- 综合排序
- 最热优先
- 最新优先
- 来自专栏网络安全观
网络安全架构 | 安全架构公理
TOGAF(开放组织架构框架)是最知名的企业架构(EA),SABSA(Sherwood业务应用安全架构)是最知名的安全架构。而该指南恰恰是由管理维护这两大架构的组织,共同联合推出。 首先列出《安全架构实践的公理》中的20条公理(其中括号中的内容均为笔者添加以助理解): 公理1:业务风险驱动安全 公理2:场景(无场景,不安全) 公理3:范围(明确定义架构范围) 公理4:情报(利用情报主导响应 04 公理4:情报 安全系统应利用情报来主导响应活动。通过威胁情报,既可以了解对手的意图、能力、攻击方式,也可以了解自身的漏洞情况。 建议对潜在威胁场景进行建模分析,来实现最佳效果。 图4-逻辑访问控制 20 公理20:通信安全 设备和应用程序应使用开放、安全的协议进行通信。 在当今过度连接的世界中,无法假设未加密的传输具有任何级别的安全性。 (圆公理) 公理4:所有直角都相同。(角公理) 公理5:过线外一点,恰有一条直线与已知直线平行。(平行公理) 欧式几何影响了世界多少年?两千多年,并未终止。
1.8K10发布于 2021-02-24 - 来自专栏ThoughtWorks
RESTful架构风格下的4大常见安全问题|洞见
伴随着RESTful架构风格的大量应用,一些本来难以察觉到的安全问题也逐渐开始显现出来。在我经历过的各种采用RESTful架构风格的应用中,某些安全问题几乎在每个应用中都会出现。 "id": 280010, "orderItems": [...], "user": { "id": 100, "password": "91B4E3E45B2465A4823BB5C03FF81B65 4 API缺乏速率限制的保护 先看一个例子。 5 总结 开发出一个具备足够安全性的应用不是件容易的事情,本文中提到的只是RESTful架构风格下,众多安全问题中比较典型的一部分而已。 如果你不想被这些安全问题所困扰,建议通过在应用开发过程中引入威胁建模、在用户故事卡中设立安全验收标准、进行安全代码审查等一系列安全实践,尽可能从源头上规避这些问题。 ---- ----
84540发布于 2018-04-17 - 来自专栏sktj
Kubernetes(4:架构)
Master 是cluster 的大脑: 运行 kube-apiserver kube-scheduler kube-controller-manager etcd pod restful api scheduler 调度器Scheduler负责决定将Pod放在哪个Node上运行。Scheduler在调度 时会充分考虑Cluster的拓扑结构,当前各个节点的负载,以及应用对高可用、性能、数据亲和性的需求。 Controller Manager负责管理Cluster各种资源,保证资源处于预期的状态。Controller Manager由多种controller组成,包括replicationcontroller、endpoints controller、namespace controller、serviceaccounts controller等。 etcd负责保存Kubernetes Cluster的配置信息和各种资源的状态信息。当数据发生变化时,etcd会快速地通知Kubernetes相关组件。 Pod要能够相互通信,Kubernetes Cluster必须部署Pod网络,flannel是其中一个可选方案。
40820发布于 2019-09-24 - 来自专栏架构之家
应用架构、技术架构、安全架构、部署架构
