《企業(yè)架構(gòu)參考指南》

??2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有1?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有3序言企業(yè)數(shù)字化安全轉(zhuǎn)型面臨著選擇、判斷和組合的困擾，對(duì)組織、技術(shù)、人才、管理和業(yè)務(wù)模型等多方面的有機(jī)融合和運(yùn)轉(zhuǎn)構(gòu)成了架構(gòu)，而安全是高效的基礎(chǔ)，二者都是競(jìng)爭(zhēng)力。國(guó)內(nèi)企業(yè)普遍在學(xué)華為、海爾、格力，同時(shí)也在吸收IBM、微軟、谷歌、亞馬遜等企業(yè)的成長(zhǎng)模型。CSA編著的本指南是國(guó)外大型企業(yè)實(shí)踐經(jīng)驗(yàn)的總結(jié)凝練，是一個(gè)與時(shí)俱進(jìn)的參考書(shū)。本文聚焦實(shí)踐，沉淀知識(shí)，而不必全面冗長(zhǎng)的去解讀，非常適合企業(yè)管理者和IT、業(yè)務(wù)、運(yùn)營(yíng)、安全的負(fù)責(zé)人快速學(xué)習(xí)，定位問(wèn)題，抓住要領(lǐng)，快速實(shí)踐，企業(yè)對(duì)每一項(xiàng)組件的投入都可以在此架構(gòu)中找到位置，找到他上層面的組、域。指南用1-2-3-4表達(dá)出每一個(gè)組件的層次，我們既可以看到1的面貌，又可以細(xì)化到2的構(gòu)成和3、4的細(xì)節(jié)，是思維導(dǎo)圖模式的簡(jiǎn)潔變形?？v觀一個(gè)企業(yè)的成長(zhǎng)與治理，指南對(duì)企業(yè)架構(gòu)建設(shè)、優(yōu)化和運(yùn)營(yíng)實(shí)踐的價(jià)值指導(dǎo)意義，在于他oNISTSPNISTSPISOISO27002等系列框架理論的精要，從而在”云大物智移”環(huán)境下，使得企業(yè)架構(gòu)的高效搭建與運(yùn)行既擁有了理論框架，又有了可查找的實(shí)踐行動(dòng)。企業(yè)IT治理、安全治理、生產(chǎn)運(yùn)營(yíng)、應(yīng)急事件處理是數(shù)字化轉(zhuǎn)型基礎(chǔ)內(nèi)容，指南可服務(wù)于對(duì)安全、效率、和運(yùn)營(yíng)有持續(xù)優(yōu)化訴求的大中小企業(yè)。本指南展開(kāi)的對(duì)四個(gè)域的解構(gòu)：業(yè)務(wù)運(yùn)營(yíng)支持服務(wù)(BOSS)、信息技術(shù)運(yùn)營(yíng)與支持(ITOS)、技術(shù)解決方案服務(wù)(TSS)、安全和風(fēng)險(xiǎn)管理(SRM)?？梢杂脰|方人的模式和中國(guó)人的，即“你我它”思維思考，你：是指框架中的任何組件、域，我：企業(yè)架構(gòu)的需求、困難、鏈接方式、緊要度等，它：傳遞的下一站，實(shí)現(xiàn)企業(yè)架構(gòu)期望的目標(biāo)或階段方向。對(duì)于未來(lái)的延伸，任何一個(gè)架構(gòu)都是有時(shí)效的，因?yàn)樽兪侨f(wàn)物常態(tài)，運(yùn)動(dòng)是活力之源，企業(yè)架構(gòu)的運(yùn)營(yíng)是指南中所提所有相關(guān)技術(shù)，組織，業(yè)務(wù)，風(fēng)險(xiǎn)應(yīng)對(duì)與系統(tǒng)管理的多維協(xié)同，任何之一的變動(dòng)延伸，都是對(duì)指南演進(jìn)的新要求。本指南也為這種延伸鋪墊了未來(lái)持續(xù)發(fā)揮的思路和舞臺(tái)，努力為企業(yè)把技術(shù)用精，把業(yè)務(wù)做順，把組織做通，把管理做活。李雨航Y(jié)aleLiCSA大中華區(qū)主席兼研究院院長(zhǎng)?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有4致謝《企業(yè)架構(gòu)參考指南(EnterpriseArchitectureReferenceGuide)》由CSA研究工作組專(zhuān)家編寫(xiě)，CSA大中華區(qū)秘書(shū)處組織翻譯并審校。中文版翻譯專(zhuān)家組(排名不分先后)：翻譯組：程偉強(qiáng)仇蓉蓉鄧輝楠李鈉潔鹿淑煜永霞吳嘉雯何伊圣劉潔陶瑞巖王陽(yáng)調(diào)員：孫天一感謝以下單位的支持與貢獻(xiàn)：司公司集團(tuán)有限公司(北京)有限責(zé)任公司有限公司巖沈勇瀟江楠姚凱限公司技有限公司限公司份有限公司限公司術(shù)股份有限公司?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有5英文版本編寫(xiě)專(zhuān)家JonMichaelC.BrooklejosASeanHeideAnnMarieUlskeyLayout)nthihishVashishthaphenLumpeCoverJohnYeohenkatJimReavisroOreaanLoganJon-MichaelBrookTuhinKumarYaleLiJairoOreaCSA團(tuán)隊(duì)：JimReavisKumaraswamynishMohammedVernWilliamsJ.R.SantosJohnYeohCharletonBarretoronLeviMatsumotoia在此感謝以上專(zhuān)家。如譯文有不妥當(dāng)之處，敬請(qǐng)讀者聯(lián)系CSAGCR秘書(shū)處給與雅正!聯(lián)系郵箱：research@；國(guó)際云安全聯(lián)盟CSA公眾號(hào)。?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有6 構(gòu)概述 9 評(píng)估機(jī)會(huì) 9線圖 10 技術(shù)供應(yīng)商 10 業(yè)務(wù)運(yùn)營(yíng)支持服務(wù)(BOSS) 12 務(wù) 17 信息技術(shù)運(yùn)營(yíng)與支持(ITOS) 21 務(wù) 27 31 安全和風(fēng)險(xiǎn)管理(SRM) 56?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有7 務(wù) 68 ?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有8云安全聯(lián)盟企業(yè)架構(gòu)工作組發(fā)布“企業(yè)架構(gòu)參考指南”第2版。通過(guò)此版本，讀者可以看到CSA企業(yè)架構(gòu)2.3中每個(gè)域的詳細(xì)說(shuō)明。CSA企業(yè)架構(gòu)是安全、身份感知云基礎(chǔ)架構(gòu)的綜合方法。EAWG利用了TOGAF、ITIL、SABSA和Jericho這四種行業(yè)標(biāo)準(zhǔn)架構(gòu)模型。這種方法將同類(lèi)的最佳架構(gòu)范例結(jié)合到云安全的綜合方法。EAWG通過(guò)將業(yè)務(wù)驅(qū)動(dòng)因素與安全基礎(chǔ)設(shè)施結(jié)合，增加了企業(yè)業(yè)務(wù)模型中云服務(wù)的價(jià)值取向。CSA企業(yè)架構(gòu)參考美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所的NISTSP500-299和NISTSP500-292。本文檔匯編了現(xiàn)有的企業(yè)架構(gòu)定義，同時(shí)，對(duì)于即將發(fā)布的EAWG版本，包括CSA云控制矩陣(CCM3.0.1)到EA的映射以及對(duì)企業(yè)架構(gòu)本身的更新，都可以參考。感謝讀者企業(yè)架構(gòu)組組長(zhǎng)Jon-MichaelC.BrookJohnYeohMichaelRozaJimReavis?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有9企業(yè)架構(gòu)概述共同的需求產(chǎn)生共同的解決方案。企業(yè)架構(gòu)既是一種方法，也是一組工具，使安全架構(gòu)師、企業(yè)架構(gòu)師和風(fēng)險(xiǎn)管理專(zhuān)業(yè)人員能夠利用一組通用的解決方案和控制措施。這些解決方案和控制措施滿足了一系列共同的要求，風(fēng)險(xiǎn)管理者必須評(píng)估內(nèi)部IT安全和云提供商控制措施的運(yùn)營(yíng)狀態(tài)。這些控制措施以安全能力形式表現(xiàn)出來(lái)，旨在創(chuàng)建一個(gè)通用的路線圖，滿足業(yè)務(wù)的安全需求。業(yè)務(wù)需求必須指導(dǎo)架構(gòu)。在企業(yè)架構(gòu)中，這些要求分別來(lái)自Sarbanes-Oxley和Gramm-Leach-Bliley之類(lèi)的法規(guī)、ISO-27002之類(lèi)的標(biāo)準(zhǔn)框架、支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)以及COBIT等IT審計(jì)框架驅(qū)動(dòng)的控制矩陣，所有這些都包含在云服務(wù)交付模型之中，例如軟件即服務(wù)(SaaS)、平臺(tái)即服務(wù)(PaaS)和基礎(chǔ)設(shè)施即服務(wù)(IaaS)。按照這些需求，根據(jù)架構(gòu)框架最佳實(shí)踐定義并組織了一套安全能力。(SABSA)從業(yè)務(wù)角度定義了安全模型。信息技術(shù)基礎(chǔ)設(shè)施庫(kù)(ITIL)指定了管理公司IT服務(wù)所需的模式，以及安全地管理這些服務(wù)的安全指南。杰里科論壇指定了技術(shù)安全規(guī)范，這些規(guī)范源于傳統(tǒng)數(shù)據(jù)中心內(nèi)技術(shù)環(huán)境向解決方案跨越多個(gè)數(shù)據(jù)中心的互聯(lián)網(wǎng)環(huán)境轉(zhuǎn)變的現(xiàn)實(shí)，而這些數(shù)據(jù)中心中一些由企業(yè)所有，另一些純粹用外包服務(wù)。最后，開(kāi)放組架構(gòu)框架(TOGAF)提供了一個(gè)企業(yè)架構(gòu)框架和方法，用于規(guī)劃、設(shè)計(jì)和管理信息體系架構(gòu)，最終形成一個(gè)通用框架，將安全架構(gòu)師的工作與組織的企業(yè)架構(gòu)集成在一起。如何使用企業(yè)架構(gòu)企業(yè)架構(gòu)可用于評(píng)估改進(jìn)機(jī)會(huì)、創(chuàng)建技術(shù)采用路線圖、識(shí)別可復(fù)用的安全模式，并根據(jù)一組通用能力評(píng)估各種云提供商和安全技術(shù)供應(yīng)商。評(píng)估機(jī)會(huì)因?yàn)樵瓢踩?lián)盟控制矩陣映射回各種法律和監(jiān)管框架的現(xiàn)有安全控制需求，并且因?yàn)橄嗤木仃囉成涞郊軜?gòu)的安全能力，為了遵守適用的法規(guī)和最佳實(shí)踐框架，公司可以很容易評(píng)估自己具備哪些能力。?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有10創(chuàng)建路線圖在評(píng)估組織當(dāng)前能力后，可以使用參考架構(gòu)根據(jù)公司作為云消費(fèi)者或云提供商的業(yè)務(wù)需求來(lái)指導(dǎo)需要投資的能力。例如，在基于云的解決方案中，物理安全控制和能力對(duì)云消費(fèi)者不太重要，但對(duì)云提供商卻更為重要。此外，該參考架構(gòu)能力可用于整理組織中的技術(shù)標(biāo)準(zhǔn)集合，識(shí)別是否存在多種技術(shù)實(shí)現(xiàn)能力相同的領(lǐng)域，進(jìn)一步證明這些技術(shù)功能可以被整合。