软考攻略/超详细/系统集成项目管理工程师/基础知识分享11

news2024/11/19 1:40:11

4.7 安全架构(掌握)

        安全保障以风险和策略为基础,在信息系统的整个生命周期中,安全保障应包括技术、管理、人员和工程过程的整体安全,以及相关组织机构的健全等。

4.7.1 安全威胁(掌握)

常见的安全威胁:

4.7.2 定义和范围(掌握)

        安全性体现在信息系统上,通常的系统安全架构、安全技术体系架构和审计架构可组成三道安全防线。

        (1)系统安全架构:构建信息系统安全质量属性的主要组成部分以及它们之间的关系

        (2)安全技术体系架构:安全技术体系架构的任务是构建通用的安全技术基础设施,包括安全基础设施、安全工具和技术、安全组件与支持系统

        (3)审计架构:审计的范围主要包括安全风险在内的所有风险

4.7.3 整体架构设计(掌握)

        构建信息安全保障体系框架应包括技术体系、组织机构体系和管理体系等三部分。信息安全架构设计的三大要素人、管理和技术手段

1、WPDRRC模型

        是我国信息安全专家组提出的信息系统安全保障体系建设模型

2、架构设计

(1)系统安全保障体系:安全保障体系是由安全服务、协议层次和系统单元三个层面组成。

(2)信息安全保障体系:按照安全风险、需求分析、安全策略以及网络与信息的安全目标等方面开展安全体系架构的设计工作。

3、系统设计

系统安全设计要点:

        (1) 网络结构安全

                重点关注:网络拓扑结构是否合理、线路是否冗余、路由是否冗余和防止单点失败等。

        (2) 操作系统安全

                操作系统的安全防范可以采取的措施(如采用安全性较高的网络操作系统、使用权限进行限制);

                通过配备操作系统安全扫描系统对操作系统进行安全性扫描,发现漏洞,及时升级等。

        (3) 应用系统安全

                重点关注:应用服务器,加强登录身份认证、确保用户使用的合法性

网络安全设计要点:

        (1) 隔离与访问控制要有严格的管制制度

        (2) 通过配备防火墙实现网络安全中最基本、最经济、最有效的安全措施

        (3) 对进出网段的所有操作行为进行实时监控、记录

        (4) 病毒防护是网络安全的必要手段,反病毒技术包括预防病毒、检测病毒和杀毒

应用安全设计要点:

        (1) 资源共享严格控制内部员工对网络共享资源的使用,内部子网中不要轻易开放共享目录,在共享时加上必要的口令认证机制。

        (2) 信息存储是指对于涉及秘密信息的用户主机,使用者尽量少开放一些不常用的网络服务,对数据库做安全备份,可以对数据库进行远程备份存储。

安全管理设计要点:

        (1) 制定健全安全管理体制是网络安全得以实现的重要保证,如安全操作流程、安全事故的奖罚机制以及任命安全管理人员

        (2) 构建安全管理平台将会降低许多因为无意的人为因素而造成的风险(如组成安全管理子网、安装集中统一的安全管理软件、网络设备管理系统以及网络安全设备统一管理软件等)

        (3) 经常对单位员工进行网络安全防范意识的培训

4.7.4 网络安全架构设计(掌握)

1、OSI安全架构

        OSI定义了7层协议,其中除第5层(会话层)外,每一层均能提供相应的安全服务。实际上,最适合配置安全服务的是在物理层、网络层、传输层及应用层上,其它层都不宜配置安全服务

        OSI开放系统互联安全体系的5类安全服务包括鉴别、访问控制、数据机密性、数据完整性和抗抵赖性

OSI通过以下三种方式将防御能力分布至整个信息系统中

1)多点技术防御:

        多点技术防御通过对以下多个核心区域的防御达到防御所有方式攻击的目的。

        网络和基础设施:为了确保可用性,局域网个广域网需要进行保护以抵抗各种攻击;为了确保机密性和完整性,以防止非故意的泄露。

        边界:为了抵御主动的网络攻击,边界需要提供更强的边界防御,例如流量过滤和控制以及入侵检测

        计算环境:为了抵御内部、近距离的分布攻击,主机和工作站需要提供足够的访问控制

2)分层技术防御:

