- 综合排序
- 最热优先
- 最新优先
- 来自专栏网络安全观
美军网络安全 | 第2篇:JIE网络安全架构SSA(单一安全架构)
这一篇,就谈6项关键能力的第1项和8个现代化领域的第2项——JIE网络安全架构SSA(单一安全架构)。 注意:SSA(单一安全架构)在最新的文件中可能被称为CCA(一致网络安全架构)。 •努力方向2:设备加固:减少进入国防部信息网络的内部和外部攻击向量。确保设备正确配置和软件补丁为最新,该项工作还包括禁用电子邮件中的活动链接。 2014年,美军在《陆军网络安全企业参考架构2.0》中提出,当前网络安全防护手段存在以下缺点: (1)各军兵种的网络包含重复、冗余的网络安全控制手段,同一数据在到达接收方路径中会被检查多次,造成效率低下 2、SSA定位: SSA的提出体现了美军为扭转安全防护的不利态势,而在JIE中做出的不懈努力。 2、SSA能力分解 对应地,两种网络中SSA的能力也有所不同。
2.3K10发布于 2021-02-26 - 来自专栏网络安全观
网络安全架构 | 安全架构公理
下载说明:需要《安全架构实践的公理》(中文版+英文版)(中文版70多页,3万多字)的读者,请关注“网络安全观”公众号,并在公众号后台输入文字“安全公理”。 ? 首先列出《安全架构实践的公理》中的20条公理(其中括号中的内容均为笔者添加以助理解): 公理1:业务风险驱动安全 公理2:场景(无场景,不安全) 公理3:范围(明确定义架构范围) 公理4:情报(利用情报主导响应 如果安全架构无法支撑组织利用其资产来完成业务工作,则该安全架构可能被边缘化和显得无用。 安全架构应基于业务风险驱动,并且应该是对这些风险进行适当响应。 02 公理2:场景 不要虚构场景,否则后果自负。 图2-IT技术栈 ? 图3-SABSA业务栈 通过IT技术栈与SABSA业务栈的对比可见,在这两种情况下,顶级资产(IT栈中的信息和业务栈中的业务价值链)都分解为分层架构模型。 规则很简单:网络需要网络安全服务来保护。应用程序需要应用安全服务来保护。 通信安全架构是一门复杂的学科。它必须在通信设备之间采用敌对环境,并且必须同时满足应用程序层安全性和网络层安全性。
1.8K10发布于 2021-02-24 - 来自专栏python基础文章
网络安全协议(2)
2.CC体系一共包括3大部分 分别是:信息技术安全性评价通用准则,信息技术安全评价通用方法,通用准则识别协议。 (2)保护轮廓(PP)。PP是一种TOE类型的安全需求的独立强制性描述。PP是用户对安全需求的明确表述。 EAL2:结构性测试级,证明TOE与系统层次设计概念一致。 EAL.3:工程方法上的测试及验证级,证明TOE在设计上采用了积极安全操作系统安全测评研究的工程方法。 EAL.7:形式化地验证设计和测试级,证明TOE的所有安全功能经得起全面的形式化分析 安全级别和组件之间的关系可以用一张表概括,如表1-2所示。 ---- 2.一般模型 为了消除不正当的压力对评估的影响,CEM定义了4个角色:发起者、开发者、评估者和评估权威机构。
67850编辑于 2023-10-15 - 来自专栏网络安全观
网络安全架构|零信任网络安全当前趋势(下)
