- 综合排序
- 最热优先
- 最新优先
- 来自专栏网络安全观
网络安全架构 | 安全架构公理
下载说明:需要《安全架构实践的公理》(中文版+英文版)(中文版70多页,3万多字)的读者,请关注“网络安全观”公众号,并在公众号后台输入文字“安全公理”。 ? ) 公理5:信任(准确建模实体信任关系) 公理6:整体分析(跨越所有架构域) 公理7:简洁性(自上而下管理复杂性) 公理8:重用(不要重新发明轮子) 公理9:弹性(通过控制执行降级) 公理10:过程驱动 框架示例包括: NIST网络安全框架(CSF):是150多个RFI响应和许多利益相关方会议的产物。 ISO 27000系列:是用于组织和监控企业安全机制的一组控件和过程。 09 公理9:弹性 安全系统应在受到胁迫时依然正常运行。 架构的弹性不仅仅是设备,还必须包括人员和流程。 弹性的关键特征是计划内的系统降级——通过控制将系统降级,而非由于无法控制导致故障。 规则很简单:网络需要网络安全服务来保护。应用程序需要应用安全服务来保护。 通信安全架构是一门复杂的学科。它必须在通信设备之间采用敌对环境,并且必须同时满足应用程序层安全性和网络层安全性。
1.8K10发布于 2021-02-24 - 来自专栏网络安全观
美军网络安全 | 第2篇:JIE网络安全架构SSA(单一安全架构)
同时,提到了JIE为国防部构建的6项关键能力:SSA(单一安全架构)、网络规范化、IAM(身份与访问管理)、企业服务、云计算、数据中心整合。 这一篇,就谈6项关键能力的第1项和8个现代化领域的第2项——JIE网络安全架构SSA(单一安全架构)。 注意:SSA(单一安全架构)在最新的文件中可能被称为CCA(一致网络安全架构)。 2014年,美军在《陆军网络安全企业参考架构2.0》中提出,当前网络安全防护手段存在以下缺点: (1)各军兵种的网络包含重复、冗余的网络安全控制手段,同一数据在到达接收方路径中会被检查多次,造成效率低下 尽管美军国防部在各军种、军事机构中推动和实施了多个网络安全战略性项目,但GIG各组成单元间相互脱节的网络安全策略和保护措施多样化的实现途径,导致网络安全本质上的整体保障能力存在巨大风险。 六、总结和预告 这一篇主要介绍了美JIE环境的整体安全架构思想SSA。 关注于落地实现细节的童鞋,可能会有很多疑问。 是的。
2.3K10发布于 2021-02-26 - 来自专栏网络安全观
网络安全架构|零信任网络安全当前趋势(下)
该报告的目录如下: 执行摘要 项目背景 何为零信任 建立信任是基础 零信任的益处 部署零信任的建议步骤(本篇从此处开始) 联邦政府中应用零信任的挑战 最后结论(本篇到此处结束) 笔者分为三篇介绍:第一篇参见《网络安全架构 |零信任网络安全当前趋势(上)》;第二篇参见《网络安全架构|零信任网络安全当前趋势(中)》;本篇将介绍剩余的内容,主要涉及零信任的部署方面,这是甲乙方都比较关心的问题。 笔者计划,在介绍完《零信任网络安全当前趋势》这个报告之后,再次放出对NIST《零信任架构》草案的详细介绍。 在安全架构的任何变化中,重要的是考虑已有的投资可以被利用以及新模型如何以及在哪里快速实现。 重要的是要确保在规划阶段尽早选择正确的方法。 零信任可以提供一种成熟的解决方案,它不需要增加运营复杂性或要求主要的架构改变。事实上,它可以简化运营,同时提高安全性并保护关键的高价值资产。
94710发布于 2021-02-26 - 来自专栏网络安全观
网络安全架构|零信任网络安全当前趋势(中)
一、前言 本文介绍ACT-IAC(美国技术委员会-工业咨询委员会)于2019年4月18日发布的《零信任网络安全当前趋势》(《Zero Trust Cybersecurity Current Trends 该报告的目录如下: 执行摘要 项目背景 何为零信任 建立信任是基础(本篇从此处开始) 零信任的益处(本篇到此处结束) 部署零信任的建议步骤 联邦政府中对零信任的挑战 最后结论 笔者分为三篇介绍:第一篇参见《网络安全架构 |零信任网络安全当前趋势(上)》;本篇是第二篇;第三篇将介绍剩余的内容。 笔者计划,在介绍完《零信任网络安全当前趋势》这个报告之后,再次放出对NIST《零信任架构》草案的详细介绍。 核心ZT成果应集中于:创建更安全的网络,使数据更安全,减少违规带来的负面影响,提高合规性和可视性,实现更低的网络安全成本,并提高组织的整体风险态势。
