2026-04-02 03:38:55 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文分享企业安全架构设计与迭代思考，基于NISTCSF框架构建包含业务、应用、数据、技术四层架构。第一版以GIPDRR为基础新增Policy、Verify、Loop模块；第二版删除Policy模块，整合安全能力为六大类，强化闭环运营。强调标准化与实操结合、体系化与闭环结合、顶层设计与落地结合三大原则，为企业安全建设提供系统性框架。 综合评分： 85 文章分类： 安全建设,安全运营,技术标准,解决方案,安全架构

cover_image

百家 | 李维春：企业安全架构的设计与迭代思考

原创

李维春李维春

安在

2026年4月1日 19:17 上海

“百家”，既是“诸子百家”，亦为“百花齐放”。他们是各行各业网络安全专家：有CSO、业界大咖、权威代表，更有奋战在网安一线的实践者、思想者和分享者。安在“百家”，最佳实践，真知灼见，思想火花，期待有你！

作者：李维春，安全专家

最近有位同行给我提了一个好问题：企业安全架构究竟该如何设计？其实这个问题我以前也遇到过。我虽然自诩安全专家，但是过往在设计企业安全三年规划的时候，在设计“安全架构”的环节，总是心有疑惑，到底什么是安全架构？虽然往往总是把各类安全工具搭建成一个不同样子的平台，但总觉得心里不安。

这次打算给自己一个交待，认真完成这个作业。于是带着这个问题，我遍寻全网相关资料，却发现目前关于企业安全架构系统化设计的参考内容寥寥无几，甲方和厂商的书籍里面都没有触及这个话题。企业安全建设是一项系统性工程，没有科学的架构指引，很容易陷入零散建设、重技术轻管理、缺乏闭环的困境，无法形成体系化的安全能力。基于此，结合自身在企业安全领域的实践经验，我开始着手设计适配企业实际需求的安全架构，希望能为行业提供一份可参考、可落地的思路，也为企业安全体系建设理清脉络、找准方向。

既然是架构，我首先想到的是EA企业架构的核心思想，EA方法论将企业架构划分为业务架构、应用架构、数据架构和技术架构四大核心板块（过往曾经有人还说要加入安全架构，结果啥是安全架构也没说明白），这种划分方式逻辑清晰、层次分明，能够从顶层设计到落地执行形成完整的架构体系。我的个人经验告诉我，安全工作其实也是一项具备独特价值流的企业业务，这里的“业务”并非指以盈利为目标的部门或流程，而是企业为实现安全防护、风险管控、合规经营等目标，所开展的一系列有组织、有流程、有价值输出的系统性工作（同理，财务、人力资源管理、风险控制、质量管理这些都是企业内部的业务）。基于这一认知，我将安全视为一项独立业务，构建起包含业务架构、应用架构、数据架构和技术架构的企业安全架构整体框架，让安全架构与企业整体架构相契合，同时具备自身的系统性和完整性。

在业务架构的设计前，我在朋友圈发了个选择题，问：企业安全的业务架构应该是什么？应者寥寥；同时，从回答者的答案看，安全从业者对EA架构的了解也很少，这是有待加强的地方。最后遵循业务架构专家的指导，我选择了NIST CSF框架作为业务架构的基础。NIST CSF框架即美国国家标准与技术研究院的网络安全框架，是目前国际上公认的标准化、通用性极强的网络安全框架，其具备完善的逻辑体系和普适性的应用场景，既能够为企业安全架构提供国际化、有说服力的理论支撑，也能适配不同行业、不同规模企业的安全建设需求，避免架构设计陷入闭门造车的误区。以NIST CSF框架为基础，我结合企业安全组织的实际工作场景和需求，对框架进行了本土化、实操化的调整与补充，最终形成了安全架构的业务架构核心体系，也成为整个安全架构设计的核心脉络。

这是第一版企业安全架构的设计。在核心的业务架构设计上，第一版架构以NIST CSF框架的GIPDRR（Identify识别、Governance治理、Protect防护、Detect检测、Response响应、Recovery恢复）为基础，结合企业安全组织的实际工作逻辑，新增了Policy（制定策略）、Verify（验证）、Loop（闭环改进）三个模块。我认为：

1、策略制定是企业安全治理的前置环节，也是所有安全工作开展的依据，单独将Policy模块拆分出来，能够凸显策略在安全体系建设中的核心指导作用；

2、Verify（验证）和Loop（闭环改进）则是针对企业安全建设中常见的“重建设、轻验证、无闭环”问题提出的，安全措施是否有效、安全体系是否适配，需要通过验证环节进行检验，而验证中发现的问题则需要通过闭环改进完成优化，让安全建设始终处于动态完善的过程中。

