精华内容
下载资源
问答
  • 信息安全技术体系

    2021-01-29 10:40:39
    信息安全技术体系 这是一个学习安全的大框架,正好碰到了就记录下来,如果有发现遗漏,欢迎留言补充 核心基础安全技术:包括密码技术、信息隐藏技术 安全基础设施技术:包括标识与认证技术、授权与访问控制技术等 ...

    信息安全技术体系

    这是一个学习安全的大框架,正好碰到了就记录下来,如果有发现遗漏,欢迎留言补充

    • 核心基础安全技术:包括密码技术、信息隐藏技术
    • 安全基础设施技术:包括标识与认证技术、授权与访问控制技术等
    • 基础设施安全技术:包括主机系统安全技术、网络系统安全技术等
    • 应用安全技术:包括网络与系统攻击技术、网络与系统安全防护与应急响应技术、安全审计与责任认定技术、恶意代码检测与防范技术、内容安全技术等
    • 支援安全技术:包括信息安全技术框架、信息安全测评与管理技术
    展开全文
  • 第 2部分提出安全是一项共同责任,Windows Azure为您的应用程序提供超出内部部署应用程序需求的强大安全功能。但另一方面,它也暴露了您应该考虑的其他漏洞。 此部分中将探索如何检查应用程序的体系结构。模式与...

    构建云应用程序时,安全始终是计划和执行Windows Azure的首要核心因素。第 1 部分介绍了威胁形势并且建议您的应用程序使用深度防御。第 2部分提出安全是一项共同责任,Windows Azure为您的应用程序提供超出内部部署应用程序需求的强大安全功能。但另一方面,它也暴露了您应该考虑的其他漏洞。

    此部分中将探索如何检查应用程序的体系结构。模式与实践团队提出通过安全框架检查应用程序,以便您在开始编码之前即确定威胁和您的响应。

    此部分还介绍了如何将Microsoft安全开发生命周期 (SDL)通过规定的方式应用于您的组织以解决应用程序生命周期中每个阶段的安全性问题。

    安全框架

    透过安全框架,您可以轻松了解应用程序的安全状况。

    此概念在Windows Azure安全记要中有详细说明。该文档由模式与实践团队的首席项目经理 J.D. Meier Paul Enfield撰写。该文档还收集了客户、现场工程师、产品团队和业内专家的意见,提供了基于常见原则、模式和实践确保 Windows Azure上的常见应用程序方案的安全性的解决方案。

    那篇文档概述了您可能遇到的威胁、攻击、漏洞和应对措施。它还详述了一组方案,其中包含许多常见的应用程序类型。那篇文档提供了一个安全框架,指导设计和构建 Windows Azure应用程序时的安全性考虑。

    那篇文档开头介绍了一个常见的 ASP.NET应用程序,并确定了一组操作且为它们分类:

    ·  审计和日志记录

    ·  身份验证

    ·  授权

    ·  通信

    ·  配置管理

    ·  加密

    ·  异常管理

    ·  敏感数据

    ·  会话管理

    ·  验证

    此方法可帮助您解决安全框架所识别的关键安全热点,以确保解决方案的安全。

    对于内部部署应用程序,您需要分别处理各个主要问题。下图显示了一种十分典型的内部部署应用程序体系结构,然后标出了相应的热点。

    借助托管基础结构,我们可以少费神一些问题,因为这些问题由托管基础结构进行处理。例如,Windows Azure应用程序没有权限创建用户帐户或者提升权限。

    文档中建议您

    使用基本图表示您的体系结构,然后将框架覆盖在基本图之上。应用框架之后,即可评估每一项的适用性并快速排除不需要关注的类别。

    文档中还介绍了 28 种不同的攻击并提出可用于增强应用程序安全性的 71个建议。事实上,这些即为您可以应用于自己组织中的编码标准。(如需详细了解软件开发过程中应采用的标准,请参见第 18页的应对措施介绍)。