反之，它也可以顯示公司還有哪些尚未具備的標(biāo)準(zhǔn)技術(shù)能力。識(shí)別可復(fù)用的安全模式由于安全模式和最佳實(shí)踐是圍繞參考架構(gòu)構(gòu)建的，因此這些模式在公司內(nèi)部和公司之間的共享將因?yàn)閷⑺鼈兟?lián)系在一起的通用功能模型而得到增強(qiáng)。供應(yīng)商可以根據(jù)架構(gòu)中的一組能力和控制措施驗(yàn)證解決方案，從而使消費(fèi)者能夠更信任和理解供應(yīng)商的解決方案。評(píng)估云服務(wù)提供商和安全技術(shù)供應(yīng)商已定義的控制措施是用簡(jiǎn)潔明了的合同要求措辭進(jìn)行書(shū)寫(xiě)的，幾乎不需要修改就可以作為服務(wù)合同和建議邀請(qǐng)書(shū)(RFP)的基礎(chǔ)。使用定義列表以下每個(gè)領(lǐng)域表(BOSS、ITOS、TSS、SRM)都會(huì)細(xì)分出所有的域、組件組、子組和容器。領(lǐng)域組件列中每個(gè)元素開(kāi)頭的連字符指明了在圖表中自然理解的企業(yè)架構(gòu)層次。領(lǐng)域組件定義1域頂層條目，將領(lǐng)域劃分為不同域，如SRM中的治理、風(fēng)險(xiǎn)與合規(guī)(GRC)，或BOSS中的合規(guī)。2組件組第二層條目，將域劃分為子主題，例如“BOSS->合規(guī)“下的審計(jì)計(jì)劃，或”SRM->治理、風(fēng)險(xiǎn)與合規(guī)“下的合規(guī)管理。3組件子組第三層條目(取決于組件，容器可能在此級(jí)別)。4容器架構(gòu)圖中的最低層元素。CSA企業(yè)架構(gòu)這份《企業(yè)架構(gòu)參考指南(第二版)》對(duì)應(yīng)CSA企業(yè)架構(gòu)的兩種表示形式。在云安全聯(lián)盟的網(wǎng)站有更多交互形式的內(nèi)容，并且可以深入研究各部分內(nèi)容。業(yè)務(wù)運(yùn)營(yíng)支持服務(wù)(BOSS)信息技術(shù)運(yùn)營(yíng)與支持(ITOS)技術(shù)解決方案服務(wù)(TSS)安全和風(fēng)險(xiǎn)管理(SRM)圖1:交互式CSA企業(yè)架構(gòu)圖1另外一種表示形式是Visio圖適用于離線參考的情況。圖2企業(yè)云架構(gòu)圖表21/index.php/explore/2/index.php/resources/?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有11?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有12業(yè)務(wù)運(yùn)營(yíng)支持服務(wù)(BOSS)業(yè)業(yè)務(wù)伙伴描述BOSS域是對(duì)安全計(jì)劃至關(guān)重要的所有公司支持的職能部門(mén)，如人力資源、合規(guī)和法務(wù)。它也是監(jiān)控公司運(yùn)營(yíng)及其系統(tǒng)是否存在任何濫用或欺詐跡象的位置。BOSS是基于最佳實(shí)踐和參考框架設(shè)計(jì)的，在協(xié)調(diào)業(yè)務(wù)和將跨組織的信息安全實(shí)踐轉(zhuǎn)化為業(yè)務(wù)賦能因素方面頗有成效。大多數(shù)安全架構(gòu)只關(guān)注技術(shù)能力，錯(cuò)過(guò)了與業(yè)務(wù)建立動(dòng)態(tài)協(xié)同與將被動(dòng)實(shí)踐轉(zhuǎn)化為主動(dòng)領(lǐng)域，從而使業(yè)務(wù)指揮中心具有提供有關(guān)信息資產(chǎn)和業(yè)務(wù)流程健康狀況的相關(guān)信息的能力的機(jī)會(huì)。當(dāng)組織決定將服務(wù)與云提供商集成時(shí)，一個(gè)常見(jiàn)的問(wèn)題是提供商提供的安全級(jí)別，以及在多租戶模式上托管數(shù)據(jù)時(shí)的風(fēng)險(xiǎn)程度。該領(lǐng)域概述了除技術(shù)解決方案之外還必須考慮的因素，例如法律指導(dǎo)、合規(guī)和審計(jì)活動(dòng)、人力資源以及側(cè)重于預(yù)防欺詐的監(jiān)控能力等方面。1合規(guī)組織在確保了解相關(guān)法律、政策和法規(guī)并采取措施遵守這些法律、政策和法規(guī)的流程中預(yù)期實(shí)現(xiàn)的目標(biāo)。2審計(jì)規(guī)劃審計(jì)規(guī)劃確保配備充足的人員安排和審計(jì)，且為整體業(yè)務(wù)交付方面的一部2聯(lián)系方式權(quán)威維護(hù)確保有關(guān)部門(mén)和關(guān)鍵業(yè)務(wù)合作伙伴的聯(lián)系信息保持最新，以便在需要時(shí)正確無(wú)誤，并強(qiáng)制實(shí)施企業(yè)角色級(jí)別的風(fēng)險(xiǎn)限制。2獨(dú)立審計(jì)獨(dú)立審計(jì)能夠有效地防止“自欺欺人”地確保對(duì)安全與合規(guī)相關(guān)的當(dāng)前業(yè)務(wù)狀態(tài)進(jìn)行公正的審查。2第三方審計(jì)確保所依賴(lài)的服務(wù)符合安全要求。2內(nèi)部審計(jì)在組織內(nèi)部提供交叉檢查機(jī)制。在較大的組織中，可能也會(huì)有一定程度的獨(dú)立性。2信息系統(tǒng)監(jiān)管映射確保識(shí)別所有監(jiān)管要求，并確保業(yè)務(wù)的合規(guī)工作考慮到這些要求。2知識(shí)產(chǎn)權(quán)保護(hù)確保知識(shí)產(chǎn)權(quán)保護(hù)被確定為關(guān)鍵的業(yè)務(wù)驅(qū)動(dòng)因素，并確保業(yè)務(wù)的合規(guī)性工作考慮到該點(diǎn)。1運(yùn)營(yíng)風(fēng)險(xiǎn)管理運(yùn)營(yíng)風(fēng)險(xiǎn)管理從業(yè)務(wù)角度為風(fēng)險(xiǎn)評(píng)估提供了一個(gè)整體視角，使用風(fēng)險(xiǎn)管理框架有助于洞察組織面臨的風(fēng)險(xiǎn)和威脅，并且該框架將提供評(píng)估、管理和?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有13控制整個(gè)組織不同風(fēng)險(xiǎn)的方法。應(yīng)設(shè)立運(yùn)營(yíng)風(fēng)險(xiǎn)委員會(huì)(ORC)，定期討論組織始終面臨的威脅和合規(guī)情況。通常，該委員會(huì)的參與者由業(yè)務(wù)部門(mén)(即首席執(zhí)行官、首席運(yùn)營(yíng)官、首席信息官、首席財(cái)務(wù)官)、合規(guī)部(首席風(fēng)險(xiǎn)官、合規(guī)官)和控制人員 (審計(jì)、安全和風(fēng)險(xiǎn)管理)組成。使用業(yè)務(wù)影響評(píng)估方法將有助于組織確定哪些流程對(duì)組織至關(guān)重要，并相應(yīng)地規(guī)劃以保護(hù)這些流程，確保適當(dāng)?shù)倪B續(xù)性計(jì)劃，并使用關(guān)鍵風(fēng)險(xiǎn)指標(biāo)衡量相關(guān)風(fēng)險(xiǎn)。通過(guò)風(fēng)險(xiǎn)記分卡定期監(jiān)控關(guān)鍵風(fēng)險(xiǎn)指標(biāo)，集成來(lái)自安全監(jiān)控服務(wù)的信息或信息服務(wù)領(lǐng)域整合的信息。2運(yùn)營(yíng)風(fēng)險(xiǎn)委員會(huì)確保對(duì)所有已識(shí)別的業(yè)務(wù)風(fēng)險(xiǎn)給予運(yùn)營(yíng)方面的考慮。除非考慮真正的運(yùn)營(yíng)考量因素，否則不可能對(duì)風(fēng)險(xiǎn)進(jìn)行充分的優(yōu)先排序。2危機(jī)管理組織有效應(yīng)對(duì)危機(jī)的總體協(xié)調(diào)，總體目標(biāo)是避免或最大限度地減少對(duì)組織的盈利能力、聲譽(yù)或運(yùn)營(yíng)能力的損害。1業(yè)務(wù)影響分析確保在風(fēng)險(xiǎn)管理流程中考慮業(yè)務(wù)影響，而不僅僅考慮技術(shù)方面風(fēng)險(xiǎn)。2關(guān)鍵風(fēng)險(xiǎn)指標(biāo)從管理層或執(zhí)行層識(shí)別可能影響特定業(yè)務(wù)的關(guān)鍵風(fēng)險(xiǎn)因素是什么。2業(yè)務(wù)連續(xù)性確保在風(fēng)險(xiǎn)管理流程中考慮業(yè)務(wù)連續(xù)性。不僅應(yīng)解決業(yè)務(wù)連續(xù)性問(wèn)題，還應(yīng)解決業(yè)務(wù)恢復(fù)問(wèn)題。3規(guī)劃準(zhǔn)備業(yè)務(wù)連續(xù)性計(jì)劃以及必要時(shí)付諸實(shí)施所需的所有步驟。3測(cè)試測(cè)試業(yè)務(wù)連續(xù)性計(jì)劃以確保其有效性。2風(fēng)險(xiǎn)管理框架確保在業(yè)務(wù)范圍內(nèi)定義并記錄可重復(fù)的流程。風(fēng)險(xiǎn)管理框架必須在其定義的業(yè)務(wù)環(huán)境中使用。3業(yè)務(wù)評(píng)估確保對(duì)業(yè)務(wù)風(fēng)險(xiǎn)進(jìn)行識(shí)別、記錄，并確定適當(dāng)?shù)奶幚矸椒ā?技術(shù)評(píng)估確保對(duì)技術(shù)風(fēng)險(xiǎn)進(jìn)行識(shí)別、記錄，并確定適當(dāng)?shù)奶幚矸椒ā?獨(dú)立風(fēng)險(xiǎn)管理由第三方進(jìn)行風(fēng)險(xiǎn)評(píng)估，以從參考框架角度(即COBIT、ISO27001)、監(jiān)管角度(即SOX、PCI)評(píng)估組織控制的成熟度。此類(lèi)評(píng)估還可包括安全測(cè)試(黑盒、白盒、滲透測(cè)試)。1人力資源安全本節(jié)重點(diǎn)關(guān)注與人員(員工、承包商或任何其他第三方)與組織人力資源職能互動(dòng)相關(guān)的流程、最佳實(shí)踐的安全和風(fēng)險(xiǎn)管理視角。2解雇確保員工離職程序?qū)㈦x職員工在任職后濫用信息資產(chǎn)的風(fēng)險(xiǎn)降至最低的流程。該流程通常包括刪除對(duì)電子帳戶的訪問(wèn)、關(guān)閉VPN或外部電子郵件服務(wù)等。?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有142雇傭協(xié)議組織與員工、承包商、第三方用戶和客戶之間簽訂的所有合同協(xié)議，在授予對(duì)數(shù)據(jù)和服務(wù)的訪問(wèn)權(quán)限之前，這些協(xié)議明確規(guī)定了其雇傭或服務(wù)合同的條款和條件，其中必須明確包括負(fù)責(zé)信息安全的各方。例如隱私政策、知識(shí)產(chǎn)權(quán)協(xié)議、可接受的使用、網(wǎng)站條款和條件。2背景篩查人員、承包商和第三方的背景核實(shí)必須到位，并且應(yīng)與根據(jù)當(dāng)?shù)胤?、法?guī)和道德規(guī)范訪問(wèn)的數(shù)據(jù)分類(lèi)相稱(chēng)。2職位描述工作職責(zé)的明確定義有助于確定從事該工作的人員的數(shù)據(jù)訪問(wèn)要求，確保職員只有最低限度的訪問(wèn)權(quán)限。2角色和職責(zé)將工作劃分為具有不同角色和職責(zé)的多個(gè)職位，允許職責(zé)分離，以確保組織流程中的適當(dāng)完整性。