该报告的目录如下: 执行摘要 项目背景 何为零信任 建立信任是基础 零信任的益处 部署零信任的建议步骤(本篇从此处开始) 联邦政府中应用零信任的挑战 最后结论(本篇到此处结束) 笔者分为三篇介绍:第一篇参见《网络安全架构 |零信任网络安全当前趋势(上)》;第二篇参见《网络安全架构|零信任网络安全当前趋势(中)》;本篇将介绍剩余的内容,主要涉及零信任的部署方面,这是甲乙方都比较关心的问题。 笔者计划,在介绍完《零信任网络安全当前趋势》这个报告之后,再次放出对NIST《零信任架构》草案的详细介绍。 2)零信任成熟度模型 零信任网络转换不必一次完成。ZT成熟度模型可以帮助指导组织踏上零信任之旅。该模型可以帮助组织、跟踪和沟通正在进行的工作。 采用ZT成熟度模型的方法,可以帮助解决关键能力,以成功和更快速地解决路障,并将机构移入日益成熟的网络安全态势。 2)共享的系统和网络连接 成功的零信任部署的另一个挑战是联邦IT中广泛的系统相互依赖性。
94710发布于 2021-02-26 - 来自专栏网络安全观
网络安全架构|零信任网络安全当前趋势(中)
该报告的目录如下: 执行摘要 项目背景 何为零信任 建立信任是基础(本篇从此处开始) 零信任的益处(本篇到此处结束) 部署零信任的建议步骤 联邦政府中对零信任的挑战 最后结论 笔者分为三篇介绍:第一篇参见《网络安全架构 |零信任网络安全当前趋势(上)》;本篇是第二篇;第三篇将介绍剩余的内容。 笔者计划,在介绍完《零信任网络安全当前趋势》这个报告之后,再次放出对NIST《零信任架构》草案的详细介绍。 2)零信任架构中的控制和数据平面 零信任架构基于控制平面/数据平面模型(见下图): 控制平面:由接收和处理来自希望访问(或准许访问)网络资源的数据平面设备请求的组件组成。控制平面协调和配置数据平面。 2)关注更安全的数据 保护数据在网络中的传输和存储,是任何网络价值的主要部分。保护所有数据,无论是静止的还是运动的,都是ZT架构的主要支柱。
70610发布于 2021-02-26 - 来自专栏网络安全观
网络安全架构|零信任网络安全当前趋势(上)
笔者之前的文章《网络安全架构 | 零信任架构正在标准化》,介绍了美国国家标准技术研究所(NIST)和美国国防部国防创新委员会(DIB)对零信任的认识。 笔者计划,在介绍完《零信任网络安全当前趋势》这个报告之后,再次放出对NIST《零信任架构》草案的详细介绍(之前的介绍只是非常概要的)。原本是想等到NIST放出正式标准后,再全文翻译的。 一些不同的ZT架构方法可供机构选择。 实施ZT的条件: 实施ZT不需要大规模更换现有网络或大量获取新技术。ZT应该增加其他现有的网络安全实践和工具。 支柱2-设备:设备安全 实时的网络安全态势和设备的可信性是ZT方法的基本属性。一些“记录系统”解决方案(如移动设备管理器)提供可用于设备信任评估的数据。 2)其它零信任安全模型 其它几种模型可用于帮助组织理解概念并指导他们在其环境中引入零信任的努力: 零信任扩展( ZTX )生态系统框架:由Forrester开发,该框架被描述为一个安全架构和运行手册。
92220发布于 2021-02-26 - 来自专栏FreeBuf
揭秘美国网络安全体系架构
网络安全体系是一个复杂且综合的系统工程,涵盖了安全组织体系、安全技术体系和安全管理体系。 美国作为拥有最复杂的信息网络的国家之一,平均每5年就会出新的网络概念、新的网络架构和新的网络建设计划。 关于美国的网络安全体系架构是怎么样的?其如何贯穿在美国的网络安全计划中、落实到具体机构的?带着这些困惑,和笔者一起,揭秘美国的网络安全体系架构。 安全体系模型 开头,先聊聊安全体系模型。 国家级的网络安全体系必然不是一蹴而就,要探究如此庞大的体系架构,还是要理论先行。 过去几十年,美国提出了多个网络安全体系模型和框架,比较经典的如PDRR模型、P2DR模型、IATF框架和黄金标准框架,都广为人知并被国内广泛应用。 20世纪90年代末,美国国际互联网安全系统公司(ISS)提出了基于时间的自适应网络安全模型P2DR,该模型最大的特点是可以进行量化与数据证明。