70610发布于 2021-02-26 - 来自专栏网络安全观
网络安全架构|零信任网络安全当前趋势(上)
笔者之前的文章《网络安全架构 | 零信任架构正在标准化》,介绍了美国国家标准技术研究所(NIST)和美国国防部国防创新委员会(DIB)对零信任的认识。 笔者计划,在介绍完《零信任网络安全当前趋势》这个报告之后,再次放出对NIST《零信任架构》草案的详细介绍(之前的介绍只是非常概要的)。原本是想等到NIST放出正式标准后,再全文翻译的。 一些不同的ZT架构方法可供机构选择。 实施ZT的条件: 实施ZT不需要大规模更换现有网络或大量获取新技术。ZT应该增加其他现有的网络安全实践和工具。 数据基础 零信任架构的目的是保护数据。对一个组织的数据资产的清晰理解,是成功实现零信任架构的关键。 随着代理将其网络部分或完全过渡到软件定义网络(SDN)、软件定义的广域网(SD-WAN)和基于Internet的技术,网络安全正在扩展。
92220发布于 2021-02-26 - 来自专栏FreeBuf
揭秘美国网络安全体系架构
网络安全体系是一个复杂且综合的系统工程,涵盖了安全组织体系、安全技术体系和安全管理体系。 美国作为拥有最复杂的信息网络的国家之一,平均每5年就会出新的网络概念、新的网络架构和新的网络建设计划。 关于美国的网络安全体系架构是怎么样的?其如何贯穿在美国的网络安全计划中、落实到具体机构的?带着这些困惑,和笔者一起,揭秘美国的网络安全体系架构。 安全体系模型 开头,先聊聊安全体系模型。 国家级的网络安全体系必然不是一蹴而就,要探究如此庞大的体系架构,还是要理论先行。 9·11事件后,美国于 2008 年发布第 54 号总统令,旨在从国家层面建设一个的综合的网络空间安全防御系统,核心即实施 CNCI。 作为无风险的环境下,用以训练、评估和改进国家网络安全能力的重要手段,应急演习是国家网络安全体系的测试场。
2.5K64发布于 2019-12-09 - 来自专栏网络安全观
网络安全架构|《零信任架构》NIST标准草案(上)
全部内容可通过《网络安全架构|零信任网络安全当前趋势(下)》访问。 现在,开始介绍2019年9月发布的NIST《零信任架构》草案(《NIST.SP.800-207-draft-Zero Trust Architecture》)。 其公开评论的时间是2019年9月23日至2019年11月22日。本文档的价值,不言而喻。 其目录如下: 摘要 1. 这种复杂性超过了基于周界的网络安全的传统方法,因为企业没有单一的、易于识别的周界。 这种复杂的企业已经导致了一种新的企业网络安全规划方法,称为零信任架构(ZTA)。 这项工作包括关键概念和零信任网络架构模型,该模型改进了在Jericho论坛上讨论的概念。 十多年来,美国联邦机构在许多方面一直在转向基于零信任原则的网络安全。
1.1K10发布于 2021-02-26 - 来自专栏FreeBuf
系统安全架构之车辆网络安全架构
车辆网络安全的挑战 1.复杂的系统架构:现代车辆的网络架构非常复杂,包括多个子系统和控制器,这些子系统和控制器相互连接,形成一个复杂的网络体系。 这种复杂的系统架构增加了车辆网络安全的难度,因为攻击者可以利用系统中的任何一个漏洞来入侵车辆系统。 2.不断更新的技术:车辆网络技术不断更新,车辆系统的软件和硬件也在不断更新。 车辆网络安全架构设计 边缘设备安全 边缘设备是指分布在网络边缘的计算设备,其主要作用是在本地处理数据和执行应用程序,而不是将数据传输到云端进行处理。 解决方案: 多层次的安全架构:可以通过在多个层次(设备、网关、云端)应用多个安全措施来解决边缘设备多样性的问题。 结论 总车辆网络安全架构的设计原则包括: 风险评估:在设计车辆网络安全架构时,应对潜在威胁进行全面风险评估。 多层防御:采用多层次的安全防护策略,包括物理安全、网络安全、应用程序安全等。