        即使最好的可得到的信息保障产品也有弱点,其最终结果将使对手能找到一个可探查的脆弱性,一个有效措施是在对手和目标间使用多个防御机制。

3)支撑性基础设施:

        包括公钥基础设施以及检测和响应基础设施

        信息系统的安全保障不仅仅依赖于技术,还需要非技术防御手段。一个可接受级别的信息保障依赖于人员、管理、技术和过程的综合

2、认证框架

        鉴别的基本目的是防止其他实体占用和独立操作被鉴别实体的身份

        鉴别的方式:已知的(如一个秘密的口令);拥有的(如IC卡、令牌等);不改变的特性(如生物特征);相信可靠的第三方建立的鉴别(如递推);环境(如主机地址等)

        鉴别信息是指申请者要求鉴别到鉴别过程结束所生成、使用和交换的信息。

        鉴别信息类型有交换鉴别信息、申请鉴别信息和验证鉴别信息

        鉴别服务分为以下阶段:安装阶段、修改鉴别信息阶段、分发阶段、获取阶段、传送阶段、验证阶段、停活阶段、重新激活阶段、取消安装阶段

3、访问控制框架

        ACI(访问控制信息):用于访问控制目的的人格信息

        ADI(访问控制判决信息):是在做出一个特定的访问控制判决时可供ADF使用的部分

        ADF(访问控制判决功能):是一种特定功能,它通过对访问请求、ADI以及该访问请求的上下文使用访问控制策略规则而做出访问控制判决。

        AEF(访问控制实施功能):确保只有目标运行的访问才由发起者执行。

4、机密性框架

        机密性服务的目的是确保信息仅仅是对被授权者可用

4.8 云原生架构

        “云原生”——CloudNativeCloud就是指其应用软件和服务是在云端而非传统意义上的数据中心。Native代表应用软件从一开始就是基于云环境,专门为云端特性而设计。可充分利用和发挥云环境的弹性与分布式优势。

4.8.1 发展概述(了解)

        DevOps可以看作是开发、技术运营和质量保障三者的交集

        云原生架构旨在将云应用中的业务代码部分进行最大化的剥离,从而让云设施接管应用中原有的大量非功能特性(如弹性、韧性、安全、可观测性、灰度等),具备轻量、敏捷、高度自动化的特点。

4.8.2 架构定义(掌握)

        云原生的代码通常包括三部分:业务代码(实现业务逻辑的代码)、三方软件(是业务代码中依赖的所有三方库,包括业务库和基础库)、处理非功能特性(实现高可用、安全、可观测)的代码

        

4.8.3 基本原则(掌握)

        云原生架构原则:服务化(拆分为微服务架构、小服务架构等)、弹性(指系统的部署规模可以随着业务量的变化而自动伸缩)、可观测(主动通过日志、链路跟踪和度量等手段,使得一次点击背后的多次服务调用的耗时、返回值和参数都清晰可见)、韧性(核心目标是提供业务服务的能力)、所有过程自动化(实现整个软件交付和运维的自动化)、零信任(其本质诉求是以身份为中心进行访问控制)、架构持续演进(此云原生架构本身必须是一个具备持续演进能力的架构)

4.8.4 常用架构模式(掌握)

        常用的架构模式主要有服务化架构、Mesh化架构、Serverless、存储计算分离、分布式事务、可观测、事件驱动等。

1、服务化架构模式

        服务化架构模式是新时代构建云原生应用的标准架构模式

        服务化架构的典型模式是微服务和小服务模式

2、Mesh化架构模式

        Mesh(网络)化架构是把中间件框架从业务进程中分离,让中间件的软件开发工具包与业务代码进一步解耦,从而使得中间件升级对业务进程没有影响。

3、Serverless模式

        Serverless(无服务器)将“部署”这个动作从运维中“收走”,使开发者不关心应用运行地点、操作系统、网络配置、CPU性能等。也就是把应用的整个运行都委托给云。