2.5K64发布于 2019-12-09 - 来自专栏网络安全观
网络安全架构|《零信任架构》NIST标准草案(上)
全部内容可通过《网络安全架构|零信任网络安全当前趋势(下)》访问。 介绍 2.零信任网络架构 3.零信任体系架构的逻辑组件 4.部署场景/用例 5.与零信任架构相关的威胁 6.零信任架构与现有联邦指南 7.迁移到零信任架构 附录A:缩略语 附录B:识别ZTA当前技术水平的差距 2)致谢 本文件是多个联邦机构合作的产物,由联邦首席信息官委员会监督。架构小组负责本文档的开发,但有一些特定的人员值得认可。 3)受众 本文档旨在为企业网络架构师描述ZTA策略。 这种复杂性超过了基于周界的网络安全的传统方法,因为企业没有单一的、易于识别的周界。 这种复杂的企业已经导致了一种新的企业网络安全规划方法,称为零信任架构(ZTA)。 这项工作包括关键概念和零信任网络架构模型,该模型改进了在Jericho论坛上讨论的概念。 十多年来,美国联邦机构在许多方面一直在转向基于零信任原则的网络安全。
1.1K10发布于 2021-02-26 - 来自专栏FreeBuf
系统安全架构之车辆网络安全架构
车辆网络安全的挑战 1.复杂的系统架构:现代车辆的网络架构非常复杂,包括多个子系统和控制器,这些子系统和控制器相互连接,形成一个复杂的网络体系。 这种复杂的系统架构增加了车辆网络安全的难度,因为攻击者可以利用系统中的任何一个漏洞来入侵车辆系统。 2.不断更新的技术:车辆网络技术不断更新,车辆系统的软件和硬件也在不断更新。 车辆网络安全架构设计 边缘设备安全 边缘设备是指分布在网络边缘的计算设备,其主要作用是在本地处理数据和执行应用程序,而不是将数据传输到云端进行处理。 结论 总车辆网络安全架构的设计原则包括: 风险评估:在设计车辆网络安全架构时,应对潜在威胁进行全面风险评估。 多层防御:采用多层次的安全防护策略,包括物理安全、网络安全、应用程序安全等。 2.人工智能的应用:人工智能在车辆网络安全中的应用将会越来越广泛,可以用于入侵检测、威胁情报分析等方面,提高车辆网络的安全性。
1.3K30编辑于 2023-04-04 - 来自专栏网络安全观
网络安全架构|《零信任架构》NIST标准草案(下)
其目录如下: 摘要 1.介绍 2.零信任网络架构 3.零信任体系架构的逻辑组件 4.部署场景/用例 5.与零信任架构相关的威胁(下篇自此开始) 6.零信任架构与现有联邦指南 7.迁移到零信任架构 附录 网络安全架构|《零信任架构》NIST标准草案(中)》; 这是下篇。 Trends》),参见《网络安全架构|零信任网络安全当前趋势(下)》。 2)混合ZTA和传统架构 ZTA工作流与传统企业架构的共存,可能会有一段时间。企业向ZTA方法的迁移,可以采取一次迁移一个业务流程的方式。 2)关于ZTA与现有联邦网络安全政策冲突的认知 有一种误解,ZTA是一个单一框架,带有一套解决方案,且与现有的网络安全观并不兼容。
1.3K10发布于 2021-02-26 - 来自专栏网络安全观