在日常软件项目开发与实施中,经常会涉及到各种架构图,如应用架构、技术架构、安全架构、部署架构。今天特意将这些架构图整理如下,提供给大家进行学习参考。 一、应用架构 二、技术架构 三、安全架构 四、部署架构 五、 有需要的同学,可以访问下面地址进行克隆,学习更多内容请访问: https://www.processon.com/u/5f633168e0b34d080d54c128
6.7K32编辑于 2022-12-28 - 来自专栏FreeBuf
企业安全体系架构分析:开发安全架构之综合架构
业务实际问题(比如转账金额与现实不符,转1.1111元之类) 4. 业务BUG监控 针对于业务中断,顾名思义是针对业务的可用性做的监控,哪些原因会导致业务中断? DNS解析监控 4. 日志监控 5. 针对运维与业务的特性,综合考虑这些情况,加之安全架构特性,设计安全逻辑架构图如下: ? 在这里想与大家讨论这么几个问题: 1.体系建设的必要性 2.高层在业务建设与战略发展过程中关心的事情 3.体系建设带来的优势与好处 4.体系建设的运营与维护 第一点:体系建设的必要性 基本上每个月都会有几篇文章来讲述如何建设安全体系架构 ,但是很少有文章会阐述为什么要建立安全体系架构,其实安全体系架构是一个企业在安全方面的综合实力体现,从管理到落实,安全体系架构不仅仅是提高了业务的安全性、合规性,更是企业实力与底蕴的体现,举个例子,我所在的是一家互联网金融公司
1.1K31发布于 2019-07-29 - 来自专栏超级架构师
「企业安全架构」EA874:信息安全架构
信息安全架构框架的结构与内容 企业信息安全架构(EISA)是信息安全计划的关键组成部分。EISA的主要功能是以一致的方式记录和通信安全程序的工件。 信息安全应在架构框架中定义三个维度或视角: ·表示信息安全组织和流程维度的“业务”视图。 然后,随着架构和安全过程的成熟,EISA和EA之间的关系应该变得越来越共生和集成。 ? 图1 EISA(企业信息安全架构)内容 EISA由三层文件组成: 1] 需求:定义架构要实现的目标的文档。 用于实现安全架构的不同方法 术语“安全架构”可替换地用于描述一个过程、一组可交付成果,有时也用于描述作为该过程的结果而实现的解决方案。 企业信息安全架构(EISA)是为支持信息安全计划而交付规划、设计和实现文档(工件)的过程。 EISA过程是一组动态的规划和设计活动。这些活动的确切性质取决于组织对安全架构采取的方法。
1.1K20发布于 2020-07-17 - 来自专栏超级架构师
「企业安全架构」EA874:安全架构团队
安全架构师团队由以下主要角色组成 1] 安全架构师 2] 信息安全架构师 3] 首席信息安全官 4] 信息安全分析员 1] 安全架构师角色 业务要求安全架构师(SA)提供安全的解决方案和服务,这些解决方案和服务可以安全地支持诸如增加利润和生产力 安全必须是EA的一部分。无论组织结构是什么,安全架构师都应该与企业架构师和首席信息安全办公室密切合作。更多细节请参见图。 ? 图1 2] 信息安全架构师 信息安全架构师的角色要求业务洞察力、技术敏锐性以及在不同抽象层次上思考、交流和写作的能力。 与企业架构团队联系,确保安全架构和企业架构之间的一致性,从而协调这些架构中隐含的战略规划。 与IT组织和业务部门团队的资源协调信息安全和风险管理项目。 4] 信息安全分析员 信息安全分析员是信息安全团队的高级成员,与团队其他成员密切合作,制定并实施全面的信息安全计划。这包括定义安全策略、过程和标准。
66650发布于 2020-07-17 - 来自专栏bisal的个人杂货铺
MySQL安全参考架构