        Serverless并非适用任何类型的应用:

        如果应用是有状态的、如果应用是长时间后台运行的密集型计算任务、如果应用设计频繁的外部I/O

        Serverless非常适合于:时间驱动的数据集计算任务、计算时间短的请求/响应应用、没有复杂互相调用的长周期任务

4、云存储计算分离模式

5、分布式事务模式

6、可观测架构

        可观测架构包括Logging、Tracing、Metrics三个方面

        Logging(日志)提供多个级别的详细信息跟踪,由应用开发者主动提供;

        Tracing(追踪)提供一个请求从前端到后端的完整调用链路跟踪

        Metrics(度量)提供对系统度量化的多维度度量

7、事件驱动架构

        事件驱动架构本质上是一种应用/组件间的集成架构模式

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2200249.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

ZigMa: A DiT-style Zigzag Mamba Diffusion Model

ZigMa: DiT风格之字形Mamba扩散模型 论文链接:https://arxiv.org/abs/2403.13802 项目链接:https://taohu.me/zigma/ Abstract 扩散模型长期以来一直受到可扩展性和二次复杂度问题的困扰,特别是在基于Transformer的结构中。在本研究中&…

第38讲:Ceph分布式存储集群部署

文章目录 1.Ceph分布式存储集群安装方式2.Ceph集群环境规划3.基础环境配置3.1.设置主机名以及SSH免密登录3.2.配置Ceph yum源 4.部署Ceph分布式存储集群4.1.安装Ceph-deploy自动化部署工具4.2.初始化创建一个Ceph分布集群4.3.在每个节点中部署Ceph集群所有的组件4.4.部署并配置…

【在Linux世界中追寻伟大的One Piece】DNS与ICMP

目录 1 -> DNS(Domain Name System) 1.1 -> DNS背景 2 -> 域名简介 2.1 -> 域名解析过程 3 -> 使用dig工具分析DNS 4 -> ICMP协议 4.1 -> ICMP功能 4.2 -> ICMP报文格式 4.3 -> Ping命令 4.4 -> traceroute命令 1 -> DNS(Domain Na…

【JS】判断快乐数

思路 这里主要是需要熟悉对取值各个位数上的单数操作,也就是数字拆分方法: 转化为字符串,使用split方法 // 将数字转换为字符串,以便拆分为单个数字 let arr ( (totalCount || n)).split(); 使用数学运算符 let sum 0; // 初始…

hgkhjhkj

📢博客主页:https://blog.csdn.net/2301_779549673 📢欢迎点赞 👍 收藏 ⭐留言 📝 如有错误敬请指正! 📢本文由 JohnKi 原创,首发于 CSDN🙉 📢未来很长&#…

Android Media3 1.4.0 新特性解析

Android Media3 1.4.0 新特性解析 Media3 1.4.0 的发布为 Android 开发者带来了众多重要的新特性和增强功能,进一步提升了媒体播放体验。本文将详细介绍该版本中的关键更新,涵盖 ExoPlayer 预载工具、HDR 支持的改进、字幕处理优化、PlayerView 中的图像支持,以及 MediaSes…

GAMES104:16 游戏引擎的玩法系统:基础AI-学习笔记

文章目录 一,寻路/导航系统Navigation1.1 Walkable Area1.1.1 Waypoint Network1.1.2 Grid1.1.3 Navigation Mesh1.1.4 Sparse Voxel Octree 1.2 Path Finding1.2.1 Dijkstra Algorithm迪杰斯特拉算法1.2.2 A Star(A*算法) 1.3 Path Smoothin…

Docsify搭建个人博客

前提:电脑安装了Node.js 安装到本地 CMD命令下输入node -v查看是否已经安装了Node.js 安装docsify-cli工具:npm i docsify-cli -g 使用git下载docsify-Plus项目,Gitee地址:https://gitee.com/librarycodes/docsify-plus cd…