1.3K30编辑于 2023-04-04 - 来自专栏网络安全观
网络安全架构|《零信任架构》NIST标准草案(下)
一、前言 本文介绍的是2019年9月发布的NIST《零信任架构》标准草案(《NIST.SP.800-207-draft-Zero Trust Architecture》)。 其公开评论的时间是2019年9月23日至2019年11月22日。本文档的价值,不言而喻。 网络安全架构|《零信任架构》NIST标准草案(中)》; 这是下篇。 Trends》),参见《网络安全架构|零信任网络安全当前趋势(下)》。 上、中、下的整合版可参见:“互联网安全内参”《深度剖析:零信任网络安全当前趋势》,或者“信息安全与通信保密杂志社”《网络安全架构:零信任网络安全当前趋势》。
1.3K10发布于 2021-02-26 - 来自专栏ADAS性能优化
Armv9安全新架构
Arm在今年3月份推出了ARmv9.Arm 期望Armv9架构将是未来3000亿颗基于Arm架构芯片的技术先驱,而Armv9架构中,ARM 提供了机密计算Arm Confidential ComputeArchitecture (Arm CCA)的安全新架构。 Arm CCA 是一系列硬件和软件架构创新,这些创新增强了Arm 对机密计算的支持。Arm CCA 是 Armv9-A架构的关键组件。 Arm CCA 提供额外的安全架构,即使在使用中也能保护数据和代码,并能够更好地控制谁可以访问数据和算法。 这项在 Armv9-A 中引入的技术将通过降低与共享数据相关的风险并帮助开发人员实施强大的隐私控制来帮助释放数据的真正力量和潜力。
1.2K20编辑于 2022-05-13 - 来自专栏网络安全观
网络安全架构 | 零信任架构正在标准化
三、美国国家标准技术研究所发布《零信任架构》草案 1、标准草案的推出 2019年9月,美国国家标准技术研究所(NIST)发布了《零信任架构》草案(SP800-207)(以下简称《草案》),以对外征求意见 征求意见的时间范围是:2019年9月23日-2019年11月22日,整整2个月。 《零信任架构》草案封面 《草案》包含零信任架构的定义、逻辑组件、部署场景和方案、潜在困难。 1)拥有多分支机构的企业 2)多种云环境的企业 3)使用外包服务和/或非员工访问权限的企业 4)跨企业协同的场景 四、美国防部发布零信任架构白皮书 2019年7月9日,美国国防部国防创新委员会(DIB, 五、国内最大网络安全厂商奇安信的零信任落地解决方案 随着零信任架构理念的不断完善,相关技术也在逐渐发展成熟,零信任架构逐渐从理念走向落地。 希望下一篇切入主题:何谓网络安全架构。
1.2K10发布于 2021-02-26 - 来自专栏闲余说
架构设计 9-可扩展架构之分层架构
导读:《架构设计》系列为极客时间李运华老师《从0开始学架构》课程笔记。本文为第九部分。首先整体介绍可扩展架构的基本思想——“拆”,以及如何拆;随后介绍了面向流程的拆分,即分层架构。 典型架构:SOA & 微服务 面向功能拆分 方案:将系统提供的功能拆分,每个功能作为一部分 优势:对某个功能扩展,或者要增加新的功能时,只需要扩展相关功能即可,无须修改所有的服务 典型架构:微内核架构 分层架构 概念:分层架构是很常见的架构模式,它也叫 N 层架构,通常情况下,N 至少是 2 层。 根据不同的划分维度和对象可分为:C/S 架构&B/S 架构、MVC 架构&MVP 架构、逻辑分层架构。 C/S 架构、B/S 架构 划分的对象是整个业务系统 划分的维度是用户交互,即将和用户交互的部分独立为一层,支撑用户交互的后台作为另外一层 MVC 架构、MVP 架构 划分的对象是单个业务子系统 划分的维度是职责
91110编辑于 2022-08-19 - 来自专栏FreeBuf
车辆网络安全架构——安全通信协议
它使用主-从架构,其中一个主节点控制多个从节点。 然而,与CAN相比,LIN协议在安全性方面的功能有限。 破解特斯拉 宣布破解 2016年9月21日,腾讯科恩实验室正式宣布,他们以「远程无物理接触」的方式成功入侵了特斯拉汽车,这在全球尚属首次。