3、这一业务架构体系本质上也遵循了PDCA（Plan计划、Do执行、Check检查、Act改进）的管理逻辑，其中Governance、Identify、Policy对应Plan计划环节，Protect、Detect、Response、Recovery对应Do执行环节，Verify对应Check检查环节，Loop对应Act改进环节，让NIST CSF框架与经典的管理逻辑相结合，更贴合企业安全组织的实际业务活动和价值展现。

4、在Governance环节，我认为在NIST的基础上，需要进一步明确组织架构和制度架构。这是安全工作开展的基础，没有组织、没有制度，单纯靠技术上的约束、服务、对抗，最终安全工作将沦为安全团队的职责，而不是每一个员工的职责。

5、在组织架构维度，可以进一步划分为公司的安全组织架构和安全团队的组织架构两个层面，前者聚焦企业整体安全治理的组织体系搭建，明确企业各层级在安全工作中的职责与定位，后者则聚焦安全团队内部的岗位设置、职责划分、协作机制，让安全工作的开展有明确的组织支撑。在安全团队的组织架构方面，要能够完整地覆盖GIPDRRVL各个环节的内容，这就可以为团队内分组设计、岗位职责设计提供参考依据。

6、在Identify（识别）模块的设计上，我也结合企业实际进行了补充，除了NIST标准中规定的核心内容外，新增了“内部感知”和“外部感知”两大维度：内部感知主要是对公司领导、业务部门、研发、运维、数据运用等企业内部核心领域的变化进行实时感知，这些领域的业务调整、技术迭代、人员变动都会带来新的安全风险，是安全识别的核心内容；外部感知则是对监管部门、上级单位、其他有权机关等外部干系人的政策要求、监管规定、检查标准进行及时感知，确保企业安全建设始终符合合规要求。

7、在应用架构、数据架构和技术架构维度，明确了SOC（安全运营中心）这一核心落地载体，在安全能力落地层面，梳理出主机安全、访问控制、网络隔离等具体方向，形成了从架构到能力的初步映射。

但这一版架构中，应用、数据、技术架构的内容尚未形成标准化的描述方式，仅明确了核心定位和部分落地载体，我认为这三大架构作为安全技术能力落地的核心，需要形成标准化的描述框架，同时为企业实际操作过程保留足够的灵活性空间，这也成为后续架构迭代的重要方向。此外，第一版架构在安全能力的梳理上较为零散，未形成系统化的分类，难以让企业根据自身需求快速匹配对应的安全能力建设方向。

2026年3月31日，我重新翻阅了NIST CSF2.0的介绍，完成了第二版企业安全架构的迭代优化。

第二版架构的核心变化

1、删除了Policy模块。之所以做出这一调整，核心原因是经过进一步的思考和梳理，发现Policy（制定策略）的核心内容已经包含在Governance（治理）模块中。

2、在安全能力落地的维度，第二版架构对第一版中零散的安全能力进行了系统化的分类与整合，将原本的主机安全、访问控制、网络隔离等具体方向，重新改为物理安全、内容安全、业务安全、研发安全、数据安全、基础架构安全六大核心类别，同时新增了数据分析、操作处置等核心落地环节。这一调整的原因在于，第一版架构的安全能力划分过于零散，缺乏标准性的分类框架，企业在落地过程中容易出现能力建设重复、遗漏等问题；而按照“安全”可能覆盖的业务内容进行拆分后，六大安全能力类别涵盖了企业从物理环境到数字业务、从研发过程到数据全生命周期的全维度安全需求，分类清晰、边界明确。其中，基础架构安全已涵盖主机安全、网络隔离、访问控制等基础安全能力，无需再对其进行进一步拆分，否则会造成分类过于细化、架构冗余的问题，符合“标准化描述+实操灵活性”的设计原则。

