展开

关键词

网络安全架构 | 安全架构公理

下载说明:需要《安全架构实践的公理》(中文版+英文版)(中文版70多页,3万多字)的读者,请关注“网络安全观”公众号,并在公众号后台输入文字“安全公理”。 ? 只有将所有需求都视为SOI(系统收益)整体风险的一部分时,安全架构才能有效工作。 架构通常被视为不同视角的一系列观点。这些观点通常被称为架构域。 框架示例包括: NIST网络安全框架(CSF):是150多个RFI响应和许多利益相关方会议的产物。 ISO 27000系列:是用于组织和监控企业安全机制的一组控件和过程。 09 公理9:弹性 安全系统应在受到胁迫时依然正常运行。 架构的弹性不仅仅是设备,还必须包括人员和流程。 弹性的关键特征是计划内的系统降级——通过控制将系统降级,而非由于无法控制导致故障。 规则很简单:网络需要网络安全服务来保护。应用程序需要应用安全服务来保护。 通信安全架构是一门复杂的学科。它必须在通信设备之间采用敌对环境,并且必须同时满足应用程序层安全性和网络层安全性。

51610

美军网络安全 | 第2篇:JIE网络安全架构SSA(单一安全架构

这一篇,就谈6项关键能力的第1项和8个现代化领域的第2项——JIE网络安全架构SSA(单一安全架构)。 注意:SSA(单一安全架构)在最新的文件中可能被称为CCA(一致网络安全架构)。 1、GIG初衷: GIG是美军在提出JIE之前构建实施的巨大而复杂的通信与服务系统,其网络基础结构由不同的分布式服务单元组成,旨在将美国国防部的所有的信息系统、服务及应用,集成为一个无缝隙的、可靠的和安全的网络 基于主机的安全系统有所帮助,但实事求是的讲,态势感知是不存在的。” 2014年,美军在《陆军网络安全企业参考架构2.0》中提出,当前网络安全防护手段存在以下缺点: (1)各军兵种的网络包含重复、冗余的网络安全控制手段,同一数据在到达接收方路径中会被检查多次,造成效率低下 试图解决在实施任务保障时存在的机构重叠、职责不清等问题,消除系统烟囱和网络安全边界,减少暴露于外部的攻击面,实现参战单元的信息互通及快速、安全的数据共享,推进安全机制和协议规范的复用,降低已有系统改造和集成的耗费

43510
  • 广告
    关闭

    【玩转 Cloud Studio】有奖调研征文,千元豪礼等你拿!

    想听听你玩转的独门秘籍,更有机械键盘、鹅厂公仔、CODING 定制公仔等你来拿!

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    网络安全架构|零信任网络安全当前趋势(中)

    该报告的目录如下: 执行摘要 项目背景 何为零信任 建立信任是基础(本篇从此处开始) 零信任的益处(本篇到此处结束) 部署零信任的建议步骤 联邦政府中对零信任的挑战 最后结论 笔者分为三篇介绍:第一篇参见《网络安全架构 |零信任网络安全当前趋势(上)》;本篇是第二篇;第三篇将介绍剩余的内容。 笔者计划,在介绍完《零信任网络安全当前趋势》这个报告之后,再次放出对NIST《零信任架构》草案的详细介绍。 ZT还细分了内部架构,以限制常与系统渗透漏洞相关的用户“漫游”。 传统上,企业已经部署“内部防火墙”作为一种分段方法,但是现在可以使用增强的方法来实现微边界。 随着时间的推移,前沿企业了解到,以“漏洞赏金”的形式支付漏洞研究,是一种非常有效的(盈利的)方法,在漏洞被利用之前识别脆弱的系统

    19510

    网络安全架构|零信任网络安全当前趋势(下)

    该报告的目录如下: 执行摘要 项目背景 何为零信任 建立信任是基础 零信任的益处 部署零信任的建议步骤(本篇从此处开始) 联邦政府中应用零信任的挑战 最后结论(本篇到此处结束) 笔者分为三篇介绍:第一篇参见《网络安全架构 |零信任网络安全当前趋势(上)》;第二篇参见《网络安全架构|零信任网络安全当前趋势(中)》;本篇将介绍剩余的内容,主要涉及零信任的部署方面,这是甲乙方都比较关心的问题。 笔者计划,在介绍完《零信任网络安全当前趋势》这个报告之后,再次放出对NIST《零信任架构》草案的详细介绍。 类似地,如果一个机构拥有移动设备管理或系统清单工具,它们可以被用于“设备支柱”组件。 在安全架构的任何变化中,重要的是考虑已有的投资可以被利用以及新模型如何以及在哪里快速实现。 采用ZT成熟度模型的方法,可以帮助解决关键能力,以成功和更快速地解决路障,并将机构移入日益成熟的网络安全态势。 2)共享的系统和网络连接 成功的零信任部署的另一个挑战是联邦IT中广泛的系统相互依赖性。

