(Web-)安全示例-体系结构

Question

我刚开始写论文来完成我的学业。然而，我写论文的领域对我来说还是很新的。我的任务是构建一个“远程访问策略/体系结构”来创建一个安全的端到端连接。

连接的一个端点是BI (意思是: numbers、web-、databaseservers、LDAP )。

另一端应该是智能手机( iOS或Android )。

我在开始我的研究时，阅读了很多关于ISO27k、等安全标准的文章。我不能失去这样一种感觉，即对于我的研究来说，这些安全标准有点过于宽泛。

这些标准为商业安全提供了一个良好的开端，但也涵盖了自然灾害形式的安全。

我正在搜索一些安全文件，其中显示了网站或SSL服务的安全体系结构，显示了正在使用的技术(SSL、DMZ、防火墙、SSL-终止)。

我的计划是分析这些体系结构并从中学习。

你知道有什么好的书籍，研究或其他安全材料可以给我一个好的开始这个话题吗？

附注：我知道web/webserice安全并不包括设备的丢失(在移动环境中这可能是一个很大的风险)。

Answer 1

试图专注于一种适用于所有事物的架构是错误的。根本就不存在。解决方案必须与特定应用程序的问题和需求相匹配。所以，我的建议是:不要浪费时间去寻找一种适合所有类型的“架构”；相反，看看一些特定应用程序的需求，并寻找一个适用于该应用程序的解决方案。

如果您想要端到端的安全通信通道，请使用TLS。不需要花哨的安全架构。如果这不是您想要的，您可能需要编辑您的问题，以更清楚地确定您的需求。

如果您的目标是更好地理解一些保护web应用程序的方法，那么您需要的不是“架构”，而是对这一领域工作的调查。在这种情况下，您还应该花一些时间阅读OWASP的材料。您还应该查看网络安全入门材料中链接到的资源。另一个提示:使用这个网站右上角的“搜索”栏，你可以找到更多关于网络安全的信息。

我不会从阅读标准文件开始。他们可能不是开始了解这一领域的最佳资源。

我可能过于敏感，但我不得不承认，如果人们过于关注“架构”而不是专注于解决问题，我不得不承认我对此持怀疑态度。所以，只是一个小小的建议:你可能想从确定你想要解决的问题开始。这将帮助你确保你专注于一个真正的问题。然后，您可以问自己这样的问题:安全性要求是什么？哪些资源必须得到保护？威胁模型是什么？哪些可用的控制或缓解措施可以帮助解决这些威胁？