3、新增数据分析和操作处置环节，分别对应安全工作中的“数据驱动决策”和“安全事件落地处理”，让安全能力从“建设”到“运营”形成完整的链路，提升了架构的落地性。

4、在Verify环节增加“红蓝对抗”，在Loop环节增加了“改进跟踪、能力提升、度量”，完善了安全架构的闭环运营体系。其中红蓝对抗、内部检查通常不在技术能力建设的范围内（即便有，与常规的技术能力建设也是相对独立），所以画在黄框之外；改进跟踪是对验证环节和红蓝对抗中发现的问题进行全程跟踪，确保问题得到有效解决；能力提升是根据问题整改情况，针对性地完善企业安全能力尤其是安全人员的能力，弥补安全短板；度量则是建立企业安全能力的评价指标体系，对安全建设的效果进行量化评估，为安全架构的持续优化提供数据支撑。这样整体上让PDCA的管理逻辑真正落到实处。

5、虽然应用架构、数据架构和技术架构的具体内容仍较为丰富，但通过与安全业务内容的结合，形成了标准化的映射框架，企业可以根据自身的业务规模、技术水平、安全需求，在该框架下灵活调整具体的落地方案，既保证了架构的标准化，又兼顾了实操的灵活性。

第一版架构的核心目标是解决企业安全架构“无框架、无体系”的问题，搭建起从顶层业务架构到底层安全能力的初步框架，同时结合企业实际需求对NIST CSF框架进行补充，让架构更贴合企业安全组织的工作实际。而第二版架构则是在框架搭建完成的基础上，对架构的内部逻辑、模块划分、能力分类、落地环节进行持续优化，解决第一版架构中存在的模块重叠、分类零散、落地抽象等问题，让安全架构的逻辑更严谨、分类更清晰、落地更具体。

在这一思考过程中，始终坚守三个核心设计原则：

一是标准化与实操性结合，以国际通用的NIST CSF框架和EA企业架构为基础，保证架构的标准化和科学性，同时结合企业安全组织的实际工作场景进行调整补充，让架构能够真正落地执行，避免“纸上谈兵”；

二是体系化与闭环化结合，将安全作为一项系统性业务进行架构设计，涵盖组织、制度、技术、能力等全维度内容，同时构建“验证-改进-度量”的闭环体系，让安全建设始终处于动态优化的过程中；

三是顶层设计与底层落地结合，从业务架构的顶层设计出发，明确安全建设的核心脉络和价值目标，同时梳理出具体的安全能力类别和落地环节，让顶层架构能够与底层能力形成清晰的映射关系，确保架构的指导性和落地性。

企业安全建设是一个持续迭代、动态完善的过程，安全架构也并非一成不变的，需要随着企业业务的发展、技术的迭代、外部监管的变化而持续优化。本次的安全架构设计，只是为企业安全建设提供了一份初步的思路和框架，后续还需要结合企业的实际实践不断完善。希望这份设计思路能够为行业同仁提供一些参考，也希望更多的行业从业者能够关注企业安全架构的设计与研究，共同推动企业安全建设向体系化、标准化、落地化的方向发展，为企业的数字化转型筑牢安全屏障。期待大家的真知灼见：）

未来CSO训练营

第1期安全护航AI

2026年4月18开课北京&上海

课程概要：从算力模型基础设施，到AI赋能行业应用，再到数智时代全新生态，安全保驾护航更不可或缺。对网安人来说，让安全对齐业务，保AI价值落地，既是新挑战，更是新机遇。

第二期 AI赋能安全

2026年5月16开课北京&上海&深圳

课程概要：AI时代烽火山林，传统网络安全过时了？失效了？没价值了？或者，用新技术解老问题？令传统网络安全在AI加持下如虎添翼或浴火重生？且看AI赋能企业网络安全之典型场景和最佳实践。

什么是“未来CSO训练营”？

未来CSO 训练营（CSO to Future），是安在新媒体专为有志于成为企业CSO/CISO/ 安全负责人的网安人打造的精品培训。它不涉及技术编码、漏洞挖掘、考证评职等内容，而是由资深从业者分享实战经验 —— 拒绝书本教条，帮你快速吃透企业网安日常实务、破解工作难题、规避常见误区；同时搭建 CSO 必备的知识体系，传授进阶方法与创新思维，培养全局化工作视角。最终让你当下工作更高效，职场进阶更有方向，为未来晋升 CSO/CISO 甚至 CIO 筑牢根基。

2026全新版未来CSO训练营自4月18起正式开课，每月一期聚焦特定主题，连续举办8期，学员可单独报名任意一期，也可多期连报。每期学时3天（周末）共6节大课，特邀不同领域/行业/背景的6位高能大咖授课。每节大课除讲师授课外，兼有实操演示、沙盘演练、问答互动、圆桌研讨等丰富多样的交流方式。授课以北上深三地线下为主，或兼线上方式。