网络安全架构 | 零信任架构正在标准化
征求意见的时间范围是:2019年9月23日-2019年11月22日,整整2个月。 《零信任架构》草案封面 《草案》包含零信任架构的定义、逻辑组件、部署场景和方案、潜在困难。 实施ZTA的步骤 2、近十年的探索尝试 事实上,近十年来,美国政府机构在许多方面一直在做基于零信任的网络安全的各类尝试和探索,并推进相关能力建设和政策。 2、当前网络安全:传统边界安全 数字世界的快速发展和扩张伴随着越来越多的复杂网络威胁。 五、国内最大网络安全厂商奇安信的零信任落地解决方案 随着零信任架构理念的不断完善,相关技术也在逐渐发展成熟,零信任架构逐渐从理念走向落地。 希望下一篇切入主题:何谓网络安全架构。
1.2K10发布于 2021-02-26 - 来自专栏python基础文章
网络安全——网络层安全协议(2)
一.IPSec体系结构 1.IPSec体系结构 IPSec(Internet协议安全)是一个工业标准网络安全协议,为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有效抵御网络攻击 (2)广域网:路由器到路由器模式,网关到网关模式。 (3)远程访问:拨号客户机,专网对Internet的访问。 (2)ESP协议。加密IP数据包的默认值、头部格式以及与加密封装相关的其他条款。 (3)AH协议。验证IP数据包的默认值、头部格式以及与认证相关的其他条款。 (4)加密算法。 (2)在IPSec驱动程序数据库中查找相匹配的出站SA,并将SA中的SPI插人IPSec包头。 (3)对数据包签名(完整性检查);如果要求机密,则另外加密数据包。 (2)通过目的地址和SPI,在IPSec驱动程序数据库中查找相匹配的人站SA。 (3)检查签名,对数据包进行解密(如果是加密包的话)。
90420编辑于 2023-10-15 - 来自专栏DDD
架构与架构师2
最近闲了,看了几次李运华关于架构的视频,不禁再次反问架构是什么?架构师的职责是什么? 对于这两个问题,之前也总结过一篇《架构和架构师》[1],再结合他的专栏文章和视频,补充一下 架构 李运华给架构的定义:软件架构指软件系统的顶层结构,缩句成架构指结构,而结构的修饰语蕴含了太多东西,抽象不够直白 ,得行多少路,抽象了多少回,才有的认知,所以我也不打算靠记忆了,不过对于模块和组件的认知很独到 虽然架构定义众家纷说,但对于如何描述架构还是有共识的,那就是“4+1视图”,在《架构和架构师》[2]也描述了 架构师在国内,大多时候可能不是个岗位,而是个角色。大厂还有架构师一说,小厂难得有专职架构师,所以架构师职能还得多多取经大牛,学习一下大牛 架构师能力模型 ? 这个过程,回顾最近几个系统设计的确是这样的 1.业务方提出一个业务,刚开始可能只是个目标,轮廓2.与业务方、产品不停的交流,交流得越深入,需求就越明确3.理解业务并明确需求后,划分模块,不管是传统画ER
56210发布于 2021-03-23 - 来自专栏FreeBuf
车辆网络安全架构——安全通信协议
它使用主-从架构,其中一个主节点控制多个从节点。 然而,与CAN相比,LIN协议在安全性方面的功能有限。 该研究项目时间为2017年1月至2018年2月,随后他们向BMW报告了这些问题。
1.2K20编辑于 2023-08-08 - 来自专栏数通
2款网络安全杀手级工具,教你如何提高网络安全性!