2員工意識(shí)此能力將側(cè)重于與提供意識(shí)的流程相關(guān)的材料和工具的管理，以確保遵守監(jiān)管要求、安全策略和風(fēng)險(xiǎn)管理最佳實(shí)踐，從而確保組織將擁有一個(gè)安全、合規(guī)和安全的工作環(huán)境。這方面的例子包括桌面清理、災(zāi)難恢復(fù)、在線培訓(xùn)、PII/PHI信息保護(hù)等。2員工行為準(zhǔn)則此能力旨在管理與組織的數(shù)據(jù)、資產(chǎn)和服務(wù)交互的人員之間的正式協(xié)議的生命周期。行為準(zhǔn)則必須包括從監(jiān)管角度看與組織相關(guān)的預(yù)期行為、信息安全策略和風(fēng)險(xiǎn)管理最佳實(shí)踐。1數(shù)據(jù)治理在組織管理應(yīng)用程序、服務(wù)和企業(yè)信息集成活動(dòng)之間的數(shù)據(jù)時(shí)，需要有一個(gè)定義良好的治理模型，該模型概述并尋找在整個(gè)IT基礎(chǔ)架構(gòu)(包括內(nèi)部和外部服務(wù)即SaaS、PaaS、IaaS、ASP或其他))中如何處理、轉(zhuǎn)換和存儲(chǔ)數(shù)據(jù)的合規(guī)性(。數(shù)據(jù)治理中包含的流程包括數(shù)據(jù)所有權(quán)、應(yīng)如何對(duì)數(shù)據(jù)進(jìn)行分類(lèi)、數(shù)據(jù)/資產(chǎn)所有者對(duì)其應(yīng)用程序和服務(wù)負(fù)有的責(zé)任，以及在整個(gè)生命周期內(nèi)對(duì)數(shù)據(jù)的必要控制。2數(shù)據(jù)所有權(quán)管理工作此能力為在數(shù)據(jù)的整個(gè)生命周期中與數(shù)據(jù)交互的人員管理通信、職責(zé)和相關(guān)流程。與數(shù)據(jù)交互關(guān)聯(lián)的角色包括數(shù)據(jù)所有者、資產(chǎn)托管人、數(shù)據(jù)用戶、支持服務(wù)和代表。2數(shù)據(jù)分類(lèi)評(píng)估信息對(duì)業(yè)務(wù)的價(jià)值，并根據(jù)數(shù)據(jù)被未經(jīng)授權(quán)的個(gè)人獲取對(duì)業(yè)務(wù)的影響將其分配到不同級(jí)別的流程，如(受保護(hù)的、公開(kāi)的、絕密的)。2處理/標(biāo)記/安全策略該能力管理與數(shù)據(jù)和包含數(shù)據(jù)的對(duì)象的標(biāo)簽、處理和安全相關(guān)的策略、流程和通信。2數(shù)據(jù)安全處置確保數(shù)據(jù)被適當(dāng)銷(xiāo)毀，以防恢復(fù)(例如，通過(guò)數(shù)字取證技術(shù))。此類(lèi)銷(xiāo)毀的?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有15文件記錄應(yīng)落實(shí)到位，并應(yīng)包括在信息生命周期管理流程中。2清理桌面政策一種公司政策，確保敏感信息不會(huì)被未授權(quán)用戶公開(kāi)查看或竊取。2信息防泄露規(guī)則此能力管理與整個(gè)組織內(nèi)數(shù)據(jù)保密和保護(hù)相關(guān)的數(shù)據(jù)泄露防護(hù)和控制相關(guān)的策略、程序和業(yè)務(wù)需求。這方面的示例包括內(nèi)容管理、共享文件存儲(chǔ)庫(kù)和終端視角的數(shù)據(jù)使用。2數(shù)據(jù)保存規(guī)則此能力根據(jù)業(yè)務(wù)和監(jiān)管角度的需要，管理與保存數(shù)據(jù)(交易信息、電子郵件、文檔圖像、刷卡、在線瀏覽歷史記錄)相關(guān)的策略、程序或要求，然后進(jìn)行安全處置。1安全監(jiān)控服務(wù)與整個(gè)組織的主動(dòng)式安全和風(fēng)險(xiǎn)管理態(tài)勢(shì)感知相關(guān)的所有功能，以業(yè)務(wù)為重點(diǎn)，防止內(nèi)部或外部攻擊、濫用權(quán)限和數(shù)據(jù)丟失，同時(shí)保持對(duì)組織數(shù)據(jù)和訪問(wèn)的適當(dāng)監(jiān)控，無(wú)論這些服務(wù)在何處分配或管理(云、內(nèi)部、托管等)2安全信息事件管理平臺(tái)(SIEM)安全信息和事件管理平臺(tái)收集、關(guān)聯(lián)、報(bào)告多個(gè)安全信息源，以保持態(tài)勢(shì)感知。2事件挖掘?qū)v史事件進(jìn)行統(tǒng)計(jì)分析，確定正常和異常行為模型。2數(shù)據(jù)庫(kù)監(jiān)控此能力是數(shù)據(jù)庫(kù)管理系統(tǒng)相關(guān)事件的集合，包括登錄、查詢、處理和管理活動(dòng)。2應(yīng)用監(jiān)控該能力是應(yīng)用程序相關(guān)事件的集合，包括登錄、對(duì)敏感數(shù)據(jù)的訪問(wèn)、處理、管理活動(dòng)。2蜜罐一種真實(shí)的或虛擬的系統(tǒng)，通過(guò)配置真實(shí)的生產(chǎn)系統(tǒng)的鏡像來(lái)吸引和檢測(cè)入侵者。2終端監(jiān)控收集與最終用戶使用設(shè)備相關(guān)的事件。2事件關(guān)聯(lián)分析一個(gè)源中的事件并將其與相同或其他源中的事件關(guān)聯(lián)以獲取附加信息或檢測(cè)活動(dòng)模式的流程。2云監(jiān)控在應(yīng)用程序堆棧的所有層上收集與云解決方案提供服務(wù)的使用相關(guān)聯(lián)的事件。2電子郵件記錄監(jiān)控電子郵件內(nèi)容以檢測(cè)數(shù)據(jù)丟失、惡意軟件傳播或其他基于電子郵件的威脅。2安全運(yùn)營(yíng)中心門(mén)戶由安全運(yùn)營(yíng)中心維護(hù)的儀表盤(pán)應(yīng)用程序，提供組織安全狀態(tài)的總體可見(jiàn)2對(duì)抗威脅管理管理威脅和對(duì)抗策略的整個(gè)流程。2市場(chǎng)威脅情報(bào)由分布式IDS傳感器收集并由安全公司分析的網(wǎng)絡(luò)情報(bào)。此外，這種能力可以鞏固來(lái)自行業(yè)同行的威脅情報(bào)(例如，HITRUST,NSA的商業(yè)分支機(jī)構(gòu)?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有16等)等)2安全托管服務(wù)為組織提供部分或全部安全運(yùn)營(yíng)能力的外包協(xié)議。2知識(shí)庫(kù)一個(gè)能夠使安全運(yùn)營(yíng)中心高效響應(yīng)事件的，有關(guān)組織基礎(chǔ)設(shè)施和運(yùn)營(yíng)的知識(shí)庫(kù)，2品牌保護(hù)監(jiān)控對(duì)組織品牌構(gòu)成風(fēng)險(xiǎn)的外部實(shí)體和活動(dòng)，如冒名頂替者網(wǎng)站、蓄意錯(cuò)誤拼寫(xiě)等。2防釣魚(yú)能夠檢測(cè)針對(duì)組織用戶的網(wǎng)絡(luò)釣魚(yú)攻擊，如入站網(wǎng)絡(luò)釣魚(yú)電子郵件。2實(shí)時(shí)網(wǎng)絡(luò)防護(hù)(SCAP)安全內(nèi)容自動(dòng)化協(xié)議是一個(gè)持續(xù)的保障流程，可實(shí)時(shí)驗(yàn)證安全策略和程序的合規(guī)性。2用戶行為與畫(huà)像有關(guān)用戶的事件和信息的集合，用于分析和識(shí)別正常和異常行為模式，如特定用戶或角色使用應(yīng)用程序的情況。內(nèi)部調(diào)查內(nèi)部調(diào)查關(guān)注的是確定事實(shí)真相和政策或刑事調(diào)查的影響。這一流程涉及欺詐檢測(cè)、預(yù)防和取證調(diào)查。2取證分析取證分析涉及保存、識(shí)別、提取和分析與違反政策或刑事犯罪的事實(shí)問(wèn)題相關(guān)的潛在證據(jù)價(jià)值項(xiàng)。2電子郵件記錄確保按照監(jiān)管合規(guī)或支持訴訟的要求記錄和保存所有電子郵件流量的流程和程序。1法律服務(wù)當(dāng)安全事件發(fā)生時(shí)，組織對(duì)法律顧問(wèn)的需求至關(guān)重要。其中包括幾項(xiàng)能力，可以幫助法律顧問(wèn)領(lǐng)導(dǎo)合規(guī)活動(dòng)、處理訴訟以及跟蹤整個(gè)組織的預(yù)防意。2合約兩個(gè)或多個(gè)當(dāng)事人之間的協(xié)議，其目的是創(chuàng)造一項(xiàng)或多項(xiàng)法律義務(wù)。2電子檔案查詢(電子發(fā)現(xiàn))電子檔案查詢涉及如何識(shí)別、保存和生成對(duì)已經(jīng)計(jì)劃或正在進(jìn)行的訴訟作出響應(yīng)的數(shù)據(jù)。2應(yīng)急響應(yīng)法律準(zhǔn)備確保識(shí)別、收集和保存相關(guān)信息的流程和程序，支持未來(lái)有關(guān)該事件的訴訟。示例安全監(jiān)控工具提醒分析師，客戶提款交易操作的發(fā)起方是IT部門(mén)的工作站而不是客戶聯(lián)絡(luò)中心。在人力資源部和法務(wù)部的幫助下進(jìn)行一項(xiàng)特別調(diào)查顯示，確定是一名心懷不滿的系統(tǒng)管理員持續(xù)竊取公司信息。?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有17提供的服務(wù)合規(guī)性：合規(guī)能力的重點(diǎn)是跟蹤內(nèi)部、外部、第三方(如客戶)人員行為，執(zhí)行審計(jì)活動(dòng)及發(fā)現(xiàn)相關(guān)問(wèn)題。為了合規(guī)工作的順利開(kāi)展，有必要建立一個(gè)通用資料庫(kù)，使組織能夠跟蹤和修復(fù)這些發(fā)現(xiàn)所概述的技術(shù)或運(yùn)營(yíng)差距。審計(jì)活動(dòng)包括制定審計(jì)年度計(jì)劃，精簡(jiǎn)審計(jì)流程，防止重復(fù)審計(jì)。監(jiān)管映射流程將幫助組織協(xié)調(diào)和簡(jiǎn)化各種能力或流程生成的控制證據(jù)，以便存儲(chǔ)在風(fēng)險(xiǎn)注冊(cè)表(信息服務(wù)域)中。相關(guān)組件：2審計(jì)計(jì)劃2聯(lián)系人/權(quán)威維護(hù)2獨(dú)立審計(jì)2第三方審計(jì)2內(nèi)部審計(jì)2信息系統(tǒng)合規(guī)映射2知識(shí)產(chǎn)權(quán)保護(hù)數(shù)據(jù)治理：當(dāng)組織管理應(yīng)用程序、服務(wù)和企業(yè)信息集成活動(dòng)之間的數(shù)據(jù)時(shí)，需要有一個(gè)定義明確的治理模型，指導(dǎo)包括內(nèi)外部服務(wù)(即SaaS，PaaS，IaaS，ASP或其他)的整個(gè)IT基礎(chǔ)設(shè)施中，數(shù)據(jù)的合規(guī)銷(xiāo)毀、轉(zhuǎn)換和存儲(chǔ)。作為數(shù)據(jù)治理一部分的流程，包括數(shù)據(jù)確權(quán)，數(shù)據(jù)分類(lèi)以及數(shù)據(jù)/資產(chǎn)所有者對(duì)其應(yīng)用程序和服務(wù)的責(zé)任劃分，以及整個(gè)生命周期中對(duì)數(shù)據(jù)的必要控制。相關(guān)組件：2數(shù)據(jù)所有權(quán)/管理權(quán)2數(shù)據(jù)分類(lèi)2處理/標(biāo)簽/安全策略2數(shù)據(jù)安全銷(xiāo)毀2明確的桌面政策2防止信息泄露規(guī)則2數(shù)據(jù)保留規(guī)則?