    选择 Web 服务安全体系结构

    文档中介绍了多个应用程序方案,它们代表一组涉及基于 Web的服务的 Windows Azure平台上的常见应用程序实现方案。

    ·   ASP.NET 连接到 WCF。此方案演示了 Windows Azure托管和 ASP.NET应用程序、WCF 服务以及如何连接这两者。此方案使用传输安全性,并且以单一身份进行服务调用。

    ·  本地部署的 ASP.NET连接到 Windows Azure上的 WCF。在此方案中,本地部署的 ASP.NET应用程序通过使用消息安全性并传递原始调用方的标识来调用托管在 Windows Azure上的 WCF 服务。

    ·  ASP.NET 通过Claims连接到 WCF此方案使用 Windows Identity Framework ASP.NET应用程序连接到 WCF服务,同时使用身份验证token中的claim进行身份验证并保留已通过身份验证的用户的标识。

    ·  使用 AppFabricAccess Control REST服务。在此方案中,使用RESTful接口实现 Web 服务。要对 REST 服务访问进行身份验证,使用 AppFabricAccess Control获取SimpleWebToken (SWT)Access Control ADFS等身份提供程序之间具有信任关系,以颁发SimpleWeb Token

    其中描述了每种体系结构的权衡,然后提供了每个方案的用例。

    它还提供了为您的应用程序选择适当方案的标准。

    选择数据安全体系结构

    以下应用程序方案代表 Windows Azure平台上一组涉及数据存储安全性的常见应用程序实现方案。

    ·  ASP.NET 连接到 Azure 存储:此方案演示了如何确保访问Windows Azure存储时的安全。它使用 ASP.NET成员身份和角色,同时将用户映射到单个连接。

    ·  ASP.NET 连接到 SQL Azure:在此方案中,SQL Azure访问为用户提供不同数据权限级别,方法是映射这些级别到预设的角色。

    ·  内部部署的 ASP.NET通过 WCF 连接到 Azure 上的数据。此方案演示了通过使用 WCF将内部部署应用程序连接到托管在云中的数据来实现数据即服务

    ·   Windows Azure上的 ASP.NET 连接到内部部署的 SQL Server:在此方案中,您已将 ASP.NET应用程序部署到 Windows Azure,但是数据仍在内部部署储存。WCF服务用于展示数据,Windows Azure Service Bus 用于通过企业防火墙向 Windows Azure应用程序暴露服务。

    其中针对每种数据安全体系结构描述了每种数据存储方式的优势和考虑因素。

    核对清单

    文档中提供了用于确保 Windows Azure应用程序安全的核对清单。每个要点都有一个核对清单:

    ·  体系结构和设计

    ·  部署注意事项

    ·  审计和日志记录

    ·  身份验证

    ·  授权

    ·   通信

    ·   配置管理

    ·   加密

    ·   异常管理

    ·   输入和数据验证

    ·   敏感数据

    下面列出了针对体系结构和设计的核对清单示例,其中定义了您需要在应用程序体系结构中执行的操作,同时强调了基于角色的安全性:

    □  应用程序身份验证代码已从应用程序代码中移除,并且单独实现。
    □ 不通过应用程序决定用户身份,而是通过用户提供的claim来确定身份。
    □  设计确定了应用程序所需的权限。
    □  设计验证了所需的权限不超过 Windows Azure信任策略。
    □  设计确定了对存储选项功能的存储要求。
    □  应用程序不使用显式 IP地址,而是使用友好的 DNS名称。

    您可以使用针对特定威胁的应对措施来设计和实现每种类别的软件。

    ·  备忘单 - Web应用程序安全性威胁和应对措施概览

    ·  备忘单 - Web服务 (SOAP) 安全性威胁和应对措施概览

    ·  备忘单 - Web服务 (REST) 安全性威胁和应对措施概览

    ·  备忘单 -数据安全性威胁和应对措施概览

    Windows Azure安全记要中的表单和其他信息可以帮助您顺利地开始工作。

    在开发生命周期中设置安全性

    经常有用户问我,Microsoft是如何保证我们自己的应用程序以及Windows Azure本身的安全的。

    Microsoft 要求任何由 Microsoft开发、部署在 Windows Azure上的软件均遵循Microsoft安全开发生命周期 (SDL)