    21310

    网络安全架构|零信任网络安全当前趋势(上)

    笔者之前的文章《网络安全架构 | 零信任架构正在标准化》,介绍了美国国家标准技术研究所(NIST)和美国国防部国防创新委员会(DIB)对零信任的认识。 三、执行摘要 今天的系统正在扩展和演变为移动和云的环境,将传统的基于边界的网络安全方法扩展到了临界点。 一种称为“零信任(ZT)”的新方法,可能大幅改变和提高机构保护他们的系统和数据的能力。 一些不同的ZT架构方法可供机构选择。 实施ZT的条件: 实施ZT不需要大规模更换现有网络或大量获取新技术。ZT应该增加其他现有的网络安全实践和工具。 支柱2-设备:设备安全 实时的网络安全态势和设备的可信性是ZT方法的基本属性。一些“记录系统”解决方案(如移动设备管理器)提供可用于设备信任评估的数据。 3)隐私关注 将隐私集成到ZT架构设计和生命周期过程中是非常重要的。 随着我们将计算推向“边缘”,导致日益复杂的IT信息系统和设备的世界,围绕IT投资的隐私问题也在增加。

    23320

    网络安全架构|《零信任架构》NIST标准草案(上)

    全部内容可通过《网络安全架构|零信任网络安全当前趋势(下)》访问。 零信任架构(ZTA,Zero Trust Architecture)策略是指基于系统的物理或网络位置(即局域网或因特网)不存在授予系统的隐式信任的策略。 该文件旨在帮助理解民用非保密系统的ZTA,并提供将ZTA概念迁移和部署到企业网络的路线图。 机构网络安全经理、网络管理员、经理也可以从本文档中了解ZTA。 这种复杂性超过了基于周界的网络安全的传统方法,因为企业没有单一的、易于识别的周界。 这种复杂的企业已经导致了一种新的企业网络安全规划方法,称为零信任架构(ZTA)。 这项工作包括关键概念和零信任网络架构模型,该模型改进了在Jericho论坛上讨论的概念。 十多年来,美国联邦机构在许多方面一直在转向基于零信任原则的网络安全

    23210

    揭秘美国网络安全体系架构

    网络安全体系是一个复杂且综合的系统工程,涵盖了安全组织体系、安全技术体系和安全管理体系。 美国作为拥有最复杂的信息网络的国家之一,平均每5年就会出新的网络概念、新的网络架构和新的网络建设计划。 关于美国的网络安全体系架构是怎么样的?其如何贯穿在美国的网络安全计划中、落实到具体机构的?带着这些困惑,和笔者一起,揭秘美国的网络安全体系架构。 安全体系模型 开头,先聊聊安全体系模型。 国家级的网络安全体系必然不是一蹴而就,要探究如此庞大的体系架构,还是要理论先行。 20世纪90年代末,美国国际互联网安全系统公司(ISS)提出了基于时间的自适应网络安全模型P2DR,该模型最大的特点是可以进行量化与数据证明。 可以说是基于美国国家安全系统信息保障的最佳实践。

    76264

    网络安全架构|《零信任架构》NIST标准草案(下)

    网络安全架构|《零信任架构》NIST标准草案(中)》; 这是下篇。 Trends》),参见《网络安全架构|零信任网络安全当前趋势(下)》。 上、中、下的整合版可参见:“互联网安全内参”《深度剖析:零信任网络安全当前趋势》,或者“信息安全与通信保密杂志社”《网络安全架构:零信任网络安全当前趋势》。 (The Road to Zero Trust (Security)),参见《网络安全架构 | 零信任架构正在标准化》的第四节。 企业在开发一系列ZTA候选业务流程和参与此流程的用户/系统之前,需要此信息。 1)纯零信任架构 可以从头开始构建一个零信任架构网络。

    40110

    网络安全架构 | 零信任架构正在标准化

    但是会保留“网络安全架构| ”这样的前缀,以表示本系列的延续性。 按理说,笔者开篇应该介绍安全架构研究的范畴和定义,至少是主要研究方向。但实话实说,笔者在这个问题上,还没有明确思路。 实施零信任架构策略的企业具有用户供应系统,并使用该系统授权对资源的访问。这包括使用多因子身份验证(MFA)访问某些(或所有)企业资源。 1、白皮书概要 以下是白皮书主要内容摘要: 零信任架构(ZTA)能够从根本上改变国防部网络安全和数据共享的有效性。 五、国内最大网络安全厂商奇安信的零信任落地解决方案 随着零信任架构理念的不断完善,相关技术也在逐渐发展成熟,零信任架构逐渐从理念走向落地。 希望下一篇切入主题:何谓网络安全架构