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有18運(yùn)營(yíng)風(fēng)險(xiǎn)管理：運(yùn)營(yíng)風(fēng)險(xiǎn)管理從業(yè)務(wù)視角提供了風(fēng)險(xiǎn)評(píng)估的整體視角，使用風(fēng)險(xiǎn)管理框架可以洞察組織面臨的風(fēng)險(xiǎn)和威脅?？蚣軐⑨槍?duì)組織面臨的不同風(fēng)險(xiǎn)提供風(fēng)險(xiǎn)評(píng)估，管理和控制方法。應(yīng)該設(shè)立運(yùn)營(yíng)風(fēng)險(xiǎn)委員會(huì)(ORC)定期討論組織長(zhǎng)期面臨的威脅和合規(guī)情況。通常，該委員會(huì)參與者按照業(yè)務(wù)人員(即CEO，COO，CIO，CFO)，合規(guī)人員(CRO，合規(guī)官員)和控制人員(審計(jì)，安全和風(fēng)險(xiǎn)管理)分組。業(yè)務(wù)影響評(píng)估方法的使用將有助于組織確定對(duì)組織至關(guān)重要的流程，并制定相應(yīng)的保護(hù)計(jì)劃，確保適當(dāng)?shù)倪B續(xù)性計(jì)劃，并通過(guò)關(guān)鍵風(fēng)險(xiǎn)指標(biāo)衡量相關(guān)風(fēng)險(xiǎn)。可以通過(guò)風(fēng)險(xiǎn)記分卡定期監(jiān)控關(guān)鍵風(fēng)險(xiǎn)指標(biāo)，整合來(lái)自安全監(jiān)控服務(wù)的信息或信息服務(wù)領(lǐng)域的綜合信息。相關(guān)組件：2運(yùn)營(yíng)風(fēng)險(xiǎn)委員會(huì)2危機(jī)管理2業(yè)務(wù)影響分析2關(guān)鍵風(fēng)險(xiǎn)指標(biāo)2業(yè)務(wù)連續(xù)性3規(guī)劃3測(cè)試2風(fēng)險(xiǎn)管理框架3業(yè)務(wù)評(píng)估3技術(shù)評(píng)估2獨(dú)立風(fēng)險(xiǎn)管理人力資源安全：如果缺乏針對(duì)人員這一最核心資產(chǎn)的正式控制措施、安全意識(shí)和指導(dǎo)方針，組織可能會(huì)經(jīng)常發(fā)生安全事故和違規(guī)行為。本節(jié)旨在確保組織制定正式程序，行為準(zhǔn)則，人員篩選和其他最佳實(shí)踐，采用了第三方云計(jì)算服務(wù)的組織更是如此。相關(guān)組件：2人員離職2就業(yè)協(xié)議2背景審查?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有192職位描述2角色和責(zé)任2員工意識(shí)2員工行為準(zhǔn)則安全監(jiān)控服務(wù)：安全和可用性監(jiān)控服務(wù)隸屬于業(yè)務(wù)運(yùn)營(yíng)和支持服務(wù)，其核心任務(wù)是確保業(yè)務(wù)安全而不是聚焦于事件或硬件。通常的錯(cuò)誤做法是未將安全功能聚焦于在流程背后的業(yè)務(wù)操作、活動(dòng)和人員行為上。安全監(jiān)控服務(wù)的目標(biāo)應(yīng)從傳統(tǒng)的基礎(chǔ)架構(gòu)監(jiān)控轉(zhuǎn)變?yōu)橐詷I(yè)務(wù)運(yùn)營(yíng)為中心，專(zhuān)注于欺詐防范，與業(yè)務(wù)戰(zhàn)略保持一致，關(guān)注業(yè)務(wù)影響和運(yùn)營(yíng)需求。組織通常只將監(jiān)控活動(dòng)聚焦在響應(yīng)模式上，失去了成為業(yè)務(wù)合作伙伴的機(jī)會(huì)。通過(guò)使用監(jiān)控服務(wù)，收集有關(guān)員工行為知識(shí)，企業(yè)可以獲得流程改進(jìn)的新契機(jī)。相比其他員工，有些員工比其他人更容易接觸到許多機(jī)構(gòu)最關(guān)鍵的信息，例如客戶數(shù)據(jù)，信用卡信息等。如果安全監(jiān)控服務(wù)側(cè)重于這些用戶及其行為，則可以防止?jié)撛诘钠墼p活動(dòng)。隨著監(jiān)控服務(wù)開(kāi)始變得不那么被動(dòng)，而是更主動(dòng)化，安全監(jiān)控服務(wù)的重點(diǎn)將從內(nèi)部威脅轉(zhuǎn)向外部威脅。該架構(gòu)概述了基于網(wǎng)絡(luò)情報(bào)的多種能力，旨在防止威脅演變?yōu)榘踩录Ｏ嚓P(guān)組件：2SIEM平臺(tái)2事件挖掘2數(shù)據(jù)庫(kù)監(jiān)測(cè)2應(yīng)用程序監(jiān)控2蜜罐2端點(diǎn)監(jiān)測(cè)2事件相關(guān)性2云監(jiān)控2電子郵件日志2SOC門(mén)戶2反威脅管理2市場(chǎng)威脅情報(bào)2安全服務(wù)托管?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有202知識(shí)庫(kù)2品牌保護(hù)2反釣魚(yú)2實(shí)時(shí)互聯(lián)網(wǎng)工作防御(SCAP)2用戶行為和側(cè)寫(xiě)描述法律服務(wù)：隨著安全事件的發(fā)生，法律顧問(wèn)對(duì)組織至關(guān)重要。法律顧問(wèn)可指導(dǎo)合規(guī)工作/訴訟處理，以及跟蹤和提升組織的法律風(fēng)險(xiǎn)防范意識(shí)。本節(jié)還包括和詳述了有助于提高、跟蹤和管理合規(guī)性的功能。相關(guān)組件：2合同2電子取證2事件響應(yīng)的法律準(zhǔn)備內(nèi)部調(diào)查：內(nèi)部調(diào)查的作用因組織而異；一些公司讓信息安全團(tuán)隊(duì)執(zhí)行取證活動(dòng)，而更成熟的公司可能會(huì)有一個(gè)專(zhuān)注于內(nèi)部和/或外部欺詐活動(dòng)的專(zhuān)門(mén)團(tuán)隊(duì)。為了更好地協(xié)助調(diào)查人員，這些團(tuán)隊(duì)的能力以幫助開(kāi)展安全事件響應(yīng)、網(wǎng)絡(luò)情報(bào)分析、遵守法律、安全監(jiān)控、人力資源和信息安全團(tuán)隊(duì)管理等為導(dǎo)向。相關(guān)組件：2取證分析2電子郵件日志與其他域的關(guān)系業(yè)務(wù)運(yùn)營(yíng)支持服務(wù)定義了IT運(yùn)營(yíng)支持服務(wù)、演示服務(wù)、應(yīng)用程序服務(wù)、信息服務(wù)、基礎(chǔ)設(shè)施服務(wù)以及安全和風(fēng)險(xiǎn)管理所要支持的高級(jí)戰(zhàn)略要求。BOSS體現(xiàn)了云消費(fèi)者的業(yè)務(wù)方向和目標(biāo)。BOSS體現(xiàn)在合規(guī)目標(biāo)、法律目標(biāo)、人力資源要求、運(yùn)營(yíng)風(fēng)險(xiǎn)容忍度和安全監(jiān)控服務(wù)中，這些服務(wù)是滿足客戶的服務(wù)級(jí)別目標(biāo)和司法管轄權(quán)法定要求所必需的。BOSS域致力于使ITOS和SRM域與業(yè)務(wù)所需的戰(zhàn)略、能力和風(fēng)險(xiǎn)組合保持一致。?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有21信息技術(shù)運(yùn)營(yíng)與支持(ITOS)ITIT管理過(guò)程ITOS就是IT部門(mén)。它是發(fā)現(xiàn)問(wèn)題時(shí)接聽(tīng)電話的服務(wù)臺(tái)；是在半夜里協(xié)調(diào)變更并推進(jìn)實(shí)施的團(tuán)隊(duì)；是即便是在災(zāi)難事件發(fā)生時(shí)仍保持系統(tǒng)繼續(xù)運(yùn)行的規(guī)劃與流程。描述ITOS概述了IT組織支持業(yè)務(wù)需求時(shí)所需的全部必要服務(wù)。該領(lǐng)域提供了與行業(yè)標(biāo)準(zhǔn)和最佳實(shí)踐的對(duì)標(biāo)(PMBOK、CMMI、ISO/IEC27002、COBIT和ITILv3)，從兩個(gè)主要角度提供參考，使組織能夠支持業(yè)務(wù)需求。然而，技術(shù)組件之間的關(guān)系并不是與PMBOK、ISO/IEC27002、CMMI、COBIT和ITILv3中描述的流程接觸點(diǎn)一一對(duì)應(yīng)。1IT運(yùn)營(yíng)IT運(yùn)營(yíng)定義了IT組織的組織結(jié)構(gòu)和技能要求，以及一組標(biāo)準(zhǔn)的運(yùn)營(yíng)管理程序和實(shí)踐，允許組織管理IT運(yùn)營(yíng)及相關(guān)的基礎(chǔ)設(shè)施。IT運(yùn)營(yíng)能力的目標(biāo)是對(duì)齊業(yè)務(wù)和IT戰(zhàn)略、項(xiàng)目和技術(shù)組合管理，并需要確保貫穿IT體系的架構(gòu)治理。2災(zāi)難恢復(fù)計(jì)劃(DRP)該文檔定義了在業(yè)務(wù)中斷時(shí)管理業(yè)務(wù)恢復(fù)流程所需的資源、操作、任務(wù)和數(shù)據(jù)。該計(jì)劃用于在指定的災(zāi)難中，幫助恢復(fù)目標(biāo)及業(yè)務(wù)。3計(jì)劃管理確保DRP持續(xù)獲得更新以反映業(yè)務(wù)及關(guān)鍵功能變更的整體流程。4測(cè)試管理管理對(duì)DRP進(jìn)行定期測(cè)試及后續(xù)審視的整個(gè)流程。2IT治理本能力涵蓋了以確立決策權(quán)和責(zé)任框架為導(dǎo)向的所有流程和組件，并鼓勵(lì)I(lǐng)T服務(wù)生命周期中的良好行為。3架構(gòu)治理一組工具，可用于開(kāi)發(fā)廣泛不同的架構(gòu)透視圖，通常集成為一個(gè)通用的架構(gòu)框架。治理流程必須包括以下元素:?描述一種方法，用一組構(gòu)建模塊定義信息系統(tǒng)?展示構(gòu)建模塊是如何組合在一起的?標(biāo)準(zhǔn)列表的技術(shù)路線圖?包含一組工具，并執(zhí)行一份技術(shù)標(biāo)準(zhǔn)清單?提供通用詞匯確?，F(xiàn)有解決方案和新IT服務(wù)與框架保持一致的治理流程。3標(biāo)準(zhǔn)與指南此能力是對(duì)架構(gòu)治理的補(bǔ)充，概述了所有的技術(shù)標(biāo)準(zhǔn)，以及關(guān)于如何在整個(gè)組織中使用它們的指南。這些標(biāo)準(zhǔn)應(yīng)包括與組織的戰(zhàn)略、行業(yè)?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有22標(biāo)準(zhǔn)、原則、可在整個(gè)組織中重復(fù)使用的模式保持一致，以及確保一致實(shí)施和采用所需的其他要素。2資源管理資源管理功能能夠處理將資源準(zhǔn)確分配給IT服務(wù)交付功能的問(wèn)題。它被認(rèn)為是與項(xiàng)目管理分離的共享服務(wù)，因?yàn)橄嗤哪Ｊ娇梢詰?yīng)用于解決操作、生產(chǎn)和緊急資源分配問(wèn)題。資源管理包括了協(xié)助資源集中、預(yù)測(cè)和平衡的技術(shù)。其他資源管理功能則與人力資源管理解決方案的關(guān)系更為密切。該服務(wù)為BOSS領(lǐng)域的成本計(jì)算、預(yù)測(cè)和計(jì)劃活動(dòng)提供了有價(jià)值的輸入。3職責(zé)分離職責(zé)分離(SoD)是指一項(xiàng)任務(wù)需要一人以上完成，防止欺詐和錯(cuò)誤。3分包商為組織提供服務(wù)的合同所綁定的所有第三方雖然不被視為員工，但可以訪問(wèn)整個(gè)公司的各種資源和數(shù)據(jù)。