    安全开发生命周期 (SDL) 是一个软件开发安全性确保过程,由分为七个阶段的安全实践组成:培训、需求、设计、实现、验证、发布和响应。

     

    从需求阶段开始,SDL 过程包括在开发托管在 Microsoft云中的应用程序时需要考虑的多个特定活动:

    需求此阶段的主要目标是确定关键安全目标并最大限度地提高软件安全性,同时最大限度地减少对客户可用性、计划和调度的干扰。此活动可以包括在处理托管应用程序时的操作性讨论,主要关注定义服务如何使用网络连接和消息传输。

    设计此阶段中的关键安全性步骤包括记录潜在的攻击面和对威胁进行建模。与需求阶段一样,在对托管应用程序执行此过程时可以确定相应的环境标准。

    实现此阶段中将进行编码和测试。在实现过程中,关键做法是避免创建具有安全漏洞的代码并采取措施解决此类问题(如有)。

    验证当新应用程序视为功能完备时,即开始测试阶段。在此阶段中,应密切注意确定在真实场景中部署应用程序时存在哪些安全风险以及可以采取哪些措施来消除或缓和这些安全风险。

    发布在此阶段进行最终安全性审查 (FSR)。如果需要,还可以在将新应用程序发布到 Microsoft云环境之前进行操作安全性审查 (OSR)

    响应对于 Microsoft的云环境而言,SIM 团队主要负责对安全事件做出响应并与产品团队、服务交付团队和 Microsoft安全响应中心成员密切合作,以便对所报告的事件进行分类、研究和更正。

    工具和流程

    SDL 包括各种免费工具和流程。例如,您可以使用:

    ·  SDL 威胁建模工具 v3.1.8是一款帮助工程师发现和解决系统安全问题的工具。

    ·  MiniFuzz 基本文件模糊测试工具是一款用于简化模糊测试部署的简单模糊测试工具。

    ·  正则表达式文件模糊测试工具是一款用于测试潜在拒绝服务漏洞的工具。

    SDL 同样适用于构建在 Windows Azure平台和其他任何平台上的应用程序。大多数 Windows Azure应用程序已使用或者即将使用敏捷方法构建。因此,相对于基于经典阶段的 SDL而言,适用于敏捷过程的SDL可能更适用于托管在 Windows Azure上的应用程序。Microsoft SDL网站还详细介绍了 SDL for Agile

    参考

    Windows Azure 安全记要非常感谢模式与实践团队的J.D. Meier Paul Enfield

    有关 SDL 的详细信息,请参见Microsoft 安全开发生命周期 (SDL)页面。

    视频

    ·   在 Windows Azure 内应用 Microsoft SDL 设计实践

    ·   在 Windows Azure 内应用 Microsoft SDL 实现阶段

    ·   在 Windows Azure 内应用 Microsoft SDL 发布实践

    下一篇文章

    Windows Azure 安全最佳实践 - 第 4 部分:需要采取的其他措施。除了保护应用程序免受威胁之外,您还需要在部署应用程序时采取其他措施。我们提供了在开发和部署应用程序时应使用的一系列缓解方法。

    以下是本系列中的文章的链接:

    ·   Windows Azure 安全最佳实践 - 第 1 部分:深度解析挑战防御对策

    ·   Windows Azure 安全最佳实践 - 第 2 部分:Azure 提供哪些现成可用的安全机制

    ·   Windows Azure 安全最佳实践 - 第 4 部分:需要采取的其他措施

    ·   Windows Azure 安全最佳实践 - 第 5 部分:基于Claims的标识,单点登录

    ·   Windows Azure 安全最佳实践 - 第 6 部分:Azure 服务如何扩展应用程序安全性

    ·   Windows Azure 安全最佳实践 - 第 7 部分:提示、工具和编码最佳实践

     本文翻译自:

    http://blogs.msdn.com/b/usisvde/archive/2012/03/09/windows-azure-security-best-practices-part-3-identifying-your-security-frame.aspx

