本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安全+的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!
欢迎各位添加微信号:qinchang_198231
加入安全+ 交流群 和大佬们一起交流安全技术
全文约7000字 5图 阅读约20分钟
公理2:场景(无场景,不安全)
公理3:范围(明确定义架构范围)
公理4:情报(利用情报主导响应)
公理5:信任(准确建模实体信任关系)
公理6:整体分析(跨越所有架构域)
公理7:简洁性(自上而下管理复杂性)
公理8:重用(不要重新发明轮子)
公理9:弹性(通过控制执行降级)
公理10:过程驱动(使用清晰的生命周期)
公理11:优化冲突解决(平衡利益相关方)
公理12:清晰的沟通(跨越业务和技术)
公理13:易用性(注重用户体验)
公理14:设计安全(而非通过隐藏构建安全性)
公理15:优先级(强者保护弱者)
公理16:设备主权(接受不可信网络)
公理17:纵深防御(各层之间彼此独立)
公理18:最小特权(离不开细粒度访问控制)
公理19:访问管理(识别/认证/授权)
公理20:通信安全(网络层安全无法保护应用层)
不要虚构场景,否则后果自负。专为一种场景而设计的安全系统或解决方案,并不总是可以有效地在另一种场景中工作。
这并不是反对重用,可重用的基于组件的架构有很多好处。但是,如果为了节省时间和精力,将安全系统重用于不同的用例,则需要针对这两个用例之间的差异,进行新的风险分析。
该指南还专门针对系统设计中的一个常见错误——访问控制过程的身份识别、身份验证、授权过程的混淆,进行了澄清。
图1-SABSA威胁场景建模
-
NIST网络安全框架(CSF):是150多个RFI响应和许多利益相关方会议的产物。
-
ISO 27000系列:是用于组织和监控企业安全机制的一组控件和过程。
-
ISO 31000-2018:定义了一个周期性的风险管理流程。
-
SABSA平衡风险模型:提供了定义风险相关组件的组织结构。
安全开发过程应使用清晰的生命周期,来解决要求的时间跨度,并引入利益相关方。
所有设备均应能够在不受信任的网络上保持其安全策略。
访问控制包括三种不同的操作过程:
-
识别:识别并区分主体;
-
认证:验证主体的身份;
-
授权:授予主体适当的访问权限。
图4-逻辑访问控制
一提到公理,就会想到几何公理。正是在这种条件反射下,笔者整理了这篇公理后记。希望有助于理解公理之伟大。
-
公理1:任两点必可用直线相连。(直线公理)
-
公理2:直线可以任意延长。
-
公理3:可以以任意一点为圆心,任意长度为半径画圆。(圆公理)
-
公理4:所有直角都相同。(角公理)
-
公理5:过线外一点,恰有一条直线与已知直线平行。(平行公理)
-
数学界公认,黎曼几何是黎曼对数学的最大贡献,由此黎曼成为了近现代最伟大的几何学家,没有之一。黎曼开创的黎曼几何,为后来爱因斯坦的广义相对论提供了数学基础。
-
黎曼和高斯是同时代的师徒巨匠:黎曼在20岁的时候,进入哥廷根大学学习哲学和神学;后来听了高斯的数学课程后,改修数学;高斯也成为黎曼的博士论文导师。
-
注意:黎曼在哥廷根大学发表的《论作为几何基础的假设》演讲,其实只是一个就职演讲,而且只是为了谋求一个大学讲师的职位。
-
黎曼身体多病,羞怯忧郁,内心丰富,喜欢独处。40岁时,因肺结核去世。
-
黎曼1859年提出黎曼猜想。虽然在知名度上,黎曼猜想不及费尔马猜想和哥德巴赫猜想,但它在数学上的重要性要远远超过后两者,当今数学文献中已有超过一千条数学命题以黎曼猜想(或其推广形式)的成立为前提。一百六十年过去,黎曼猜想至今尚未被成功证明。
-
欧式几何:过直线外一点,恰有一条直线与已知直线平行;
-
罗氏几何:过直线外一点,至少有两条直线和已知直线平行;
-
黎曼几何:过直线外一点,没有直线与已知直线平行。
-
欧式几何:三角形的内角和=180度;
-
罗氏几何:三角形的内角和>180度;
-
黎曼几何:三角形的内角和<180度。
-
欧氏几何是平直空间中的几何;
-
黎氏几何是正曲率空间中的几何;
-
罗氏几何是负曲率空间中的几何。
注:点击底部“阅读原文”,可进入The Open Group官方网站,注册后可免费下载《安全架构实践的公理》。
报名参加EISS2020北京站
本文始发于微信公众号(安世加):技术干货 | 网络安全架构:安全架构公理
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论