一些例子:

1. R&D用自己寫的加密方式，他覺得這樣就不會被破解。 => 一山還有一山高，還是有高手找出解密的方式，正確做法應該是用公認的高安全性算法。
2. 網管把80Port改成用8080，覺得這樣就不會被攻擊。 => 用nmap一掃開什麼Port原本是什麼服務都掃得到...

因為要避免各自做出不安全的架構，所以制定一些框架和規範讓大家參考執行。
先上圖，自己整理的，歡迎提供建議
https://coggle.it/diagram/W8bZDeExeXcvLE7F/t/%E8%B3%87%E8%A8%8A%E5%AE%89%E5%85%A8%E6%A1%86%E6%9E%B6-security-frameworks/f629b2928d8e750c3ecc0713f6d4ec7fd3032a481a09578a7c9bf2ff3f2d07ad

Enterprise Architecture Development，這個建立是需要由上層指示，下面的人執行，因為過程必定傷動筋骨，像是最近的南山，先不論成果，執行者假設只是經理級，服務一週停擺就會說圖利廠商、能力不夠等等被鬥倒。

DODAF-(美國國防部)確保所有系統，流程和人員齊心協力完成任務
https://dodcio.defense.gov/Library/DoD-Architecture-Framework/
MODOF-(英國國防部)盡快以正確的格式將數據提供給合適的人員
https://www.gov.uk/guidance/mod-architecture-framework
轉貼https://kknews.cc/military/aanjjaj.html

來個模擬
今天你是五千多人的跨國公司CEO，是做線上服務，因為一直增加需求，功能越多服務穩定度也開始下降，往年正成長10%，今年居然負向掉了20%。

業務總監說PTT等論壇都說我們服務差，所以成交量下降

客服總監說客訴量多了20%，退費率也上升，詢問原因都是因為網頁服務不穩定

技術總監說因為業務需求急著加速增加功能，欠了很多技術債，我們想要改變架構，減少相依性問題發生

要同意執行嗎