背景 随着云计算、人工智能等互联网技术的不断发展,网络安全形势也面临着非常严峻的考验。 所以网络安全已成为国家都关注的区域之一,作为网络工程师,则更需要了解如何防范这些攻击,才能维护网络的安全性、稳定性。 今天阿祥给大家介绍几款网络安全测试工具,协助大家排查网络中的隐藏安全漏洞,有助于给网络安全防线添砖加瓦! 2、零信任网络测试:它的功能还可以帮助企业检测零信任网络架构,测试零信任网络是否达到预期的要求,确保零信任网络正式使用时不会出现纰漏! 2、操作系统识别:通过特定的网络指纹识别技术,可识别目标主机的操作系统 3、服务探测:检测开放端口上运行的服务及其版本,以便进一步评估风险。
34610编辑于 2024-12-03 - 来自专栏python基础文章
网络安全——数据链路层安全协议(2)
---- (2)IEEE802.10的应用模式 IEEE802.10协议最初的目的是制定一个互操作的局域网安全标准但没有得到业界的响应和支持。 ---- 2.IEEE 802.1q 早期VLAN在网络之间很难实施,每个VLAN都被手动配置在每个交换机上。对VLAN的管理,在一个延伸的网络中是非常复杂的任务。 图2表示了不同Cisco交换机之间的IEEE802.1g干线。 IEEE802.1p/g同属一个协议集,使用同一赖格式,它们是在传统的以太网帧格式中插入了一个标记(Tag)字段,占两个字节,如图2-5所示。
60620编辑于 2023-10-15 - 来自专栏网络安全观
网络安全架构 | 自顶向下的安全架构方法论
全文约4300字 阅读约10分钟 许多具有传统思维定势的网络安全专业人员认为,安全架构只不过是具有安全策略、控制、工具和监视。 图2一目了然地展示了COBIT5产品系列。COBIT使能器(Enabler)是单独或集体地影响某些东西是否能工作的因素。 ? 图2-COBIT 5产品家族 COBIT框架基于五个原则(图3)。 图3-COBIT 5原则 通过使用SABSA框架和COBIT原则、使能器和过程的组合,可以为图2中的每个类别,定义自顶向下的架构。 : 平台安全 硬件安全 网络安全 操作系统安全 文件安全性 数据库安全、实践和程序 定义组件架构并映射到物理架构: 安全标准(例如,美国国家标准与技术研究所(NIST)、ISO) 安全产品和工具(例如, ISACA, COBIT 5, USA, 2012, www.isaca.org/COBIT/Pages/COBIT-5-Framework-product-page.aspx 2.
2.1K20发布于 2021-03-01 - 来自专栏网络安全观
网络安全架构 | IAM(身份访问与管理)架构的现代化
IAM架构现代化的核心是PBCA。关于PBCA的安全模式示例,可参见《网络安全架构 | 安全模式方法论》。 基于资源的访问 二、使用PBAC重构IAM架构 1)重构IAM架构的思路 2)Gartner报告:构建敏捷和现代化身份基础设施 3)NIST标准草案:零信任架构 4)实现IAM架构现代化的方法 三、现实中的 IAM架构 1)类型1:支持IdP的应用程序 2)类型2:支持策略引擎(PDP)的应用程序 3)类型3:支持IGA/IdM的应用程序 4)类型4:断开连接的应用程序 5)授权策略 四、现代化的IAM架构 二、使用PBAC重构IAM架构 01 重构IAM架构的思路 随着面对全球化的数字转型和网络安全威胁向量的持续增长,IAM专家现在发现传统IAM架构模式并不总是合适。 03 NIST标准草案:零信任架构 零信任架构(ZTA)是一个新的概念,它被许多组织所接受。2020年2月,NIST发布了一份针对安全架构师和关于ZTA实施路线图的第二版草案。
7.8K30发布于 2021-03-01 - 来自专栏python基础文章
网络安全——数据链路层安全协议(2)
---- (2)IEEE802.10的应用模式 IEEE802.10协议最初的目的是制定一个互操作的局域网安全标准但没有得到业界的响应和支持。 ---- 2.IEEE 802.1q 早期VLAN在网络之间很难实施,每个VLAN都被手动配置在每个交换机上。对VLAN的管理,在一个延伸的网络中是非常复杂的任务。 图2表示了不同Cisco交换机之间的IEEE802.1g干线。 IEEE802.1p/g同属一个协议集,使用同一赖格式,它们是在传统的以太网帧格式中插入了一个标记(Tag)字段,占两个字节,如图2-5所示。
45130编辑于 2023-10-15 - 来自专栏ops技术分享
Angular 2 架构(上)
Angular 2 应用程序应用主要由以下 8 个部分组成: 1、模块 (Modules) 2、组件 (Components) 3、模板 (Templates) 4、元数据 (Metadata) 5、数据绑定 实例 @Component({ selector : 'mylist', template : '<h2>菜鸟教程</h2>' directives : [ComponentDetails
2.2K10发布于 2021-07-26
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号