1.2K20编辑于 2023-08-08 - 来自专栏网络安全观
网络安全架构 | 自顶向下的安全架构方法论
全文约4300字 阅读约10分钟 许多具有传统思维定势的网络安全专业人员认为,安全架构只不过是具有安全策略、控制、工具和监视。 程序来设计和实现这些控制: 定义业务风险的概念架构: 治理、政策和领域架构 运行风险管理架构 信息架构 证书管理架构 访问控制架构 事件响应架构 应用安全架构 Web服务架构 通信安全架构 定义物理架构并映射到概念架构 : 平台安全 硬件安全 网络安全 操作系统安全 文件安全性 数据库安全、实践和程序 定义组件架构并映射到物理架构: 安全标准(例如,美国国家标准与技术研究所(NIST)、ISO) 安全产品和工具(例如, Open Group, “Welcome to TOGAF 9.1, an Open Group Standard, http://pubs.opengroup.org/architecture/togaf9- Open Group, “TOGAF 9.1 Architecture Development Cycle,” http://pubs.opengroup.org/architecture/togaf9-
2.1K20发布于 2021-03-01 - 来自专栏网络安全观
网络安全架构 | IAM(身份访问与管理)架构的现代化
IAM架构现代化的核心是PBCA。关于PBCA的安全模式示例,可参见《网络安全架构 | 安全模式方法论》。 2)使用PBAC简化访问控制和智能化权限设置 在PBAC(基于策略的访问控制)下,授权不依赖于任何特定的实现(如XACML),并且可以用自然语言设置策略,如“团队领导只能在工作日的上午9点到下午6点之间 二、使用PBAC重构IAM架构 01 重构IAM架构的思路 随着面对全球化的数字转型和网络安全威胁向量的持续增长,IAM专家现在发现传统IAM架构模式并不总是合适。 零信任架构(ZTA)是一种利用零信任概念且包含组件关系、工作流规划、访问策略的企业网络安全计划。” “这一定义集中在问题的症结上,即防止未授权访问数据和服务的目标,并使访问控制执行尽可能地细粒度。” 例如,网络安全事件或用户通过移动设备的登录,都不会删除任何分配的权限。然而,存储库是静态的,它们的用户和权限必须事先设定。
7.8K30发布于 2021-03-01 - 来自专栏用户5745643的专栏
如何建设网络安全架构及防御措施?
网络架构是指对由计算机软硬件、互联设备等构成的网络结构和部署,用以确保可靠地进行信息传输,满足业务需要。 其他安全机制通过安全设置,安全部署,规划和设计来实现网络架构。 5)在网络边界部署安全设备,规划设备具体部署位置和控制措施,维护网络安全。 首先,明确网络安全防护策略,规划、部署网络数据流检测和控制的安全设备,具体可根据需要部署入侵监测/防御系统、网络防病毒系统、抗DDoS系统等。 其次,还应部署网络安全审计系统,制定网络和系统审计安全策略,具体措施包括设置操作系统日志及审计措施、设计应用程序日志及审计措施等。
1.2K20发布于 2019-08-23 基于SASE的现代化网络安全架构
关键词:SASE、网络安全架构、零信任、SD-WAN、云安全、数字化转型 引言:网络安全的新时代 还记得几年前,企业的IT架构就像一座城堡,高墙围绕,护城河环绕,所有人都在城堡内安全工作。 传统网络架构的"痛点" 想象一下,传统网络架构就像是一个老式的邮局: 传统架构示意图 主要问题: 性能瓶颈 所有流量都要回流到总部数据中心 访问云服务还要"绕道",延迟高得要命 复杂管理 SWG(安全Web网关) SASE vs 传统架构对比 架构对比图 详细对比 维度 传统架构 SASE架构 部署模式 硬件设备,数据中心集中 云服务,全球分布 管理复杂度 多厂商,多界面 统一平台,单一界面 改善幅度 网络延迟 150ms 50ms ⬇️ 66% 运维成本 100万/年 65万/年 ⬇️ 35% 部署时间 3个月 1周 ⬇️ 92% 安全事件 5次/月 1次/月 ⬇️ 80% 用户满意度 6分 9分 记住,最好的架构是最适合自己业务的架构!
