系统架构设计师教程(十八)安全架构设计理论与实践

安全架构设计理论与实践

  • 18.1 安全架构概述
    • 18.1.1 信息安全面临的威胁
    • 18.1.2 安全架构的定义和范围
    • 18.1.3 与信息安全相关的国内外标准及组织
  • 18.2 安全模型
    • 18.2.1 状态机模型
    • 18.2.2 Bell-LaPadula模型
    • 18.2.3 Biba模型
    • 18.2.4 Clark-Wilson模型
    • 18.2.5 Chinese Wall模型
  • 18.3 系统安全体系架构规划框架
    • 18.3.1 安全技术体系架构
    • 18.3.2 信息系统安全体系规划
    • 18.3.3 信息系统安全规划框架
  • 18.4 信息安全整体架构设计 ( W P D R R C 模型)
    • 18.4.1 WPDRRC信息安全体系架构模型
    • 18.4.2 信息安全体系架构设计
  • 18.5 网络安全体系架构设计
    • 18.5.1 OSI的安全体系架构概述
    • 18.5.2 认证框架
    • 18.5.3 访问控制框架
    • 18.5.4 机密性框架
    • 18.5.5 完整性框架
    • 18.5.6 抗抵赖框架
  • 18.6 数据库系统的安全设计
    • 18.6.1 数据库安全设计的评估标准
    • 18.6.2 数据库的完整性设计
  • 18.7 系统架构的脆弱性分析
    • 18.7.1 概述
    • 18.7.2 软件脆弱性
    • 18.7.3 典型软件架构的脆弱性分析
  • 18.8 安全架构设计案例分析
    • 18.8.1 电子商务系统的安全性设计
    • 18.8.2 基于混合云的工业安全架构设计

18.1 安全架构概述

数字化服务已成为社会运行的基础,但随之而来的计算机犯罪也在激增。因此,确保信息的可用性、完整性、机密性、可控性和不可抵赖性变得至关重要。实现这些安全目标需要良好的安全架构设计,该设计基于风险和策略,并覆盖信息系统的整个生命周期。安全保护不仅包括技术和管理措施,还涉及人员和工程过程的整体安全,以及组织机构的完善。面对信息化技术的多重威胁,我们需要从系统层面考虑全面的防御策略。

18.1.1 信息安全面临的威胁

随着信息技术的发展,社会对计算机和网络的依赖加深,尤其是云计算、边缘技术和人工智能的进步,推动了信息化的广泛应用。企业越来越多地将业务托管在混合云上,这增加了数据保护和业务安全的难度。信息系统的安全威胁包括物理环境、通信链路、网络系统、操作系统、应用系统和管理系统等方面。安全威胁的具体形式包括信息泄露、破坏信息完整性、拒绝服务、非授权使用、窃听、业务流分析、假冒、旁路控制、授权侵犯、特洛伊木马、陷阱门、抵赖、重放、计算机病毒、人员渎职、媒体废弃、物理侵入、窃取和业务欺骗等。为了应对这些威胁,需要从技术、管理、人员和流程等方面综合考虑,设计全面的安全架构。

在这里插入图片描述

18.1.2 安全架构的定义和范围

安全架构是针对安全性细分的架构领域,包括产品安全架构、安全技术体系架构和审计架构,它们共同构成安全防线。

  1. 产品安全架构:目标是打造自身安全的产品,不依赖外部防御系统。
  2. 安全技术体系架构:任务是构建安全技术基础设施,增强产品的安全防御能力。
  3. 审计架构:涉及独立审计部门或其风险发现能力,审计范围包括安全风险在内的所有风险。

安全架构应具备可用性、完整性和机密性等特性。在设计系统时,需要识别潜在安全威胁,评价安全威胁与控制措施,提出安全技术,形成安全方案,以提高信息系统的安全性。安全架构设计可从身份鉴别

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/352732.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

汇编led驱动的代码编写以及ubuntu下的烧录

文章目录 前言一、实验代码详解二、编译1、arm-linux-gnueabihf-gcc 编译文件2、arm-linux-gnueabihf-ld 链接文件3、arm-linux-gnueabihf-objcopy 格式转换4、arm-linux-gnueabihf-objdump 反汇编5、编写Makefile文件 三、代码烧写1、将 imxdownload 拷贝到工程根目录下2、给予…

【C语言刷题系列】交换两个变量的三种方式

文章目录 1.使用临时变量(推荐) 2.相加和相减的方式(值较大时可能丢失数据) 3.按位异或运算 本文所属专栏C语言刷题_倔强的石头106的博客-CSDN博客 两个变量值的交换是编程中最常见的问题之一,以下将介绍三种变量的…

数仓治理-计算资源治理

注:文章参考: 数据治理实践 | 网易某业务线的计算资源治理从计算资源治理实践出发,带大家清楚认识计算资源治理到底该如何进行,并如何应用到其他项目中https://mp.weixin.qq.com/s/w6d5zhDaaavNhW_DMEkPsQ 目录 一、计算资源治理的背景 二…

代码随想录算法训练营第15天| Leetcode 104.二叉树的最大深度、559.n叉树的最大深度、111.二叉树的最小深度、222.完全二叉树的节点个数

目录 Leetcode 104.二叉树的最大深度 Leetcode 559.n叉树的最大深度 Leetcode 111.二叉树的最小深度 Leetcode 222.完全二叉树的节点个数 Leetcode 104.二叉树的最大深度 题目链接:Leetcode 104.二叉树的最大深度 题目描述:给定一个二叉树,…

【驱动系列】C#获取电脑硬件显卡核心代号信息

欢迎来到《小5讲堂》,大家好,我是全栈小5。 这是《驱动系列》文章,每篇文章将以博主理解的角度展开讲解, 特别是针对知识点的概念进行叙说,大部分文章将会对这些概念进行实际例子验证,以此达到加深对知识点…