    转载于:https://www.cnblogs.com/sesexxoo/p/6191081.html

    展开全文
  • 这种类型的体系结构将webapp的角色转变为对服务器端HTML渲染几乎没有责任的API提供程序。 对于严重依赖JSON的客户端呈现的Web应用程序,单页应用程序(SPA)以及为驱动移动应用程序的后端提供动力的这种架构,此...
  • 它还介绍了共享责任模型和接近云安全框架。知识架构图:云计算概念和体系架构域包括(源自于:CSA云安全指南-域1):一、云计算概述云计算是一种新的运作模式和一组用于管理计算资源共享池的技术。NIST将云计算...

    35454d0d1bca4de04c4892b77e31bfcb.png

    内容概述:本单元涵盖了云计算的基础知识,包括定义、构架和虚拟化的角色。主要议题包括云计算服务模型,部署模型和基本特征。它还介绍了共享责任模型和接近云安全的框架。

    知识架构图:

    8f1f108e049631ee3e5dd1a70c9d864d.png

    云计算概念和体系架构域包括(源自于:CSA云安全指南-域1):

    一、云计算概述

    云计算是一种新的运作模式和一组用于管理计算资源共享池的技术。NIST将云计算定义为:云计算是一个模式,它是一种无处不在的、便捷的、按需的、基于网络访问的、共享使用的、可配置的计算资源(如:网络、服务器、存储、应用和服务),并可以通过最少的管理工作或与服务提供商的互动来快速置备并发布。ISO/IEC的定义非常相似:通过自服务置备和按需管理,实现网络可访问、可扩展的、弹性的共享物理或虚拟资源池的范式。

    创建云的关键技术是抽象和调配(编排)。我们从底层的物理基础设施中抽象出资源来创建我们的池,并使用调配(和自动化)来协调从池分割和分发各种资源到用户。

    在NIST对云计算的定义中,包括了五个基本特征、三个云服务模型、以及四个云部署模型。五个基本特征包括:资源池化、按需自服务、广泛网络访问、快速弹性、可测量服务。ISO/IEC 17788 列出了六个关键特性,其中前五个特性与NIST 的特征相同。唯一的补充是多租户。三个云服务模型包括:软件即服务(SaaS)、平台即服务(PaaS)、基础设施即服务(IaaS)。四个云部署模型包括:公共云、私有云、社区云、混合云。

    在较高的层次上,云计算和传统计算都遵循一个逻辑模型,该模型有助于根据功能识别不同的层。这有助于说明不同计算模型本身之间的差异:1. 基础设施,包括计算系统的核心组件:计算机,网络和存储,其他组件设立的基础,移动部件;2. 元结构,提供基础设施层与其他层之间接口的协议和机制,是一种将多种技术紧密联系起来、实现管理与配置的粘合剂;3. 信息结构,数据和信息,如数据库中的内容,文件存储等。4. 应用结构,部署在云端的应用程序和用于构建它们的底层应用程序服务。

    云计算与传统计算的关键区别在于元结构。云计算元结构包括了可网络接入且远程访问的管理平台组件。另一个关键的区别在于,在云端,你往往会给每个层次赋予双重的任务。

    二、云安全范围、职责和模型

    云计算是一种共享技术模式,不同的组织通常会承担实施和管理不同部分的责任。因此,安全职责也由不同的组织分担,所有的组织都包含在其中,这通常被称为共享责任模型。

    云安全模型是一个协助指导安全决策的工具。具体包括:1. 概念模型或框架,包括用于解释云安全概念和原理的可视化效果和描述,如CSA 逻辑模型;2. 控制模型或框架,对特定的云安全控制或控制类别进行分类和细化,如CSA CCM;3. 参考架构,是指实现云安全的模板,这个架构通常是具有普遍性的。4. 设计模式,是针对特定问题的可重复使用的解决方案。

    一个相对简单的的高级流程来管理云安全:确定必要的安全和合规要求以及任何现有的控制点->选择云提供商、服务和部署模型->定义架构->评估安全控制->确定控制差距->设计和实施控制以弥补差距->持续管理变更。

    测一测,看看您掌握了多少?