本能力的目的是管理這些分包商，以及和人員進(jìn)場(chǎng)及釋放相關(guān)的流程。2項(xiàng)目管理辦公室(PMO)項(xiàng)目管理辦公室(PMO)是定義和維護(hù)流程標(biāo)準(zhǔn)的部門(mén)或團(tuán)體，通常與組織內(nèi)的項(xiàng)目管理有關(guān)。項(xiàng)目管理辦公室致力于在項(xiàng)目執(zhí)行的流程中引進(jìn)“重復(fù)經(jīng)濟(jì)”并使其標(biāo)準(zhǔn)化。PMO是項(xiàng)目管理與執(zhí)行實(shí)踐相關(guān)文檔、指南、度量指標(biāo)的來(lái)源。在一些組織中，它被稱(chēng)為項(xiàng)目集管理辦公室)。3項(xiàng)目集管理項(xiàng)目集管理在事件開(kāi)始整個(gè)周期之后通過(guò)修復(fù)流程處理事件。項(xiàng)目集管理架構(gòu)與服務(wù)臺(tái)交互。項(xiàng)目集管理提供了高級(jí)的根本原因分析工具和技術(shù)，以及與信息存儲(chǔ)庫(kù)的接口，以在環(huán)境中執(zhí)行趨勢(shì)分析和預(yù)防服務(wù)。3項(xiàng)目管理與項(xiàng)目管理辦公室相關(guān)的所有流程、制品和方法，用于跟蹤項(xiàng)目(最佳實(shí)踐包括PMI知識(shí)體系等)。3修復(fù)這個(gè)能力側(cè)重于修復(fù)對(duì)企業(yè)造成影響的現(xiàn)有差距或問(wèn)題的項(xiàng)目。建議使用修復(fù)儀表盤(pán)跟蹤高級(jí)管理層的進(jìn)度。2項(xiàng)目組合管理本能力專(zhuān)注于為企業(yè)規(guī)劃、跟蹤、優(yōu)先考慮當(dāng)前和未來(lái)的項(xiàng)目和計(jì)劃。3成熟度模型比較行業(yè)最佳水平，跟蹤企業(yè)的能力實(shí)踐、基準(zhǔn)和成熟度，并顯示一段時(shí)間后的進(jìn)展。3路線圖在技術(shù)組合(包括安全路線圖)中變更能力及解決方案的戰(zhàn)略方向和計(jì)劃，以實(shí)現(xiàn)期望的未來(lái)狀態(tài)(例如，持續(xù)創(chuàng)新、能力集成等)。這個(gè)流程必須與業(yè)務(wù)策略保持一致。3戰(zhàn)略匹配以流程為導(dǎo)向理解業(yè)務(wù)需求和戰(zhàn)略，并確保信息技術(shù)和安全與風(fēng)險(xiǎn)管理戰(zhàn)略一致，以支持路線圖中的目標(biāo)。1服務(wù)交付服務(wù)交付功能處理對(duì)維持不間斷技術(shù)服務(wù)至關(guān)重要的技術(shù)。這類(lèi)服務(wù)通常包括更適合技術(shù)人員使用的服務(wù)，如可用性管理、服務(wù)級(jí)別管理、服務(wù)連續(xù)性和容量管理。?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有23然而，盡管這些類(lèi)別本身就足以滿足ITIL服務(wù)管理指南，還有一些其他的IT規(guī)程是與服務(wù)支持和交付緊密結(jié)合的，例如項(xiàng)目管理和服務(wù)供應(yīng)。服務(wù)交付主要關(guān)注業(yè)務(wù)需要信息技術(shù)提供的主動(dòng)和前瞻性的服務(wù)，以向業(yè)務(wù)用戶提供充分的支持。它關(guān)注的是作為IT服務(wù)客戶的業(yè)務(wù)。(該規(guī)程由以下流程組成，在下面的小節(jié)中進(jìn)行解釋。)2服務(wù)級(jí)別管理本功能負(fù)責(zé)確保所提供服務(wù)水平與合同義務(wù)持續(xù)地保持一致?？啥攘康哪繕?biāo)，用于對(duì)照服務(wù)級(jí)別協(xié)議來(lái)對(duì)服務(wù)及交付的績(jī)效表現(xiàn)進(jìn)行評(píng)估。3內(nèi)部服務(wù)級(jí)別協(xié)議(SLAs)組織內(nèi)部的服務(wù)級(jí)別協(xié)議，對(duì)要交付的特定服務(wù)及對(duì)交付進(jìn)行治理的績(jī)效標(biāo)準(zhǔn)進(jìn)行規(guī)定。3運(yùn)營(yíng)級(jí)別協(xié)議必須定義運(yùn)營(yíng)級(jí)別協(xié)議，以支持區(qū)域或組織之間的服務(wù)級(jí)別協(xié)議(SLA)。此能力致力于從操作角度跟蹤與特定SLA相關(guān)流程之間的有效集成。3外部服務(wù)級(jí)別協(xié)議(SLAs)與外部實(shí)體的服務(wù)級(jí)別協(xié)議，規(guī)定要交付的特定服務(wù)及對(duì)交付進(jìn)行治理的績(jī)效標(biāo)準(zhǔn)。3供應(yīng)商管理本能力對(duì)管理供應(yīng)商關(guān)系的流程進(jìn)行治理，相關(guān)流程包括選擇、審查、評(píng)估、安全和合規(guī)。通常，這些流程還包括風(fēng)險(xiǎn)評(píng)估，以及對(duì)供應(yīng)商可以訪問(wèn)、處理、托管或查看的數(shù)據(jù)類(lèi)型(考慮到他們?cè)陲L(fēng)險(xiǎn)剖面)、財(cái)務(wù)及其他領(lǐng)域的成熟度)和連接類(lèi)型進(jìn)行評(píng)級(jí)。3服務(wù)儀表盤(pán)所有SLA、OLA和合同都應(yīng)該關(guān)聯(lián)并定義關(guān)鍵績(jī)效指標(biāo)、關(guān)鍵目標(biāo)指標(biāo)和關(guān)鍵風(fēng)險(xiǎn)指標(biāo)，必須定期跟蹤這些指標(biāo)以管理這些協(xié)議。服務(wù)儀表盤(pán)應(yīng)該提供這些測(cè)量指標(biāo)以助決策。2信息技術(shù)韌性信息技術(shù)實(shí)體及其服務(wù)在發(fā)生意外事件(如電源中斷、網(wǎng)絡(luò)連接中斷等)時(shí)能夠持續(xù)提供充分服務(wù)的屬性。3可用性管理管理(內(nèi)部和外部)用戶的服務(wù)可用性的總體流程。3韌性分析本流程評(píng)估組織在發(fā)生各種事件(如斷電、網(wǎng)絡(luò)連接中斷等)的情況下繼續(xù)提供服務(wù)的能力。3容量規(guī)劃容量規(guī)劃確保資源和工作負(fù)載在當(dāng)前和未來(lái)均是相稱(chēng)的。2應(yīng)用程序性能監(jiān)控當(dāng)應(yīng)用程序性能度量結(jié)果(例如響應(yīng)時(shí)間)超過(guò)服務(wù)水平目標(biāo)時(shí)，提供告警、增量資源供應(yīng)等功能。2資產(chǎn)管理本部分管理由信息技術(shù)組織提供的配置項(xiàng)和服務(wù)的所有財(cái)務(wù)狀況。3服務(wù)成本計(jì)算該內(nèi)部職能分析交付某一特定服務(wù)的應(yīng)計(jì)總成本，使收入(無(wú)論是外部或內(nèi)部的收款)足以支持交付該項(xiàng)服務(wù)。3運(yùn)營(yíng)預(yù)算編制用于確定日常投資的規(guī)劃流程，例如對(duì)現(xiàn)有服務(wù)、基礎(chǔ)設(shè)施、應(yīng)用程序，以及允許組織運(yùn)行的其他相關(guān)因素的維護(hù)。通常來(lái)說(shuō)，成本分?jǐn)偭鞒逃糜谠谥械酱笮徒M織中分配這些成本。?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有243成本分?jǐn)偞肆鞒坦芾斫M織內(nèi)某個(gè)區(qū)域或用戶的IT服務(wù)消耗，并計(jì)算這些服務(wù)的相關(guān)成本，包括人員、技術(shù)和支持材料。該流程確保對(duì)總體擁有成本和每項(xiàng)服務(wù)的成本(即桌面支持、網(wǎng)絡(luò)服務(wù)、安全服務(wù)等)有清晰的了解。3投資預(yù)算該計(jì)劃流程用于確定組織的長(zhǎng)期投資(如新的基礎(chǔ)設(shè)施、現(xiàn)有服務(wù)和基礎(chǔ)設(shè)施的更換)新數(shù)據(jù)中心、新產(chǎn)品或服務(wù)、研究、應(yīng)用程序開(kāi)發(fā)、安全性和項(xiàng)目部署是否值得投入。通常，成本效益分析是投資預(yù)算流程的一部分。1服務(wù)支持服務(wù)支持的重點(diǎn)是信息技術(shù)服務(wù)的用戶，主要是確保他們能夠訪問(wèn)適當(dāng)?shù)姆?wù)以支持業(yè)務(wù)功能。對(duì)于業(yè)務(wù)、客戶和用戶來(lái)說(shuō)，這是服務(wù)請(qǐng)求的入口點(diǎn)。他們通過(guò)以下方式參與服務(wù)支持：?要求變更?需要溝通、更新?有困難、疑問(wèn)。服務(wù)臺(tái)是客戶記錄問(wèn)題的唯一聯(lián)絡(luò)點(diǎn)。如果有直接解決方案或會(huì)造成事故，服務(wù)臺(tái)將嘗試解決問(wèn)題。事件啟動(dòng)了一系列流程：事件管理、問(wèn)題管理、變更管理、發(fā)布管理和配置管理(有關(guān)詳細(xì)信息，請(qǐng)參閱以下部分)。使用配置管理數(shù)據(jù)庫(kù)(CMDB)跟蹤此流程鏈，該數(shù)據(jù)庫(kù)記錄每個(gè)流程，并創(chuàng)建輸出文檔以跟蹤(質(zhì)量管理)。2配置管理配置管理架構(gòu)很容易被認(rèn)為是服務(wù)交付的“主干”。配置管理架構(gòu)提供基本技術(shù)支持用于自動(dòng)發(fā)現(xiàn)資產(chǎn)、許可證管理、邏輯庫(kù)存、物理庫(kù)存、電子軟件分發(fā)和軟件配置。配置管理嚴(yán)重依賴(lài)于稱(chēng)為配置管理數(shù)據(jù)庫(kù)(CMDB)的信息架構(gòu)組件，這是一個(gè)ITIL術(shù)語(yǔ)，是所有配置項(xiàng)的本源。就CMDB而言，比配置項(xiàng)存儲(chǔ)庫(kù)(CI)更重要的是定義配置項(xiàng)的技術(shù)關(guān)系索引或技術(shù)元數(shù)據(jù)的概念每個(gè)項(xiàng)目之間的關(guān)系。CI之間存在著多對(duì)多的邏輯關(guān)系，如軟件應(yīng)用程序支持服務(wù)的物理合同。3容量規(guī)劃確保提供服務(wù)的容量(CPU功率、網(wǎng)絡(luò)帶寬等)持續(xù)符合該服務(wù)需求的流程。3軟件管理應(yīng)用管理活動(dòng)規(guī)劃、協(xié)調(diào)、測(cè)量、監(jiān)控、控制和報(bào)告，確保軟件的開(kāi)發(fā)和維護(hù)是系統(tǒng)化、規(guī)范化和量化的。這包括在不同的時(shí)間點(diǎn)進(jìn)行測(cè)量，系統(tǒng)地控制配置的變更，并在整個(gè)系統(tǒng)生命周期內(nèi)保持配置的完整性和可追溯性。3物理資產(chǎn)此流程跟蹤整個(gè)信息技術(shù)組織的所有物理組件，還跟蹤這些資產(chǎn)的所有權(quán)和保管權(quán)。3自動(dòng)資產(chǎn)發(fā)現(xiàn)此功能允許配置管理流程識(shí)別整個(gè)基礎(chǔ)架構(gòu)中的新資產(chǎn)和不斷變更的資產(chǎn)，并維護(hù)現(xiàn)有的配置項(xiàng)清單。通常，必須有一個(gè)流程正式確定這些新資產(chǎn)的所有權(quán)。3配置管理配置管理用于管理資產(chǎn)(服務(wù)器、存儲(chǔ)陣列、網(wǎng)絡(luò)設(shè)備等)配置的流程和步驟，確保部署的配置符合策略、標(biāo)準(zhǔn)和指導(dǎo)方針的規(guī)定。?