我们精心打造了一篇全面的全新技术论文 《MySQL 安全参考架构》[1] ,旨在成为您构建强大有效的数据库安全策略的必备指南。 定制的安全架构:了解所有这些元素如何与 MySQL 安全参考架构结合在一起,为您提供分层安全措施的示例,以实现最大程度的数据保护。 准备好提升您的 MySQL 安全性了吗? 立即下载 《MySQL 安全参考架构》文件并控制您的数据库防御。 如果你对高可用性和灾难恢复感兴趣,建议查看《MySQL 高可用性参考架构》[2],它与安全性密切相关。 《MySQL Reference Architectures for High Availability》PDF 参考资料 [1] 《MySQL 安全参考架构》 PDF: https://www.mysql.com
12200编辑于 2025-06-24 - 来自专栏Java开发必知必会
项目-安全架构
网站安全至关重要,项目越大越应该注重安全问题,以下通过六个方面进行项目安全性方面的控制. 对于2)的实现,在1)中使用的加密算法,都需要依靠安全的密匙才可以进行安全的加密。 2)实现:架构中安全性系列笔记 五:设置web应用防火墙 1)使用一款能够统一拦截请求,过滤恶意参数,自动消毒(转换恶意字符),自动添加token,并且能根据最新攻击和漏洞自动升级,处理掉大部分的网络攻击的产品 六:网站安全漏洞测试 1)当我们将项目的安全性设置完毕后,要进行安全测试。 2)网站安全漏洞扫描:使用扫描工具,对网站模拟各种黑客攻击手段,检测网站安全性。 市场上有许多安全扫描平台。 3)已知安全漏洞测试
60321发布于 2019-01-15 - 来自专栏FreeBuf
企业安全体系架构分析:开发安全架构之可用性架构
上一期大概讲述了安全体系架构的概述以及管理层面的安全体系架构,这一期来讲讲业务在设计时制定安全架构的落地实施。 业务接口可能不止是web层面的,有些业务为了保证传输速率甚至有可能是udp协议传输,也有些业务走的是socket协议,首先就是要确定你的业务接口走的是什么协议,以下以TCP-HTTP协议为主,其他协议的架构安全会在后期叙述 在资金并不充足的情况下(不投入厂商安全设备),那么对应的架构应该如何设计呢? ? 逻辑架构图(可用性部分): ? 首先要有代理服务器,保证应用服务器不会直接暴露在公网上。 安全无止境,并不是设备的堆砌,脚本的堆砌就能保证业务的安全可用,这点是我通过以上3个问题重点想要说的。 下一期会根据可用性架构图来设计安全性部分的架构图和保密性部分的架构图,完整的一套安全架构设计逻辑才算是完整的,本期就先介绍可用性这一部分。
63720发布于 2019-07-15 - 来自专栏FreeBuf
系统安全架构之车辆网络安全架构
4.维护公共安全:车辆网络的安全也与公共安全密切相关,如车辆的实时定位和交通状态可以为交通管理和救援提供重要的信息,如果车辆网络受到攻击或遭到破坏,将会对公共安全产生严重影响。 II. 4.社交工程:攻击者通过诈骗、欺骗、伪装等手段,诱导车主或其他人员揭示车辆网络的安全信息,从而获取非法利益。 车辆网络安全的挑战 1.复杂的系统架构:现代车辆的网络架构非常复杂,包括多个子系统和控制器,这些子系统和控制器相互连接,形成一个复杂的网络体系。 结论 总车辆网络安全架构的设计原则包括: 风险评估:在设计车辆网络安全架构时,应对潜在威胁进行全面风险评估。 多层防御:采用多层次的安全防护策略,包括物理安全、网络安全、应用程序安全等。 4.安全硬件的普及:安全硬件如安全芯片、安全模块等的普及将提高车辆网络的安全性,可以用于车辆身份认证、数据加密、防篡改等方面。
1.3K30编辑于 2023-04-04 - 来自专栏跟着小郑学JAVA
Spring Security入门4:各类软件技术架构中,如何保证安全性?