基于SpringBoot的国家基础信息管理功能的设计与实现

目录 前言 一、标准信息参考 1、信息来源 二、后台基础信息的维护管理 1、实体类和Mapper类 2、业务层和控制层设计 3、前端界面实现 三、管理页面效果 1、列表管理界面 2、国家信息调整 四、总结 前言 在之前的博客中,我们基于GeoTools工具实现了全球各个…

Base64字符串转图片在线工具

版权声明 本文原创作者:谷哥的小弟作者博客地址:http://blog.csdn.net/lfdfhl 基本原理 Base64编码,作为一种将二进制数据转换为文本格式的方法,其核心在于利用64个可打印字符来表征任意的二进制信息。这一编码方式的出现&#…

应急响应:DHCP$DNS劫持实战

目录 DHCP DHCP安全性: DHCP常见的攻击手段: DNS DNS常见的攻击方式: DNS&DHCP攻击实战演练: 环境配置: 利用: 排查: 防御: DHCP 介绍: DHCP(…

【Redis】Set类型的常用命令与应用场景

目录 1.命令小结 2.命令解析 3.编码方式与应用场景 1.命令小结 (1)set的特点 1)set中存放的数据也都是String类型 2)set集合中的元素是无须的 3)set集合中的元素是唯一的,不可重复 (2&a…

苦瓜检测系统源码分享

苦瓜检测系统源码分享 [一条龙教学YOLOV8标注好的数据集一键训练_70全套改进创新点发刊_Web前端展示] 1.研究背景与意义 项目参考AAAI Association for the Advancement of Artificial Intelligence 项目来源AACV Association for the Advancement of Computer Vision 研究…

以光塑形:光固化3D打印机原理图文解析

公众号端: 光固化打印机介绍https://mp.weixin.qq.com/s?__bizMzkwMjc0MTE3Mw&mid2247484073&idx1&sn0d0fd026b373b06cd7c340ec8f56a006&chksmc0a1af73f7d62665a632baebbde4e5e00ffb9c6bd31bf547b4a86855d5524535619a6175a428#rd 光固化打印机…

linux如何与网络时间对齐(雪花算法ID重复)

文章目录 前言一、可能引发什么问题?二、调整步骤1.查看当前系统时间2.修改为中国时区3.同步网络时间4. 雪花id重复 总结 前言 linux服务器是部署服务的不二之选,有个小问题不可忽略: 会发现默认的服务器时间并非中国时区,时间也是相差八小时,中国时区…

python全栈学习记录(二十四)元类、异常处理

元类、异常处理 文章目录 元类、异常处理一、元类1.元类控制类的实例化2.属性/方法的查找顺序3.单例 二、异常处理 一、元类 1.元类控制类的实例化 类的__call__方法会在产生的对象被调用时自动触发,args和kwargs就是调用实例时传入的参数,返回值是调用…

Hotspot是什么?

Hotspot 简单来说,JVM的一种。 一、HotSpot 的官方定义 HotSpot 是 Oracle 公司开发的一个高性能的 Java 虚拟机(JVM)。它通过一系列先进的技术和优化手段,为 Java 应用程序提供高效的运行环境,实现了跨平台的代码执行…

文献下载/影响因子查询/文献检索/文献翻译平台推荐

文献下载平台 科研通 文献互助平台 - 科研通(AbleSci.com) 每天签到可领10积分,右上角求助文献,一篇10积分,基本实现免费下载。 尽量输入doi(类似文献id),如果没有doi则输入标题作者摘要等信息&#xff0…

SpringBoot 整合JPA

spring data jpa JPA(java persistence api) JPA是Java Persistence API的简称,中文名Java持久层API,是JDK 5.0注解或XML描述对象-关系表的映射关系,并将运行期的实体对象持久化到数据库中。 [1] Sun引入新的JPA ORM规范出于两…

链表Set_LinkList(建立)

用单链保存集合元素,元素由键盘输入。输入以-1结束,将所建链表打印输出。 链表结构如下图所示: 提示: 1.链表中数据元素为整型,typedef int ElemType; 2.用结构体自定义链表结构Set_LinkList ; 3.初始化链表…