    27210

    网络安全架构 | IAM(身份访问与管理)架构的现代化

    IAM架构现代化的核心是PBCA。关于PBCA的安全模式示例,可参见《网络安全架构 | 安全模式方法论》。 二、使用PBAC重构IAM架构 01 重构IAM架构的思路 随着面对全球化的数字转型和网络安全威胁向量的持续增长,IAM专家现在发现传统IAM架构模式并不总是合适。 02 Gartner报告:构建敏捷和现代化身份基础设施 在Gartner关于构建敏捷和现代化身份基础设施的技术报告中,Gartner提出: “数字业务和网络安全威胁的增加,对IAM系统提出了更高的要求。 零信任架构(ZTA)是一种利用零信任概念且包含组件关系、工作流规划、访问策略的企业网络安全计划。” “这一定义集中在问题的症结上,即防止未授权访问数据和服务的目标,并使访问控制执行尽可能地细粒度。” 无论是手动的还是通过供应系统,在这两种情况下,这都是一项需要时间和资源的复杂任务。 缺乏灵活性:授权不会基于任何变量更改。例如,网络安全事件或用户通过移动设备的登录,都不会删除任何分配的权限。

    1.8K20

    网络安全架构 | 自顶向下的安全架构方法论

    全文约4300字 阅读约10分钟 许多具有传统思维定势的网络安全专业人员认为,安全架构只不过是具有安全策略、控制、工具和监视。 关键词:SABSA(Sherwood应用业务安全架构,Sherwood Applied Business Security Architecture);COBIT(信息系统和技术控制目标,Control : 平台安全 硬件安全 网络安全 操作系统安全 文件安全性 数据库安全、实践和程序 定义组件架构并映射到物理架构: 安全标准(例如,美国国家标准与技术研究所(NIST)、ISO) 安全产品和工具(例如, 一些业务所需的属性包括: 可用性:系统需要随时提供给客户使用。 客户隐私:客户隐私需要得到保障。 准确度:客户和公司信息必须准确。 高级持续威胁[APT]安全) 数据安全平台(加密、电子邮件、数据库活动监视[DAM]、数据防泄露[DLP]) 访问管理(身份管理[IDM],单点登录[SSO]) 端点控制 主机安全(AV、主机入侵防御系统

    69620

    JanusGraph系统架构

    JanusGraph的模块化架构使其能够与各种存储,索引和客户端技术进行互操作; 这也使得JanusGraph升级对应的组件过程变得更加简单。 JanusGraph标配以下适配器,但JanusGraph的模块化架构支持第三方适配器。 高层JanusGraph架构和上下文

    78010

    Android 系统架构

    Big picture GFX 架构 Video playback Drm video Camera Audio APP vs windows Binder Message Normal Unix tasks ○SCHED_BATCH: Batch (non-interactive) tasks ○ SCHED_IDLE: Low prioritytasks EAS 中断系统

    8120

    支付系统架构

    大部分公司,只要想赚钱,就得上支付系统,让用户或者客户有地方交钱。 当然,公司发展的不同阶段,对支付系统的定位和架构也不同。 电商系统,指提供在线购物服务的系统。用户在这个系统中完成交易。 支付系统,可以是电商系统的一个模块,或者是个独立的系统。这是本文的主角,用来完成支付过程。 用户,在电商系统中败家的那位。 这就有三种情况: 电商系统和商家对账;电商系统和支付系统对账;支付系统和收单机构对账。最为支付系统,我们仅关注后两者的情况。 支付的典型架构 所以支付的坑还不少,我们先看看互联网的头牌们是如何设计支付系统的? 先看看某团的: ? 再看某Q旅游公司的的: ? 对比下某东金融的: ? 最后看看业界最强的某金服金融的: ? 这其实也是普通互联网应用系统架构,没有什么特别之处。比如微服务如何体现,如何满足性能需求等,在这个视图中无法体现出来。

    1.1K11

    Hadoop系统架构

    一、Hadoop系统架构图 ? Hadoop1.0与hadoop2.0架构对比图 ? YARN架构: ResourceManager –处理客户端请求 –启动/监控ApplicationMaster –监控NodeManager –资源分配与调度 NodeManager –单个节点上的资源管理