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有252知識(shí)管理通常情況下，隨著事件的解決和根本原因分析，大量的知識(shí)可能會(huì)丟失，當(dāng)其中一些事件在一段時(shí)間內(nèi)再次出現(xiàn)時(shí)，就會(huì)導(dǎo)致延遲。知識(shí)管理流程積累了有關(guān)事件如何解決或根本原因修復(fù)的信息，一旦收集到這些信息，這些信息就會(huì)轉(zhuǎn)化為常見(jiàn)問(wèn)題或自助服務(wù)功能，用戶和技術(shù)支持社區(qū)可以重用這些功能解決IT服務(wù)的問(wèn)題。3最佳實(shí)踐制定并遵循多個(gè)組織以高效方式執(zhí)行的標(biāo)準(zhǔn)方式的流程，該流程包括方法、技術(shù)或框架，這些方法、技術(shù)或框架始終顯示出優(yōu)于通過(guò)其他方式實(shí)現(xiàn)的結(jié)果，并用作基準(zhǔn)。隨著改進(jìn)的發(fā)現(xiàn)(使用經(jīng)驗(yàn)教訓(xùn)等機(jī)制)，這些實(shí)踐可以演變成更好的方法。這種能力旨在作為強(qiáng)制性立法標(biāo)準(zhǔn)的替代品保持交付質(zhì)量，并可以以自我評(píng)估或基準(zhǔn)為基礎(chǔ)。3趨勢(shì)分析從項(xiàng)目咨詢、政策問(wèn)題、最終用戶培訓(xùn)反饋等方面分析安全方面的幫助請(qǐng)求，識(shí)別常見(jiàn)問(wèn)題和知識(shí)庫(kù)所需文檔的新領(lǐng)域。3基線管理確定給定的實(shí)踐領(lǐng)域中的領(lǐng)導(dǎo)者，并將組織的實(shí)踐與領(lǐng)導(dǎo)者和其他組織比較的流程。這有助于組織了解他們?cè)谥R(shí)、能力和能力方面與行業(yè)內(nèi)其他組織的比較。3安全工作輔助由于安全標(biāo)準(zhǔn)和模式是在整個(gè)組織中創(chuàng)建的，因此應(yīng)該包括可以幫助員工以一致的方式遵守法規(guī)要求或安全標(biāo)準(zhǔn)的指導(dǎo)方針和流程。3安全常見(jiàn)問(wèn)題知識(shí)管理流程的成果之一是為員工經(jīng)常提出的問(wèn)題建立標(biāo)準(zhǔn)和一致的答案。此流程記錄了與信息安全和合規(guī)性相關(guān)的問(wèn)題。2變更管理變更是一種主要的模式，充當(dāng)請(qǐng)求、發(fā)布和配置/供應(yīng)之間的中介。變更管理允許范圍管理、影響分析以及變更計(jì)劃。變更管理從數(shù)據(jù)維護(hù)的角度為配置管理提供了一個(gè)主要輸入，使應(yīng)用程序數(shù)據(jù)保持最新。3服務(wù)供應(yīng)實(shí)現(xiàn)新配置項(xiàng)或變更現(xiàn)有配置項(xiàng)的流程。3審批工作流審查所請(qǐng)求變更的流程，確保適當(dāng)性，并從必要的審查人員處獲得繼續(xù)授權(quán)。3變更顧問(wèn)委員會(huì)(CAB)一個(gè)跨職能團(tuán)隊(duì)，負(fù)責(zé)確保仔細(xì)考慮和審查環(huán)境的所有變更，盡量減少對(duì)用戶和現(xiàn)有服務(wù)的影響。3計(jì)劃變更計(jì)劃變更是指在需要實(shí)施之前很早就確定的變更。這些變更經(jīng)過(guò)仔細(xì)考慮并充分記錄。4項(xiàng)目變更由項(xiàng)目產(chǎn)生的計(jì)劃變更。項(xiàng)目變更是由于實(shí)施或業(yè)務(wù)需求的變更而發(fā)生的。4運(yùn)維變更由現(xiàn)有服務(wù)的持續(xù)維護(hù)活動(dòng)導(dǎo)致的計(jì)劃變更。3緊急變更為修復(fù)生產(chǎn)服務(wù)或應(yīng)用程序上的問(wèn)題而生成的變更。2事件管理事件管理的架構(gòu)模式包括故障查詢和事件分類(lèi)服務(wù)。事件管理與架構(gòu)的其他區(qū)域直接交互(如服務(wù)臺(tái))、間接交互(通過(guò)處理公共數(shù)據(jù))或異步交互(作為事件管理業(yè)務(wù)流程的一部分)。事件開(kāi)始于?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有26人類(lèi)的電話事件、環(huán)境中檢測(cè)到的錯(cuò)誤(通常是來(lái)自系統(tǒng)管或來(lái)自其他應(yīng)用程序的事件消息。3安全事件響應(yīng)對(duì)明確的安全事件作出響應(yīng)的流程和程序。3自動(dòng)生成工單根據(jù)事故系統(tǒng)自動(dòng)生成事件的能力。自服務(wù)此能力允許組織中的任何人報(bào)告事件并開(kāi)始事件管理流程。3工單創(chuàng)建事件記錄的流程，可在事件的整個(gè)生命周期中進(jìn)行跟蹤。這些事件應(yīng)由唯一標(biāo)識(shí)符引用。3跨云安全事件響應(yīng)跨云安全事件響應(yīng)由于云計(jì)算的普遍性，一個(gè)安全事件可能會(huì)在多個(gè)云實(shí)例中檢測(cè)到或影響到多個(gè)云實(shí)例。事件響應(yīng)計(jì)劃必須包括處理跨云安全事件的流程和步驟。2問(wèn)題管理問(wèn)題管理的目標(biāo)是通過(guò)分析問(wèn)題以防止其再次發(fā)生，從而將問(wèn)題對(duì)組織的影響降至最低。3事件分類(lèi)事故已經(jīng)發(fā)生或正在發(fā)生無(wú)法通過(guò)一個(gè)事件表示。事件分類(lèi)提供了分析和事件關(guān)聯(lián)的流程，提供事件發(fā)生的評(píng)估和置信度估計(jì)。3根因分析事件響應(yīng)的重要組成部分，超越了事件的表面細(xì)節(jié)，確定事件的根本原因(例如，缺少的補(bǔ)丁可能會(huì)導(dǎo)致成功入侵，但根本原因分析可能會(huì)顯示，該易受攻擊的服務(wù)無(wú)論如何都不應(yīng)該運(yùn)行)。3趨勢(shì)分析作為根本原因分析的一部分，這一能力將使組織能夠識(shí)別某些事件或根本原因?qū)⒂绊懻麄€(gè)信息技術(shù)服務(wù)。應(yīng)始終跟蹤所有這些趨勢(shì)。也可以是評(píng)估資源使用的總體趨勢(shì)、事件發(fā)生情況等的持續(xù)流程。3問(wèn)題解決識(shí)別配置項(xiàng)的適當(dāng)變更和/或解決問(wèn)題根本原因所需的流程，最大限度地降低再次發(fā)生的可能性。3孤立事件管理對(duì)無(wú)人負(fù)責(zé)的事件的識(shí)別，以便使用適當(dāng)?shù)馁Y源解決問(wèn)題。3發(fā)布管理發(fā)布管理架構(gòu)是一組概念模式，支持將預(yù)生產(chǎn)技術(shù)資源轉(zhuǎn)移到生產(chǎn)中。預(yù)生產(chǎn)包括證明特定資源適用于技術(shù)、業(yè)務(wù)和運(yùn)營(yíng)環(huán)境，且不超過(guò)特定任務(wù)的風(fēng)險(xiǎn)狀況的所有活動(dòng)。重要的發(fā)布管理模式包括用于發(fā)布計(jì)劃、發(fā)布驗(yàn)收和審核的模式。發(fā)布管理作為流程和技術(shù)扮演著重要的角色，為請(qǐng)求、變更和配置管理流程和架構(gòu)提供了一個(gè)重要的控制點(diǎn)。3發(fā)布規(guī)劃作為發(fā)布管理的一部分，應(yīng)制定詳細(xì)的發(fā)布時(shí)間表及功能，以便將許多變更請(qǐng)求捆綁到單個(gè)變更日歷中。3測(cè)試測(cè)試與發(fā)布相關(guān)的所有變更的流程，確保它們滿足要求并且不會(huì)中斷現(xiàn)有服務(wù)。這是一個(gè)通過(guò)發(fā)布管理協(xié)調(diào)的質(zhì)量保證功能。3構(gòu)建將源代碼和配置編譯成一個(gè)或多個(gè)可部署單元并交給變更管理流程的流程。3版本控制跟蹤源代碼、配置項(xiàng)和文檔的所有變更并為這些變更分配版本標(biāo)識(shí)?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有27符的流程。3源代碼管理源代碼的版本控制形式，允許對(duì)軟件進(jìn)行版本控制，將軟件分為不同的版本，并控制對(duì)軟件的訪問(wèn)。示例一名員工收到一封可疑電子郵件，她認(rèn)為其中可能包含惡意軟件程序。員工通知服務(wù)臺(tái)。服務(wù)臺(tái)會(huì)開(kāi)啟一個(gè)安全事件，響應(yīng)團(tuán)隊(duì)會(huì)阻止發(fā)件人，識(shí)別其他受影響的用戶，并恢復(fù)可能已經(jīng)造成的任何損壞。提供的服務(wù)IT運(yùn)營(yíng)：IT運(yùn)營(yíng)定義IT組織的組織結(jié)構(gòu)、技能要求以及標(biāo)準(zhǔn)運(yùn)營(yíng)管理程序和實(shí)踐，以允許組織管理IT運(yùn)營(yíng)和相關(guān)基礎(chǔ)設(shè)施。IT操作功能是面向業(yè)務(wù)和IT戰(zhàn)略的。項(xiàng)目和技術(shù)組合的管理確保了整個(gè)IT領(lǐng)域的架構(gòu)治理。相關(guān)組件:2災(zāi)難恢復(fù)計(jì)劃(DRP)3規(guī)劃管理3測(cè)試管理2IT治理3架構(gòu)治理3標(biāo)準(zhǔn)與指南2資源管理3職責(zé)分離(SoD)3外包商2項(xiàng)目管理辦公室(PMO)3項(xiàng)目群管理3項(xiàng)目管理3流程管理3修復(fù)措施2項(xiàng)目組合管理?2022?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有3成熟度模型3路線圖3戰(zhàn)略調(diào)整服務(wù)交付：服務(wù)交付涉及維持不間斷技術(shù)服務(wù)的關(guān)鍵技術(shù)。這類(lèi)服務(wù)通常包括如：可用性管理、服務(wù)級(jí)別管理、服務(wù)連續(xù)性和容量管理等更適合技術(shù)人員使用的服務(wù)。盡管這些服務(wù)類(lèi)別本身就足以滿足ITIL服務(wù)管理指導(dǎo)方針，也常于其他幾個(gè)IT支持和交付服務(wù)緊密結(jié)合，例如，項(xiàng)目管理、服務(wù)準(zhǔn)備和項(xiàng)目組合管理。服務(wù)交付主要關(guān)注業(yè)務(wù)需要信息技術(shù)提供的主動(dòng)和前瞻性服務(wù)，向業(yè)務(wù)用戶提供充分的支持。它關(guān)注的是作為IT服務(wù)客戶的業(yè)務(wù)。相關(guān)組件:2服務(wù)水平管理(SLM)標(biāo)3內(nèi)部SLA3運(yùn)營(yíng)級(jí)別協(xié)議OLAs3外部SLA3供應(yīng)商管理3服務(wù)儀表盤(pán)2信息技術(shù)彈性3可用性管理3彈性分析3容量規(guī)劃2應(yīng)用性能監(jiān)控2資產(chǎn)管理3服務(wù)成本3運(yùn)營(yíng)預(yù)算3資源成本分?jǐn)?投資預(yù)算服務(wù)支持:服務(wù)支持以用戶為中心，主要關(guān)注確保用戶能夠訪問(wèn)適當(dāng)?shù)姆?wù)支持業(yè)務(wù)功能。?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有對(duì)于業(yè)務(wù)客戶和用戶，服務(wù)支持是服務(wù)請(qǐng)求的入口點(diǎn)。用戶通過(guò)以下方式參與服務(wù)支持:需求變更溝通、升級(jí)請(qǐng)求困難咨詢及答疑服務(wù)臺(tái)是客戶記錄問(wèn)題的唯一聯(lián)絡(luò)點(diǎn)。如果有直接的解決方案或自動(dòng)創(chuàng)建事件，服務(wù)臺(tái)將嘗試解決問(wèn)題。