    M1:云计算概念和体系架构域的相关测试:https://jinshuju.net/f/GSbJTI

    展开全文
  • 文章目录信息安全战略风险管理框架合规和隐私保护信息安全责任声明基础安全安全运营管理 信息安全战略 落实安全管控责任 规避与降低安全风险 保障业务安全运行 依法依规保护客户隐私 风险管理框架 合规和隐私保护...

    信息安全战略

    1. 落实安全管控责任
    2. 规避与降低安全风险
    3. 保障业务安全运行
    4. 依法依规保护客户隐私

    风险管理框架

    在这里插入图片描述

    合规和隐私保护

    1. ISO9001:2015 质量管理体系认证
    2. ISO/IEC27001:2013 信息安全管理体系认证
    3. ISO/IEC20000-1:2011 信息技术服务管理体系认证
    4. PCI DSS 支付卡行业数据安全标准合规认证
    5. ADSS(UPDSS)银联卡账户信息安全外部合规评估认证
    6. 中华人民共和国公安部“信息安全等级保护三级”

    信息安全责任声明

    1. 信息安全责任
    2. 信息安全声明

    基础安全

    1. 基础设施安全
      在这里插入图片描述
    2. 物理环境安全
      • 数据中心
      • 办公环境
    3. 系统&网络安全
      • 安全域划分
      • 网络访问控制
      • Linux操作系统安全基线
      • Windows操作系统安全基线
      • 安全设备基线
      • DDos防护
      • 网络攻击防御
      • 传输安全防护
      • 交易报文安全
      • 安全蜜罐管理
    4. 应用安全
      • 应用开发规范
      • 应用安全扫描
      • 纵深防御
    5. 数据安全
      • 数据分类分级
      • 数据使用授权
      • 数据安全审计
      • 数据销毁管理

    安全运营管理

    1. 人员安全
      • 背景调查
      • 聘用条款和条件
      • 安全培训
      • 安全奖惩
    2. 漏洞管理
    3. 应急与灾备
      • 应急与灾备技术
      • 业务连续性管理
      • NOC7*24小时监测
      • 威胁情报管理
      • 网络红蓝对抗
    4. 反欺诈管理
    5. 反洗钱管理
    6. 业务合规管理
    展开全文
  • 在此基础之上,对ATEX认证体系与国内防爆产品认证体系进行了对比分析,相对于ATEX认证体系,我国防爆认证体系框架构建不够完整,防爆产品认证和管理缺乏层次,防爆产品责任主体的界定不够明晰,认证流程不够规范,对认证...
  • 在此背景下,电信运营商的安全责任范畴不断拓宽。近日,中国电信牵手“安全龙头”奇安信集团达成战略合作。双方将共同探讨研究内生安全体系在网络安全、云安全、5G安全、工业互联网安全等领域的实践落地。此次合作...
  • a) 应制定信息安全工作的总体方针和安全策略,说明机构安全工作的总体目标、范围、原则和安全框架等; "a) 应访谈安全主管,询问机构的制度体系是否由安全政策、安全策略、管理制度、操作规程等构成,是否定期对安全...
  • 紧紧抓住责任追究这个关键环节,进一步完善惩防体系框架建设,以“三项建设”、“作风建设年”为工作重点,切实转变机关作风,全面推进政务公开,不断完善规章制度,优化办事环境,提高为民服务水平,切实抓好纪检...
  • 数据库审计技术进化