54510编辑于 2025-07-17- 来自专栏超级架构师
【服务网格架构】Envoy架构概览(9):访问日志,MongoDB,DynamoDB,Redis
异步IO刷新架构。访问日志记录不会阻塞主要的网络处理线程。 可定制的访问日志格式使用预定义的字段以及任意的HTTP请求和响应头。 alpha" 2) "bravo" 3) (error) upstream failure 4) (error) upstream failure 5) "echo" 微信公众号 关注微信公众号【首席架构师智库 】 微信小号 希望加入的群:架构,云计算,大数据,数据科学,物联网,人工智能,安全,全栈开发,DevOps,数字化,产品转型。 点击加入知识星球【首席架构师圈】 微信圈子 志趣相投的同好交流。 点击加入微信圈子【首席架构师圈】 喜马拉雅 路上或者车上了解最新黑科技资讯,架构心得。 点击,收听【智能时刻,架构君和你聊黑科技】 知识星球 认识更多朋友,职场和技术闲聊。 点击加入知识星球【知识和技术】
1.9K20发布于 2020-07-20 深入解析MySQL(9)——主从复制架构详解
把接收到的内容写入Relay Log Slave的SQL Thread读取Relay Log的内容 Slave的SQL Thread解析日志并转为SQL进行回放操作,把数据写入Databases 1.4 高性能架构 The following signatures couldn't be verified because the public key is not available: NO_PUBKEY 7EA0A9C3F273FCD8 简单来说,这个错误的意思是:“阿里云给了我Docker的软件列表,并且说这是用7EA0A9C3F273FCD8这个钥匙签名的,但是我的钥匙串里没有这把钥匙,所以我无法确认这是不是真的Docker官方列表 解决方法: 把Docker官方的公钥添加到你的系统中 apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 7EA0A9C3F273FCD8 > start replica; # 查看从服务器状态 mysql> show replica status\G; 4.下节预告 深入解析MySQL(10)——基于ShardingSphere的高性能架构详解
25010编辑于 2026-01-13- 来自专栏Python
(9) MySQL主主复制架构使用方法
从数据库和主数据库的数据最终会是一致的 之所以说是最终一致,因为mysql复制是异步的,正常情况下主从复制数据之间会有一个微小的延迟 通过这个数据库副本看似解决了数据库单点问题,但并不完美 因为这种架构下 引入vip后的数据库架构 最简单的方式就是给数据库复制集群上增加一个虚拟ip 虚拟IP(vip): 就是一个未分配给真实主机的ip,也就是说对外提供服务器的主机除了有一个真实IP外还有一个虚拟IP 而前端应用程序使用虚拟 master(也就是老的slave)进行同步,就不得不重新配置主从复制了,特别是在基于日志点的复制情况下,这时候如果我们数据库的数据量非常大,在这种情况下,重新初始化数据也是比较耗时的 所以我们要对主从复制的架构进行一些更改 从哪个值开始 这样修改后,id将会变成2,4,6,8...的形式 Keepalived简介 Keepalived基于ARRP网络协议,ARRP可以将2台设备虚拟成一个设备,可对外提供一个虚拟IP,也就是我们架构中的 目前架构存在的问题 目前架构: 一台主服务器,一台从服务器,加入了keepalived服务来监控主从服务器的运行健康状态,并通过keepalived服务器生成了一个虚拟IP,前端应用是通过虚拟IP来进行数据库的访问
1.1K20发布于 2019-05-25
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号