事件啟動(dòng)了一系列流程：事件管理、問(wèn)題管理、變更管理、發(fā)布管理和配置管理(有關(guān)詳細(xì)信息，請(qǐng)參閱下面的部分)。使用配置管理數(shù)據(jù)庫(kù)(CMDB)跟蹤這一流程鏈，該數(shù)據(jù)庫(kù)記錄每個(gè)流程并創(chuàng)建輸出文檔以供跟蹤(質(zhì)量管理)。。相關(guān)組件:2配置管理3容量規(guī)劃3軟件管理3物理庫(kù)存3自動(dòng)化資產(chǎn)發(fā)現(xiàn)3配置管理事件管理:事件管理的架構(gòu)模式包括故障記錄和事件分類(lèi)服務(wù)。事件管理與架構(gòu)的其他領(lǐng)域交互。形式很多樣，可以是直接的，如：服務(wù)臺(tái)；或間接的，如：通過(guò)操作公共數(shù)據(jù)進(jìn)行；也可以是異步的，如：將事件管理作為業(yè)務(wù)流程的一部分，事件其生命周期的開(kāi)始方式一般被動(dòng)觸發(fā)，或來(lái)自人工的電話事件、環(huán)境中檢測(cè)到的錯(cuò)誤(通常是由于來(lái)自系統(tǒng)管理域的事件相關(guān)性)，或通過(guò)另一個(gè)應(yīng)用程序的事件消息傳遞。相關(guān)組件:3安全事件響應(yīng)3自動(dòng)化工單3自助服務(wù)3工單流轉(zhuǎn)3跨云的安全事件響應(yīng)問(wèn)題管理:問(wèn)題管理在事件通過(guò)修復(fù)流程開(kāi)始循環(huán)后處理事件。問(wèn)題管理架構(gòu)與服務(wù)臺(tái)交互。問(wèn)題管理提供先進(jìn)的根本原因分析工具和技術(shù)，并與信息存儲(chǔ)庫(kù)接口以在環(huán)境中執(zhí)行趨勢(shì)和預(yù)防服。?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有30相關(guān)組件:33333事件分類(lèi)根本原因分析趨勢(shì)分析問(wèn)題解決方案孤立事件管理知識(shí)管理:通常，隨著事件得到解決并進(jìn)行根本原因分析，流程中大量知識(shí)可能會(huì)丟失。從而導(dǎo)致事件處理效率低下，甚至其中一些事件會(huì)隨著時(shí)間的推移再次出現(xiàn)。知識(shí)管理流程主要關(guān)注積累根本原因、解決方案等信息。一旦收集了這些知識(shí)，就轉(zhuǎn)換為用戶和技術(shù)支持社區(qū)可以復(fù)用的常見(jiàn)問(wèn)題或自助服務(wù)功能，解決常見(jiàn)的IT服務(wù)問(wèn)題。相關(guān)組件:3最佳實(shí)踐3趨勢(shì)分析3基線3安全輔助工具3安全常見(jiàn)問(wèn)答FAQ變更管理：變更管理是一個(gè)重要的模式，充當(dāng)請(qǐng)求、發(fā)布和配置/供應(yīng)之間的中介。變更管理允許范圍管理、影響分析以及變更的調(diào)度。變更管理從數(shù)據(jù)維護(hù)的角度提供了配置管理的主要輸入之一，保持應(yīng)用程序數(shù)據(jù)的最新。相關(guān)組件:3服務(wù)供應(yīng)3審批工作流3變更顧問(wèn)委員會(huì)(CAB)3計(jì)劃變更4項(xiàng)目變更4操作變更3緊急變更發(fā)布管理：發(fā)布管理架構(gòu)是一組概念模式，支持將預(yù)生產(chǎn)技術(shù)資源轉(zhuǎn)移到生產(chǎn)環(huán)境中。預(yù)生產(chǎn)1?2022?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有用以證明待發(fā)布資源的技術(shù)、業(yè)務(wù)和操作環(huán)境妥帖，且驗(yàn)證特定任務(wù)的所有活動(dòng)不會(huì)超出風(fēng)險(xiǎn)范圍。重要的發(fā)布管理模式包括發(fā)布計(jì)劃、發(fā)布驗(yàn)收和審批流程。發(fā)布管理在ITOS(流程和技術(shù)集)中扮演至關(guān)重要的角色，為請(qǐng)求、變更和配置管理流程和架構(gòu)提供了重要的控制點(diǎn)。相關(guān)組件:33333計(jì)劃測(cè)試構(gòu)建版本控制源代碼管理與其他領(lǐng)域的關(guān)系使用ITOS分析服務(wù)(如數(shù)據(jù)倉(cāng)庫(kù)、數(shù)據(jù)集市和通用操作數(shù)據(jù)存儲(chǔ))是實(shí)現(xiàn)有效業(yè)務(wù)操作服務(wù)的關(guān)鍵。ITOS支持業(yè)務(wù)運(yùn)營(yíng)支持服務(wù)，以保持業(yè)務(wù)和IT之間的戰(zhàn)略一致性。ITOS實(shí)現(xiàn)了表現(xiàn)、應(yīng)用、信息和基礎(chǔ)設(shè)施服務(wù)。技術(shù)解決方案服務(wù)(TSS)描述IT解決方案可以被認(rèn)為是一個(gè)技術(shù)棧：在頂層，實(shí)際上是用戶和協(xié)議棧以及應(yīng)用程序的互動(dòng)。協(xié)議棧和應(yīng)用程序接收到互動(dòng)之后，把數(shù)據(jù)傳輸?shù)降讓拥碾娔X和網(wǎng)絡(luò)，并在此進(jìn)行數(shù)據(jù)操作。四個(gè)技術(shù)解決方案領(lǐng)域(表現(xiàn)服務(wù)、應(yīng)用服務(wù)、信息服務(wù)和基礎(chǔ)設(shè)施服務(wù))基于用于構(gòu)建這些解決方案的標(biāo)準(zhǔn)多層架構(gòu)。展示層服務(wù)與與用戶互動(dòng)展示層是你去網(wǎng)上銀行時(shí)看到的網(wǎng)站。它是你打電話給航空公司預(yù)訂系統(tǒng)時(shí)電話里的聲音，或是你遠(yuǎn)程訂購(gòu)時(shí)的移動(dòng)平臺(tái)。展示層服務(wù)域是終端用戶與IT解決方案互動(dòng)的地方。展示層的安全要求將因用戶的類(lèi)型和所提?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有32供服務(wù)類(lèi)型而有所不同。例如，企業(yè)對(duì)消費(fèi)者(B2C)網(wǎng)站與社交媒體網(wǎng)站有不同的安全問(wèn)題。安全要求也將根據(jù)終端用戶使用的終端類(lèi)型而有所不同。展示層服務(wù)組件定義1展示模式展示模式服務(wù)關(guān)注的安全問(wèn)題因用戶和服務(wù)類(lèi)型差異而不同。有兩個(gè)主要類(lèi)型，一種是消費(fèi)者服務(wù)平臺(tái)，如社交媒體、協(xié)作、搜索、電子郵件和電子閱讀器；另一種是企業(yè)服務(wù)平臺(tái)，如企業(yè)對(duì)消費(fèi)者(B2C)、企業(yè)對(duì)雇員(B2E)、企業(yè)對(duì)企業(yè)(B2B)等。2消費(fèi)者服務(wù)平臺(tái)這個(gè)容器容納了各種面向消費(fèi)者而不是面向企業(yè)的展示模式。3社交媒體一種展示模式，這種模式下平臺(tái)將用戶聯(lián)系在一起，交換信息、照片等，以建立網(wǎng)絡(luò)，進(jìn)行一對(duì)一或小組溝通。3協(xié)作一種面向協(xié)同工作的展示模式(如項(xiàng)目協(xié)同工作或文檔協(xié)同工作)。協(xié)作應(yīng)用程序共享文件，允許多個(gè)編輯者編輯文檔，并經(jīng)常為其參與者提供日歷、任務(wù)跟蹤和信息傳遞。3搜索一種展示模式，允許用戶查詢單個(gè)網(wǎng)站或多個(gè)網(wǎng)站中與查詢條件有關(guān)的內(nèi)容。這種模式經(jīng)常被用作整個(gè)互聯(lián)網(wǎng)或網(wǎng)站內(nèi)導(dǎo)航的初始形式。3電子閱讀器一種模擬閱讀書(shū)籍或其他印刷材料的展示模式。3電子郵件能夠展示消息收件箱，并允許用戶發(fā)送新信息或?qū)⑴f信息整理到文件夾中的展示模式。通常情況下，電子郵件與日歷功能和聯(lián)系人管理功能結(jié)合。2企業(yè)服務(wù)平臺(tái)這個(gè)平臺(tái)面向企業(yè)用戶或者是企業(yè)的合作伙伴或者用戶。3B2E企業(yè)對(duì)雇員(B2E)應(yīng)用允許企業(yè)的雇員處理公司的業(yè)務(wù)。3B2M企業(yè)對(duì)移動(dòng)(B2M)應(yīng)用程序利用移動(dòng)設(shè)備，如智能手機(jī)，使客戶或員工能夠在任何地方、任何時(shí)間與企業(yè)的系統(tǒng)互動(dòng)。3B2B企業(yè)對(duì)企業(yè)(B2B)應(yīng)用允許企業(yè)批量交換常見(jiàn)的交易，例如采購(gòu)訂單、發(fā)票等。3B2C企業(yè)對(duì)消費(fèi)者(B2C)應(yīng)用是在線企業(yè)的一種形式，允許其客戶通過(guò)互聯(lián)網(wǎng)與企業(yè)開(kāi)展業(yè)務(wù)。3P2P點(diǎn)對(duì)點(diǎn)(P2P)應(yīng)用允許企業(yè)內(nèi)的用戶直接連接到對(duì)方，交換即時(shí)信息或文件。1展示層平臺(tái)展示層平臺(tái)服務(wù)的重點(diǎn)是不同類(lèi)型的終端，這些終端是最終用戶用來(lái)與與解決方案互動(dòng)的，如臺(tái)式機(jī)、移動(dòng)設(shè)備(智能手機(jī)、平板電腦)、便攜式設(shè)備(筆記本電腦)或特殊用途設(shè)備，如醫(yī)療設(shè)備或智能電器。演示平臺(tái)還包括不同的交互技術(shù)，如語(yǔ)音識(shí)別或手寫(xiě)識(shí)別，可用于與解決方案的交3??2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有2終端終端是用戶在使用IT解決方案時(shí)與之互動(dòng)的設(shè)備。它們之所以被稱(chēng)為終端，是因?yàn)樗鼈兲幱诮鉀Q方案的邊緣，是技術(shù)與人相遇的地方。3移動(dòng)設(shè)備移動(dòng)設(shè)備包括智能手機(jī)、PDA和平板電腦。4移動(dòng)設(shè)備管理移動(dòng)設(shè)備管理使企業(yè)能夠管理移動(dòng)終端的安全，類(lèi)似于管理臺(tái)式機(jī)的方式。安全功能包括鎖定或擦除被破壞的設(shè)備，向設(shè)備推送軟件更新，以及在允許設(shè)備連接到企業(yè)網(wǎng)絡(luò)之前要求啟用某些安全功能。3便攜式設(shè)備一類(lèi)設(shè)備，如筆記本電腦全功能或幾乎全功能的計(jì)算機(jī)，具有與臺(tái)式(固定)設(shè)備相同的操作系統(tǒng)。3固定設(shè)備不易移動(dòng)且只能從一個(gè)地方使用的裝置。3醫(yī)療設(shè)備本架構(gòu)內(nèi)容中提及的醫(yī)療設(shè)備指的是一種與網(wǎng)絡(luò)連接的設(shè)備或能夠下載數(shù)據(jù)的設(shè)備，以便與病人佩戴的設(shè)備(如監(jiān)測(cè)設(shè)備)進(jìn)行信息交流。3臺(tái)式電腦臺(tái)式機(jī)是典型的計(jì)算機(jī)，通常在桌上或桌下，包括CPU、顯示器、鍵盤(pán)、鼠標(biāo)和其他外圍設(shè)備。4公司所有的由企業(yè)購(gòu)買(mǎi)、擁有和管理，并發(fā)放給員工使用或由客戶租用的設(shè)備。4第三方第三方設(shè)備由一家企業(yè)擁有，提供給另一家企業(yè)使用。4公共信息亭公共信息亭是一種設(shè)備，通常是個(gè)人電腦，由多人在一個(gè)共享空間使用。3智能應(yīng)用主要不用于計(jì)算，但包括與網(wǎng)絡(luò)連接以提供其狀態(tài)的實(shí)時(shí)更新或被遠(yuǎn)程控制的設(shè)備。