阅读说明：这是《大话系规官方教材伴读》系列的付费正文。本系列按官方教材原章节顺序，一节一节用大白话讲透第2版教材。非会员可免费试读本讲约百分之二十。

这套伴读怎么用、和《系规精品图文课程》怎么搭着看，先读开篇导读：《大话系规官方教材伴读·开篇：这本又厚又硬的书，我陪你一节一节读完》。

付费方式：独立合集《大话系规官方教材伴读》合集价 299 元，购买后全部讲次解锁（微信小程序或官方网站均可学习）。已订阅《系规精品图文课程》的同学不再单独付费，登录学习平台即可直接读全部内容。

以下为本讲正文 ↓

大话第9章②：信息安全架构

一、先问你一个会卡住的问题

同学，咱们接着第 9 章往下走，这一讲讲 9.2，信息安全架构。

进概念之前，我先问你一个问题。假设你要给一栋大楼做安防。你会怎么干？是直接冲到大门口装个摄像头，再随手在窗户上加个报警器，哪儿想起来就在哪儿加一个？

你肯定觉得这样不靠谱。正经做法是：先有一张安防的整体设计图——哪几道门、哪些区域是核心要害、人从哪进、车从哪走、监控覆盖到哪、谁负责值守、出了事怎么响应。先把这张图画明白，再照着图一处一处地装设备。

信息安全也是一样。上一讲我跟你说过，安全不是"买几个产品堆上去"，是要规划的。那规划的第一张图，就是这一讲要讲的——信息安全架构。它就是你给整个组织的信息安全画的那张"整体设计图"。

很多同学一看"架构"两个字就发怵，觉得这是程序员、架构师才懂的高深玩意儿。其实不是。架构说白了就是"骨架"，是把一堆零散的东西，理出层次、理出关系。这一讲，我就把 9.2 这一整节——安全架构的定义、那个挺有名的 SABSA 商业安全架构、还有信息系统安全保障模型——用你身边的事儿，一个一个给你翻译清楚。讲完你会发现，这些框架不玄，它们说的全是一件事：怎么把信息安全这件大事，搭出一副有层次、有章法的骨架来。

二、这一节在教材里的位置

先让你心里有张地图，知道自己站在哪儿。

第 9 章我给它定 A 档偏上，而 9.2 这一节，是整章里"框架最密集"的一节。上一讲 9.1 是讲理念、讲原则、讲威胁，偏认知；这一讲 9.2 开始上"硬货"了——一连给你三套框架。框架多，意味着选择题考点也密：SABSA 是几层、对应哪几种视图、安全保障模型有哪几个维度、能力成熟度分几级，这些都是教材原文里写得清清楚楚、最适合出选择题的地方。

我把话说在前头：这一节的框架听着唬人，全是英文缩写和层级，但你别被吓住。我会把每一层、每一级，都用你听得懂的话翻译一遍，再给你拎出哪几个是必背的硬考点。你跟着我的图走，别死磕教材原话。

三、大白话逐节精讲

1. 什么是信息安全架构：先把这张"骨架图"立起来（9.2）

教材在 9.2 开头先给信息安全架构下了个总定义。教材原话比较硬，我先念给你，再翻译：

教材说，信息安全架构是企业架构的子集，是指应用全面严格的方法，描述当前或以后的安全结构、安全过程、信息安全系统、人员和组织子单元，并使之与组织的业务目标和战略方向保持一致的实践活动和行为。

这句话信息量很大，我给你拆三个点：

第一，安全架构是"企业架构"的一部分。什么意思？一个企业有它整体的架构（业务架构、数据架构、技术架构……），信息安全架构是套在这个大架构里的一个子集，不是另起炉灸的独立王国。这呼应了上一讲说的"安全要跟业务对齐"。

第二，它要描述的东西很全：安全结构、安全过程、信息安全系统、人员、组织子单元。你看，又是技术（系统）又是人（人员、组织），跟上一讲"安全是三分技术七分管理"对得上。

第三，它的落脚点是跟业务目标和战略方向保持一致。还是那句话——安全不是为安全本身，是为业务服务的。

教材还补了一句安全架构的好处：开发信息安全架构，能确保安全工作以标准的、节省成本的方式与业务实践相结合；架构在抽象层面工作，提供一个可供参考的框架，让组织更好地实现互操作性、集成性、易用性、标准化和便于治理性。

大白话总结这一段：信息安全架构，就是给整个组织的安全画的那张"骨架图"，它让你的安全工作有章可循、各部分对得上、还省钱，而不是东一榔头西一棒子。

2. 安全架构的范围：三道安全防线（9.2.1）

教材 9.2.1 先把安全架构的"身份"再说清楚一点：安全架构，是架构面向安全性方向上的一种细分。架构还能往别的方向细分，比如运维架构、数据库架构等等。安全架构只是其中专管"安全"的那一支。

接着教材给了这一小节最该记的一个考点——如果安全性体现在系统上，那么通常的系统安全架构、安全技术体系架构、审计架构，可以组成三道安全防线。这"三道防线"是高频考点，你一定要记牢，我一道一道给你翻译：