引言 在架构设计中,应该考虑将安全防护机制分为多个层次,每个层次都有不同的安全措施和策略,确保全面覆盖系统的安全需求。 在架构设计的早期阶段,应该对可能的威胁进行建模和分析,评估系统的风险,以便在设计中考虑相应的安全措施,在架构中加入严格的访问控制,包括身份验证、权限管理和安全策略等,确保只有授权的用户可以进行特定的操作 随着微服务架构的兴起,越来越多的公司开始将单体应用拆分为多个微服务,以提高系统的灵活性和可维护性。 采用前后端分离的架构也会带来一些挑战,比如需要定义清晰的API接口,需要处理好前后端的版本兼容问题,还需要考虑分布式系统的复杂性等。 2.2 如何保证前后端分离软件的安全性? 前后端分离架构提高了开发的效率和扩展性,但同时也带来了一些安全方面的挑战,所以需要采取一定的措施保证前后端分离系统的安全性,请同学做一个简单了解。
51530编辑于 2023-11-21 - 来自专栏我的安全视界观
【企业安全】企业安全架构建设
1 安全组织架构 在甲方的安全工作中,重点自然是在企业的安全建设上,但是为了能持续不断的输出,安全队伍的建设变成了不可或缺的一环。 1.1 理想中团队 按照角色与工作职责,安全相关的岗位可细分为:CSO、安全架构、安全审计、安全测试、代码审计、安全开发、安全运维、安全运营、安全风控等方向,比较理想的安全团队并不是要求设置以上全部岗位 1.3 安全架构组 组成:CTO、CSO、架构师、安全架构师、中间件等各部门领导 职能:重大安全架构决策,安全相关规章制度评审。 2 安全架构规划 安全架构规划是一个非常复杂与庞大的话题,由于水平有限以下观点仅供参考。 因为涉及到安全组织架构、安全架构规划等具有相当高度的内容,很可能会因为视野狭窄与经验不够丰富等因素给大家带来误解,如有错误之处请留言指正。
3K51发布于 2018-06-12 - 来自专栏FreeBuf
企业安全体系架构分析:开发安全架构之可用性架构深入讲解
之前发布了一篇文章《企业安全体系架构分析:开发安全架构之可用性架构》,其中粗略的讲解了一下可用性架构的设计理念,应读者要求,这篇文章将深入讲解什么是可用性架构。 首先我们从整体架构来看,其实安全所关心的无非是3要素:可用性、完整性、机密性。 那么什么是可用性? 完善的故障恢复与防御措施 4. 安全的网络配置 当然其实并不止这4点,但是我们可以着手先从这4点来考虑。 1. 4. 安全的网络配置 安全的网络配置其实是网络管理员做的事情,比如划分VLAN、配置V**、整体网络规划等等。 那么结合《企业安全体系架构分析:开发安全架构之可用性架构》中的拓扑图来看,我们采用CDN加速,入口SLB负载均衡指向两台服务器,一主一备关系。
98220发布于 2019-08-09 - 来自专栏网络安全攻防
苹果安全体系架构
安全架构 下图是IOS系统安全架构图,它分为两个部分,第一个部分是硬件和固件层上面提供的安全保障,第二个部分是软件上面提供的安全保障,可以看到的是在硬件层上面它有一个加密引擎对我们的设备密钥、组密钥以及 苹果的加密引擎是硬件级别的,所有进出的存储数据都要通过苹果加密引擎进行加密,而且加密引擎进行加密的key是跟硬件相关的,所以说我不能把一个设备加密的数据拿到另外一个设备上面去解密,应用沙盒提供了一个数据保护类的一个安全机制 ,这个数据保护类可以保护我们应用类数据的安全性,比如我们在应用沙盒里面写入的数据,我们可以通过数据保护类限定只有在用户解锁了设备之后才能读取这个数据 安全启动 在启动过程中每一步所包含的组件都是通过苹果的签名 如果引导加载程序也通过验证了才会去加载内核,在上面所谓的过程中都会有签名验证,如果某一部发现签名验证失败了就会进入到恢复和固件升级模式,下面我们通过的刷入固件到手机上面这么一个流程来讲解 软件授权 为避免设备降级并为缺少最新安全性更新的早期版本
91510编辑于 2024-04-29 - 来自专栏LoRexxar's Blog
WordPress安全架构分析
WordPress具有插件架构和模板系统。Alexa排行前100万的网站中有超过16.7%的网站使用WordPress。到了2011年8月,约22%的新网站采用了WordPress。 wordpress站点超过500万,毫不夸张的说,每时每刻都有数不清楚的人试图从wordpress上挖掘漏洞… 由于前一段时间一直在对wordpress做代码审计,所以今天就对wordpress做一个比较完整的架构安全分析 安全问题都是出在插件上。 就比如文章阅读数等… 当我们传入 [wpstatistics stat="searches" time="today" provider="sss' union select 1,sleep(5),3,4,5,6 0x06 总结 上面稀里哗啦的讲了一大堆东西,但其实可以说Wordpress的安全架构还是非常安全的,对于Wordpress主站来说,最近爆出的漏洞大部分都是信任链的问题,在wordpress小于4.7
