安全架构是指企业综合业务需求和对未来变化因素的考虑，针对各种安全威胁，设计的一个布局合理，提高安全系数、降低风险、节约成本的系统。

　企业安全架构(Enterprise Security Architechture,ESA)在企业的层面定义了需要支持业务运行的IT安全能力和需要提供的功能，帮助企业在IT安全能力方面做出正确战略决策和运作决定，最终为辨别、选择、获取、设计、实施、部署及运营安全管控系统的决策提供依据。

　企业安全架构着眼于在整个企业组织架构中贯彻信息安全基础架构，而非针对单独特定应用系统的具体功能性和非功能性组件，着眼于一套能平衡企业组织架构中多种应用、系统或业务流程的安全服务的战略设计。

企业安全架构的特点

企业安全架构是一个长远的控制观点，而不是一个战术观点。

　目前企业的信息安全建设面临着这样的问题：大量的供应商所提供的各种各样的技术可以实现各种复杂的安全控制措施，而各种异构的解决方案的重复建设和低效率将成为安全架构需要着手解决的首要问题。

　企业安全架构的总体趋势是为特定的执行情况而部署这些机制来作为战术上的解决方案，而为了提供一个统一的观点和基于成本的考虑，优秀的企业安全架构的设计是具有战略意义的。这意味着企业安全架构经规划蓝图、设计规范、拓扑图和配置等具有更长的生命周期。如果过于具体，反而将制约当前的情况;反之，如果过于空泛或一般,则无法提供决策和指导。在企业整体的技术环境下,企业安全架构将为相关鉴别、选择、采集、设计、实施、部署和运维提供决策依据。

企业安全架构的目标是共同的

　一个企业的安全架构是应该支持多组织、多部门和多业务单元，描述安全控制及措施的长期技术趋势。它允许多种具体实现取决于现实的时刻，应小心避免安全体每户成为特定实施的蓝图。企业的安全架构应该为整个组织机构提供一个全面风险管理的指导。

企业安全架构提供了一个统一的公共安全机制的远景

　通过提供公共服务的模型，企业的安全架构着眼于从整体的角度来检查安全控制措施，识别出已有安全控制措施下的潜在风险，提供一个长远的改进计划。同时，这也是一个安全管理最佳实践的基本组成。

企业安全架构提供了一个灵活的方式来处理当前和未来的威胁

　企业安全架构的所有基础组件的开发和部署只需要做一次，在基础结构已经确定的前提下，其他架构组件就更容易处理。如果基础架构引入新的举措，是不个引入新的弱点的。如果外部新的弱点被引入，则安全架构就需要通过风险评估重新评估。

总之，企业的安全架构需要符合下述的论述

一个有效的安全规划是承认随着时间的推移，所有的信息资产的价值和风险是不相等或恒定不变的。

一个有效的安全方案运用最适合的技术来保护最关键的资产，并结合执行和质量保障计划把风险减少到可接受的水平。

　高品质的安全规划，包括经常性的管理审查和技术评估以确保安全控制措施的有效性并提供相关的反馈，使技术和方法适应资产的价值和风险随着时间的变化。

---

版权声明：

凡本网内容请注明来源：T媒体（http://www.cniteyes.com）”的所有原创作品，版权均属于易信视界（北京）信息科技有限公司所有，未经本网书面授权，不得转载、摘编或以其它方式使用上述作品。

本网书面授权使用作品的，应在授权范围内使用，并按双方协议注明作品来源。违反上述声明者，易信视界（北京）信息科技有限公司将追究其相关法律责任。