    2020-10-23 17:45:59
    保障数据安全发展和利用,是各个生产部门,监管单位的重要责任。 数据安全能力建设也紧紧围绕着数据这一关键要素的生存周期来展开,以此理念而诞生的DSMM框架逐渐成为主流建设规范。数据库作为数据的核心载体,...
  • 通过对现行法律框架下监管人员问责机制进行分析,找出目前煤矿生产安全事故监管人员问责机制弊端,结合煤炭行业自身特点,研究监管人员尽职免责或尽职减责的途径,提出健全煤炭领域法制体系、合理定位监管追责范围、全面...
  • 本文以瑞典为例,以一种多监管的背景下可持续的全球方法,探索和分析了气候变化,环境威胁和网络威胁之间的联系。 已经进行了材料的研究和收集,其... 研究的分析任务包括从环境责任体系中选择一些与网络体系非常相似
  • Day003-安全策略体系安全人员管理.pdf Day004-安全风险管理概述.pdf Day005-风险评估和处置.pdf Day006-威胁建模和风险管理框架.pdf Day007-法律法规、采购中的风险和安全教育.pdf Day008-业务连续性计划概述.pdf ...
  • 壹、服务信托业务研究——业务类型、功能定位与前景展望 ………………………… 1 课题牵头单位:中信信托有限责任公司 贰、服务信托分析框架研究——范式创新与行业转型…………………………………… 55 课题牵头...
  • 项目经理个人工作年终总结 项目经理从职业角度,是指企业建立以项目经理责任制为核心,对项目实行质量、安全、进度、成本管理的责任保证体系和全面提高项目管理水平设立的重要管理岗位。下面是小编整理的项目经理...
  • 4.IAM框架体系结构 ①一般框架 42 (1) 使用加密的密钥或密钥句柄进行操作 46 (2) 尽管可能会损害应用程序安全地管理密钥 46 (3) 限制应用程序对键的访问和允许的操作 46  API扩展说明 47 2.架构 47 1.Safety...
  • 9. 角色和责任 147 4.1.3.3. 关键人员简历 150 4.1.4 项目管理方案 150 4.1.4.1. 项目例会 150 4.1.4.1.1. 项目协调会 150 4.1.4.1.2. 项目启动会 150 4.1.4.1.3. 现场安装前的工程协调会 150 4.1.4.1.4. 试...
  • 我们来自互联网,也将永远为互联网发展和进步拼搏,我们不懂得运营与盈利,但是我们确实懂PHP技术(我们依然要学习),可以提供高标准的技术服务和安全高效的产品,希望我们的努力能为您提供一个高效快速和强大的图片...
  • 我们来自互联网,也将永远为互联网发展和进步拼搏,我们不懂得运营与盈利,但是我们确实懂PHP技术(我们依然要学习),可以提供高标准的技术服务和安全高效的产品,希望我们的努力能为您提供一个高效快速和强大的图片...
  • BPMX3支持多个业务系统同时运行及切换处理,根据不同的用户授权允许用户进入不同的系统进行访问,而不同的业务系统的开发可以基于BPMX3平台上开发,也可以由其他开发框架开发再与BPMX3做整合。这种模式非常适合企业...
  • 能帮助你构建知识体系 ... 对线面试官面试系列 【对线面试官】简历 【对线面试官】Java注解 【对线面试官】Java泛型 【对线面试官】Java NIO 【对线面试官】Java反射 && 动态代理 【对线...
  • 25、微软运营框架将配置管理定义为一个非常重要的过程,关于“配置管理”说法正确的是:实现再现或回退到前一版本的配置/需要团队在数据库或其他工具中记录各种配置 /对解决方案各个版本的历史记录进行追溯和控制的...
  • 1.4.1 Android的基本体系结构 14 1.4.2 安全与许可权限 16 1.4.3 开发Android应用程序 17 小结 18 参考资料和更多信息 19 第2章 你的Android开发环境 20 2.1 配置你的开发环境 20 2.1.1 支持的操作...

空空如也

空空如也

1 2
收藏数 26
精华内容 10
关键字:

安全责任体系框架