2.1K20编辑于 2023-02-21 - 来自专栏Seebug漏洞平台
Wordpress安全架构分析
WordPress具有插件架构和模板系统。Alexa排行前100万的网站中有超过16.7%的网站使用WordPress。到了2011年8月,约22%的新网站采用了WordPress。 由于前一段时间一直在对wordpress做代码审计,所以今天就对wordpress做一个比较完整的架构安全分析... 0x02 开始 在分析之前,我们可能首先需要熟悉一下wordpress的结构 ├─wp-admin 0x05 Wordpress插件安全 其实Wordpress的插件安全一直都是Wordpress的安全体系中最最薄弱的一环,再加上Wordpress本身的超级管理员信任问题,可以说90%的Wordpress 安全问题都是出在插件上。 0x06 总结 上面稀里哗啦的讲了一大堆东西,但其实可以说Wordpress的安全架构还是非常安全的,对于Wordpress主站来说,最近爆出的漏洞大部分都是信任链的问题,在wordpress小于4.7
2K80发布于 2018-03-16 - 来自专栏python基础文章
网络安全——网络层IPSec安全协议(4)
前言 在前一章讲解了IPSec采用的安全技术,那什么是IPSec安全协议呢?本章将会很透彻的讲解IPSec安全协议。 IPSec用来保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径。 AH头是一个IPv6的扩展头按照RFC2460标准的规定:它的值是头长度减去一个64位,在认证数据为标准的96位时,这个域的值为4。 (3)保留字段:16位,该字段用于今后的扩充,设置为0。 (4)安全参数索引SPl:专有32位值,用以区分那些目的IP地址和安全协议类型相同,但算法不同的数据包。 (5)序列号:32位整数,它代表一个单调递增计数器的值。 通常,当用于IPv6时,AH出现在IPv6逐跳路由头之后,IPv6目的选项之前;而用于IPv4时,AH跟随主IPv4头。
1K20编辑于 2023-10-15 - 来自专栏Fin
安全架构中的前端安全防护
根据Gartner 对安全架构的定义,安全架构是计划和设计组织的、概念的、逻辑的、物理的组件的规程和相关过程,这些组件以一致的方式进行交互,并与业务需求相适应,以达到和维护一种安全相关风险可被管理的状态 因此,安全架构的概念非常宽泛,包括安全控制措施、安全服务(例如身份验证、访问控制等)和安全产品(例如防火墙、入侵检测等)。由于文章篇幅有限,内容聚焦在安全架构中的前端安全防护范畴。 安全设计原则当今安全设计经典理论中,最为经典、被引用最多的是由 MIT 的 Saltzer 教授在 1975 年首先提出的 8 大安全设计基本原则,被安全业界奉为 “经典安全原则”。 劫持/污染如此多的、影响重大的前端安全问题,直接把软件安全防范推上了风口浪尖,安全人员面临着挑战也倍数级增长。 2)集成第三方代码时,开发人员应尽可能了解第三方代码的功能,以及尽可能保证第三方代码的安全性。4、APP 端业务安全。
83600编辑于 2022-11-23 - 来自专栏深圳架构师同盟
EA企业架构、4A架构,业务架构、IT 架构之间是什么关系?
今天继续聊企业架构方面的话题。即对于EA企业架构、4A架构,业务架构、IT 架构之间是什么关系?这些架构之间又有哪些区别和联系? 首先整体回答下问题再展开详细回答。 企业架构一般谈4A架构,即业务架构,数据架构,应用架构和技术架构 。如果只谈业务架构和IT架构。那么IT架构包括了数据架构,应用架构和技术架构。 我原来有一篇文章专门谈企业架构中的4A架构的关系和集成,可以参考我公众号的历史文章文章。 我们常说的4A架构就是业务架构、数据架构、应用架构和技术架构,其实去理解4A架构的集成核心,你仍然要去参考企业架构这本书里面谈到的企业架构元模型。 业务架构到应用架构集成方面,我们刚才讲到了,在业务建模里面会拆分出业务对象、业务活动、业务规则、业务角色这4个核心的要素。这4个核心的要素我们去详细考虑it实现的时候,一定会映射到它相关的应用功能。
55810编辑于 2025-11-17
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号