    1.2K30

    Android 系统架构

    Android 系统架构分为五层 从上到下依次为应用层、应用框架层、系统运行库层、硬件抽象层与Linux内核层。 应用层 应用层:系统内置的应用程序与非系统的应用程序,负责与用户的直接交互。 系统运行库 C/C++ 程序库,被Android中不同的组件使用,并通过应用程序为开发者提供服务 Android 运行库及Android 运行环境 ,运行时库又被非为核心库与ART虚拟机, ART 系统在安装应用时会进行一次预编译 Surface Manager - 对显示子系统的管理,并且为多个应用程序提 供了2D和3D图层的无缝融合。 硬件抽象层 位于操作系统内核与硬件电路之间的接口层,其目的在于将硬件抽象化,保证硬件厂商的知识产权,隐藏特定平台的硬件接口细节,为操作系统提供虚拟硬件平台,使其具有硬件无关性,可在多种平台进行移植。 系统安全性、内存管理、进程管理、网络协议栈和驱动模型等都依赖与该内核。

    32110

    如何建设网络安全架构及防御措施?

    在规划和构建网络信息系统的早期阶段,您需要规划系统的整体网络架构并创建网络拓扑图以满足您的业务需求,根据您的业务需求合理化网络区域划分,确定网络边界并降低系统风险。 网络体系结构安全性是指在规划和配置网络信息系统期间根据特定安全要求部署其他安全设备。其他安全机制通过安全设置,安全部署,规划和设计来实现网络架构。 网络架构安全措施应考虑以下问题: 1)在信息系统建设计划的初始阶段,适当选择网络设备,根据服务系统的实际需要,确定设备的基本技术参数,满足建设目标,网络设备服务的处理能力必须满足最大的业务需求。  首先,明确网络安全防护策略,规划、部署网络数据流检测和控制的安全设备,具体可根据需要部署入侵监测/防御系统、网络防病毒系统、抗DDoS系统等。 其次,还应部署网络安全审计系统,制定网络和系统审计安全策略,具体措施包括设置操作系统日志及审计措施、设计应用程序日志及审计措施等。

    44320

    网络安全第六讲 入侵检测系统

    网络信息安全第六讲 入侵检测系统 一 入侵检测定义 入侵:指一系列试图破坏信息资源机密性、完整性和可用性的行为。对信息系统的非授权访问及(或)未经许可在信息系统中进行操作。 入侵检测系统(IDS):入侵检测系统通过监视受保护系统的状态和活动,采用异常检测或滥用检测的方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段,是一个完备的网络安全体系的重要组成部分 三 入侵检测系统分类 基于主机的入侵检测系统、基于网络的入侵检测系统、分布式入侵检测系统 基于主机的入侵检测系统(Host-based IDS,HIDS) 基于主机的入侵检测系统通常被安装在被保护的主机上 主机的数据源:操作系统事件日志、应用程序日志系统日志、关系数据库、Web服务器。 检测内容:系统调用、端口调用、系统日志、安全审记、应用日志。 HIDS的优点:检测精度高。 HIDS的缺点 :HIDS安装在需要保护的主机上,必然会占用主机系统资源,额外负载将降低应用系统的效率。HIDS完全依赖操作系统固有的审计机制,所以必须与操作系统紧密集成,导致平台的可移植性差。

    80440

    架构之路 (一) —— iOS原生系统架构

    接下来这几篇我们就一起看一下关于iOS系统架构以及独立做一个APP的架构设计的相关问题。 iOS系统架构 iOS系统架构如下所示: 具体哪一层包含什么框架如下所示: 下面看一下详细的信息: 1. AddressBookUI.framework:包含显示系统定义的联系人挑选界面和编辑界面的类。 EventKit.framework:包含访问用户日历事件数据的接口。 MobileCoreServices.framework:定义系统支持的统一类型标识符(UTIs) QuickLook.framework:包含预览文件接口。 参考文章 1. iOS系统架构和常用框架 2. iOS系统架构 后记 本篇主要讲述了iOS系统架构,感兴趣的给个赞或者关注,谢谢~~~

    20510

    相关产品

    • 威胁情报云查服务

      威胁情报云查服务

      腾讯威胁情报云查服务(TICS)依托腾讯安全在近二十年的网络安全工作中积累的安全经验和大数据情报,为客户提供威胁情报查询服务、IP/Domain/文件等信誉查询服务。帮助大中型企业客户提升现有安全解决方案的防御和检测能力,并且可以帮助小微企业以很小的代价来享受专业的威胁情报服务……

    相关资讯

    热门标签

    活动推荐

    扫码关注腾讯云开发者

    领取腾讯云代金券