3安全沙箱在自定義代碼或第三方代碼與基礎(chǔ)系統(tǒng)之間提供信任關(guān)系抽象的隔離環(huán)境。允許應(yīng)用程序在一個(gè)不影響彼此或主機(jī)操作系統(tǒng)的環(huán)境中運(yùn)行，并允許企業(yè)擁有一個(gè)具有敏感數(shù)據(jù)的應(yīng)用程序的管理安全控制區(qū)域。1語(yǔ)音識(shí)別(IVR)語(yǔ)音識(shí)別可以將語(yǔ)音翻譯成計(jì)算機(jī)輸入。交互式語(yǔ)音應(yīng)答(IVR)系統(tǒng)提供了用戶與這個(gè)系統(tǒng)互動(dòng)的選擇菜單。1手寫(xiě)識(shí)別(ICR)手寫(xiě)識(shí)別或交互式字符識(shí)別(ICR)可以將手寫(xiě)文本翻譯成計(jì)算機(jī)輸入。移動(dòng)設(shè)備在本地存儲(chǔ)的數(shù)據(jù)有跟隨設(shè)備丟失的風(fēng)險(xiǎn)，而共享的公共信息亭則存在后續(xù)終端用戶訪問(wèn)先前用戶數(shù)據(jù)的風(fēng)險(xiǎn)。展示模式：展示模式服務(wù)側(cè)重于基于用戶和服務(wù)類(lèi)型不同的安全關(guān)注點(diǎn)。兩大主要類(lèi)型是消費(fèi)企業(yè)對(duì)員工(B2E)、企業(yè)對(duì)企業(yè)(B2B)等。?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有34關(guān)組件：2消費(fèi)者服務(wù)平臺(tái)3社交媒體3合作3搜索3電子閱讀器3電子郵件2企業(yè)服務(wù)平臺(tái)3企業(yè)對(duì)員工(B2E)3面向市場(chǎng)營(yíng)銷(xiāo)的電子商務(wù)企業(yè)(B2M)3企業(yè)對(duì)企業(yè)(B2B)3企業(yè)對(duì)消費(fèi)者(B2C)3點(diǎn)對(duì)點(diǎn)(P2P)演示平臺(tái)：演示平臺(tái)服務(wù)專(zhuān)注于最終用戶用來(lái)與解決方案交互的不同類(lèi)型的終端，例如臺(tái)式機(jī)、移動(dòng)設(shè)備(智能手機(jī)、平板電腦)、便攜式設(shè)備(筆記本電腦)或特殊用途設(shè)備(例如醫(yī)療設(shè)備或智能設(shè)備)。演示平臺(tái)還包括不同的交互技術(shù)，例如可用于與解決方案交互的語(yǔ)音識(shí)別或手寫(xiě)識(shí)別相關(guān)組件：2終端3移動(dòng)設(shè)備4移動(dòng)設(shè)備管理3便攜式設(shè)備3固定設(shè)備3醫(yī)療設(shè)備3桌面4公司所有4第三方4公共信息亭?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有353智能家電3安全沙箱1語(yǔ)音識(shí)別(IVR)1手寫(xiě)(ICR)演示服務(wù)利用安全和風(fēng)險(xiǎn)管理域?qū)ψ罱K用戶進(jìn)行身份驗(yàn)證和授權(quán)，保護(hù)端點(diǎn)設(shè)備上和傳輸?shù)綉?yīng)用程序服務(wù)域的數(shù)據(jù)，并保護(hù)端點(diǎn)設(shè)備本身免遭篡改、盜竊和惡意軟件。信息技術(shù)運(yùn)營(yíng)和支持域提供服務(wù)部署和變更終端設(shè)備，并管理最終用戶遇到的問(wèn)題和事件。業(yè)務(wù)運(yùn)營(yíng)支持服務(wù)為終端設(shè)備、為人力資源(HR)以及終端用戶對(duì)于技術(shù)解決方案的使用合規(guī)性戰(zhàn)略提供安全監(jiān)控。應(yīng)用服務(wù)業(yè)務(wù)邏輯的開(kāi)發(fā)與實(shí)現(xiàn)業(yè)務(wù)邏輯的開(kāi)發(fā)與實(shí)現(xiàn)將應(yīng)用程序服務(wù)視為開(kāi)發(fā)人員用來(lái)編寫(xiě)代碼的流程，以及代碼本身。應(yīng)用程序服務(wù)是用戶界面背后的規(guī)則和流程，用于為用戶操作數(shù)據(jù)和執(zhí)行事務(wù)。在網(wǎng)上銀行中，這可能是從用戶的帳戶中扣除付款金額并向收款人發(fā)送支票的賬單支付交易。除了IT解決方案的應(yīng)用程序服務(wù)外，應(yīng)用程序服務(wù)域還代表程序員在創(chuàng)建應(yīng)用程序時(shí)所經(jīng)歷的開(kāi)發(fā)流程。應(yīng)用服務(wù)組件定義1編程接口[應(yīng)用程序]編程接口(API)允許應(yīng)用程序或服務(wù)相互通信或允許應(yīng)用程序的各個(gè)部分相互通信。輸入驗(yàn)證對(duì)于這些接口很重要，確保只提供預(yù)期的輸入。缺乏這種驗(yàn)證可能會(huì)導(dǎo)致攻擊者將惡意代碼注入應(yīng)用程序或檢索比應(yīng)該訪問(wèn)的數(shù)據(jù)更多的數(shù)據(jù)，從而產(chǎn)生漏洞。2輸入驗(yàn)證輸入驗(yàn)證檢查用戶的輸入并確定哪些輸入是系統(tǒng)可接受的。此流程有助于提高數(shù)據(jù)質(zhì)量，并允許將惡意輸入注入系統(tǒng)。命周期為了構(gòu)建安全的應(yīng)用程序，開(kāi)發(fā)團(tuán)隊(duì)必須在開(kāi)發(fā)流程中及時(shí)了解最新的威脅和適當(dāng)?shù)膶?duì)策。當(dāng)開(kāi)發(fā)團(tuán)隊(duì)構(gòu)建多個(gè)應(yīng)用程序時(shí)，安全框架通常用于提供可重用的組件。設(shè)計(jì)模式是解決常見(jiàn)技術(shù)挑戰(zhàn)的藍(lán)圖和說(shuō)明。安全設(shè)計(jì)模式側(cè)重于身份驗(yàn)證、授?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有36式權(quán)、日志監(jiān)控、單點(diǎn)登錄等安全功能的設(shè)計(jì)。架應(yīng)用程序框架提供了一組充當(dāng)應(yīng)用程序基本起點(diǎn)的組件?？蚣苁箲?yīng)用程序開(kāi)發(fā)人員能夠跨多個(gè)應(yīng)用程序，并將工作重點(diǎn)放在應(yīng)用程序的特定業(yè)務(wù)需求上。安全應(yīng)用框架提供了擴(kuò)展特定應(yīng)用框架的安全組件。例如，ACEGI安全框架成為Spring框架的正式組成部分，用于使用Java構(gòu)建Web應(yīng)用程序。2代碼示例代碼示例提供了向程序員演示如何編寫(xiě)特定算法的代碼片段。出于安全編碼目的，示例可能包括編寫(xiě)不易受到SQL注入影響的數(shù)據(jù)庫(kù)查詢。2攻擊模式攻擊模式是對(duì)惡意方使用的常見(jiàn)攻擊的描述，程序員必須注意防御OpenWebApplicationSecurityProject(OWASP)Top10SecurityRisks描述的用于利用Web應(yīng)用程序的前10種攻擊模式。1集成中間件集成中間件是一組工具，如服務(wù)總線和消息隊(duì)列，允許應(yīng)用程序在不直接對(duì)話的情況下交換信息。這些服務(wù)的安全問(wèn)題包括確保在傳遞流程中正在交換的消息不會(huì)被讀取或篡改，并且這些可靠的來(lái)源只發(fā)送這些消息。1開(kāi)發(fā)流程開(kāi)發(fā)流程必須解決安全問(wèn)題，并且同時(shí)使用源代碼掃描器(可以定位代碼中的常見(jiàn)安全漏洞)和Web應(yīng)用程序漏洞掃描器(可以測(cè)試Web應(yīng)用程序是否可以被黑客使用的常用技術(shù)操縱)等工具構(gòu)建解決方案。2自助服務(wù)自助服務(wù)能力可供開(kāi)發(fā)團(tuán)隊(duì)獨(dú)立利用，無(wú)需將工作交給另一個(gè)團(tuán)隊(duì)。查從自助服務(wù)的角度來(lái)看，安全代碼審查能力是指，使用源代碼分析器工具讀取程序的源代碼以及識(shí)別容易受到眾所周知的攻擊模式攻擊的代碼區(qū)域的能力。描應(yīng)用程序漏洞掃描是一項(xiàng)自動(dòng)化能力，檢查正在運(yùn)行的應(yīng)用程序并確定存在可以利用的弱點(diǎn)的區(qū)域。測(cè)試性能和容量測(cè)試旨在各自地探明違反服務(wù)級(jí)別目標(biāo)的工作負(fù)載級(jí)別，或在不違反服務(wù)級(jí)別目標(biāo)的情況下可支持的最大工作負(fù)載。證軟件質(zhì)量保證是測(cè)試軟件和跟蹤發(fā)現(xiàn)的缺陷的流程。作為軟件質(zhì)量保證流程的一部分，應(yīng)測(cè)試應(yīng)用程序的安全漏洞。1連接和交付連接和交付服務(wù)是用來(lái)集成在應(yīng)用程序之間移動(dòng)消息的中間件的底層機(jī)制。這些服務(wù)還必須保護(hù)正在傳遞的消息，包括加密消息以隱藏其內(nèi)容。1抽象多個(gè)應(yīng)用程序做同樣的事情時(shí)通常會(huì)使用抽象的概念，這樣就有了一種其他人可以理解的通用語(yǔ)言。雖然航空公司管理其航班的方式可能與其他航空公司不同，?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有37但都可能使用相同的抽象概念，以便在線旅行服務(wù)可以跨多個(gè)航空公司查找航班。這些抽象概念必須包括適當(dāng)?shù)陌踩珯C(jī)制，確保只有授權(quán)用戶才能訪問(wèn)它們，而一個(gè)用戶未經(jīng)許可不能訪問(wèn)他人信息。開(kāi)發(fā)人員正在編寫(xiě)一個(gè)應(yīng)用程序接口(API)，允許銀行系統(tǒng)與其他銀行交易。他使用源代碼分析器掃描代碼，識(shí)別出一段代碼未防范非法輸入而可能損壞系統(tǒng)。開(kāi)發(fā)人員會(huì)立即變更，新API現(xiàn)在可以安全使用。開(kāi)發(fā)流程：開(kāi)發(fā)流程必須解決安全問(wèn)題，同時(shí)使用源代碼掃描器等工具構(gòu)建解決方案，這些工具可以定位代碼中的常見(jiàn)安全漏洞；Web應(yīng)用程序漏洞掃描器可以測(cè)試Web應(yīng)用程序是否被黑客使用常用技術(shù)進(jìn)行操控。相關(guān)組件:2自助服務(wù)3安全代碼評(píng)審3應(yīng)用漏洞掃描3壓力&容量測(cè)試2軟件質(zhì)量保證安全知識(shí)生命周期：為了構(gòu)建安全的應(yīng)用程序，開(kāi)發(fā)團(tuán)隊(duì)必須及時(shí)了解最新的威脅和在開(kāi)發(fā)流程中使用的適當(dāng)對(duì)策。當(dāng)開(kāi)發(fā)團(tuán)隊(duì)正在構(gòu)建多個(gè)應(yīng)用程序時(shí)，安全框架通常用來(lái)提供可重用的組件。相關(guān)組件:2安全設(shè)計(jì)模式2安全應(yīng)用框架2代碼樣例2攻擊模式編程接口：編程接口允許一個(gè)應(yīng)用程序與另一個(gè)應(yīng)用程序通信或讓?xiě)?yīng)用程序的各個(gè)部分相互通信。輸入驗(yàn)證對(duì)于這些接口至關(guān)重要，確保只能提供預(yù)期的輸入。缺乏這種驗(yàn)證可能會(huì)導(dǎo)致攻擊者將惡意代碼注入應(yīng)用程序或檢索比有權(quán)訪問(wèn)的更多的數(shù)據(jù)，從而產(chǎn)生漏洞。?2022國(guó)際云安全聯(lián)盟大中華區(qū)版權(quán)所有38相關(guān)組件:2輸入驗(yàn)證集成中間件：集成中間件是一種類(lèi)似于服務(wù)總線和消息隊(duì)列的工具，允許應(yīng)用程序在不直接相互連接的情況下交換信息。這些服務(wù)的安全問(wèn)題包括確保在傳遞流程中不會(huì)讀取或篡改