Python笔记12-多线程、网络编程、正则表达式

文章目录 多线程网络编程正则表达式 多线程 现代操作系统比如Mac OS X,UNIX,Linux,Windows等,都是支持“多任务”的操作系统。 进程: 就是一个程序,运行在系统之上,那么便称之这个程序为一个运…

Linux进程间通信(IPC)机制之一:管道(Pipes)详解

🎬慕斯主页:修仙—别有洞天 ♈️今日夜电波:Nonsense—Sabrina Carpenter 0:50━━━━━━️💟──────── 2:43 🔄 ◀️ ⏸ ▶️ …

关于session每次请求都会改变的问题

这几天在部署一个前后端分离的项目,使用docker进行部署,在本地测试没有一点问题没有,前脚刚把后端部署到服务器,后脚测试就出现了问题!查看控制台报错提示跨域错误?但是对于静态资源请求,包括登…

数据结构.线性表

1.静态分配 #include<iostream> using namespace std; const int N 10; typedef struct {int data[N];int length;}SqList; void InitList(SqList &L) {for (int i 0; i < N; i){L.data[i] 0;}L.length 0; }int main() {SqList L;InitList(L);return 0; }2.动…

2024年AI全景预测

欢迎来到 2024 年人工智能和技术的可能性之旅。 在这里&#xff0c;每一个预测都是一个潜在的窗口&#xff0c;通向充满创新、变革、更重要的是类似于 1950 年代工业革命的未来。 20 世纪 50 年代见证了数字计算的兴起&#xff0c;重塑了行业和社会规范。 如今&#xff0c;人工…

运行adprep /forestprep扩展Active Directory架构

运行 adprep /forestprep 是为了扩展Active Directory架构&#xff0c;以便为整个林添加新版本Windows Server所支持的新类、属性和其他目录对象。在升级到更高版本的Windows Server并提升林功能级别之前&#xff0c;通常需要执行此操作。 以下是详细步骤&#xff1a; 确认环境…

flask框架制作前端网页作为GUI

一、语法和原理 &#xff08;一&#xff09;、文件目录结构 需要注意的问题&#xff1a;启动文件命名必须是app.py。 一个典型的Flask应用通常包含以下几个基本文件和文件夹&#xff1a; app.py&#xff1a;应用的入口文件&#xff0c;包含了应用的初始化和配置。 requirem…

【C++入门到精通】特殊类的设计 |只能在堆 ( 栈 ) 上创建对象的类 |禁止拷贝和继承的类 [ C++入门 ]

阅读导航 引言一、特殊类 --- 不能被拷贝的类1. C98方式&#xff1a;2. C11方式&#xff1a; 二、特殊类 --- 只能在堆上创建对象的类三、特殊类 --- 只能在栈上创建对象的类四、特殊类 --- 不能被继承的类1. C98方式2. C11方法 总结温馨提示 引言 在面向对象编程中&#xff0…

Nginx与keepalived实现集群

提醒一下&#xff1a;下面实例讲解是在mac虚拟机里的Ubuntu系统演示的&#xff1b; Nginx与keepalived实现集群实现的效果 两台服务器都安装Nginx与keepalived&#xff1a; master服务器的ip(192.168.200.2) backup服务器的ip(192.168.200.4) 将 master服务器Nginx与keepalive…

【Mybatis的一二级缓存】

缓存是什么&#xff1f; 缓存其实就是存储在内存中的临时数据&#xff0c;这里的数据量会比较小&#xff0c;一般来说&#xff0c;服务器的内存也是有限的&#xff0c;不可能将所有的数据都放到服务器的内存里面&#xff0c;所以&#xff0c; 只会把关键数据放到缓存中&#x…

C# 命名管道NamedPipeServerStream使用

NamedPipeServerStream 是 .NET Framework 和 .NET Core 中提供的一个类&#xff0c;用于创建和操作命名管道的服务器端。命名管道是一种在同一台计算机上或不同计算机之间进行进程间通信的机制。 命名管道允许两个或多个进程通过共享的管道进行通信。其中一个进程充当服务器&…

RNN预测下一句文本简单示例

根据句子前半句的内容推理出后半部分的内容&#xff0c;这样的任务可以使用循环的方式来实现。 RNN&#xff08;Recurrent Neural Network&#xff0c;循环神经网络&#xff09;是一种用于处理序列数据的强大神经网络模型。与传统的前馈神经网络不同&#xff0c;RNN能够通过其…

独享http代理安全性是更高的吗?

不同于共享代理&#xff0c;独享代理IP为单一用户提供专用的IP&#xff0c;带来了一系列需要考虑的问题。今天我们就一起来看看独享代理IP的优势&#xff0c;到底在哪里。 我们得先来看看什么是代理IP。简单来说&#xff0c;代理服务器充当客户机和互联网之间的中间人。当你使用…

C/C++ - 面向对象编程

面向对象 面向过程编程&#xff1a; 数据和函数分离&#xff1a;在C语言中&#xff0c;数据和函数是分开定义和操作的。数据是通过全局变量或传递给函数的参数来传递的&#xff0c;函数则独立于数据。函数为主导&#xff1a;C语言以函数为主导&#xff0c;程序的执行流程由函数…

复式记账的概念特点和记账规则

目录 一. 复式记账法二. 借贷记账法三. 借贷记账法的记账规则四. 复试记账法应用举例4.1 三栏式账户举例4.2 T型账户记录举例4.3 记账规则验证举例 \quad 一. 复式记账法 \quad 复式记账法是指对于任何一笔经济业务都要用相等的金额&#xff0c;在两个或两个以上的有关账户中进…