。
(2) EA 在风险管理、识别、评估和控制中的应用。
①风险管理、识别中的应用。
信息安全管理负责人和专业人员、信息技术管理负责人和专业人员,以及非技术的业务管理者和专业人员,这三个团队是设计信息系统的关键人员。在进行有效的风险管理之前,这三个团队的管理者,首先,必须了解组织运作的薄弱环节之所在:其次,是了解组织的信息如何处理、存储和传输,以及组织提供用于信息安全风险管理的资源。
只有这样,才能制定出合理的安全战略防御计划和进行风险识别管理。
在评估信息资产价值时,设计者需要确定信息资产的相对价值,以体现其相对重要性,这也需要从组织的任务或组织目标出发。例如,怎样才能使资产带来最大效益能使组织利润最大化。这些问题都不是信息安全部门所知道的信息,需要业务部门、财务部门的参与和合作。
②风险控制中的应用
从EA 的不再视角出发,在选择风险控制的实施手段时进行可行性分析,包括成本效益分析、技术可行性分析、政策可行性分析、组织可行性分析、运作可行性分析,这也是EA 的具体应用。例如,针对安全风险对业务影响的判断的问题,在识别威胁井划分防御处理优先级别时,也需要统计人员或财务人员的参与,务求在业务风险与信息系统建设成本之间取得平衡的理智判断。在这+问题上,使用EA 的目的是评定选择、估计成本、考虑选择的相对优势,以及衡量各种控制方案的效益。
EA 也可以应用到组织的信息安全战略规如和信息安全体系结构的设计过程中,如图7-9 所示。
(3)组织改革和人力资源管理。
EA 可以应用到组织改革和人力资源管理方面。利用EA,组织可以选择或设计一种基于组织安全考虑的组织设置和人员编制,进行组织改革,以达到对信息安全的管理机制、管理模式的支持。不同的企业,其安全需求程度、侧重点不同,必将影响其实现信息安全规划的机制、方式。在决定信息安全组织设置后,再决定其角色设定和职责任务。在聘用信息安全专家或者对信息安全职位进行招聘信息介绍时,可利用EA 将军只位需求信息设计成易于为各方理解的通用描述。信息安全要将员工的招聘、雇用、考核等纳入安全考虑,这也需要人力资源部门的理解和支持。
最后,来总结一下组织体系结构在信息系统安全领域的一些重要影响。
首先, EA 把管理和业务的考虑合理有序地引入信息系统安全设计中,通过EA 的总体框架,明确地提出信息系统的安全并不是一个单纯的技术问题,而制定信息系统安全目标的依据是管理的目标和业务需求。其次,信息系统的设计和管理都应基于业务考虑,并有明确的安全目标:某一信息系统的运行要符合组织业务发展的需求,提高业务竞争能力,并且在防范风险的投入成本与盈利是平衡的。所谓的安全目标,是指安全的信息系统并不是单纯地要满足安全的理论定义的要求,而是为了组织的利益不受损害这一根本的安全目标,来进行设计和
管理。
再次,组织在设计大型信息系统时,要考虑组织自身的结构,信息系统要与现有的组织机制相对应。以税务信息系统为例,税务从业务上分为几个部门,则信息系统在设计时也可按照业务角度设计:在组织里,内部信息系统也应按具体部门功能的区别分为后勤、仓库存储、业务、采购等子系统,在信息系统设计的同时,要启动相应的管理制度和操作规范的制定工作,以确保有组织管理层面的基础。因此,采用EA 将对信息系统的构建和改进产生非常重大的影响,本部分主要关注EA 对信息系统安全的影响。
