4.7 安全架构（掌握）

        安全保障以风险和策略为基础，在信息系统的整个生命周期中，安全保障应包括技术、管理、人员和工程过程的整体安全，以及相关组织机构的健全等。

4.7.1 安全威胁（掌握）

常见的安全威胁：

4.7.2 定义和范围（掌握）

        安全性体现在信息系统上，通常的系统安全架构、安全技术体系架构和审计架构可组成三道安全防线。

        （1）系统安全架构：构建信息系统安全质量属性的主要组成部分以及它们之间的关系

        （2）安全技术体系架构：安全技术体系架构的任务是构建通用的安全技术基础设施，包括安全基础设施、安全工具和技术、安全组件与支持系统

        （3）审计架构：审计的范围主要包括安全风险在内的所有风险

4.7.3 整体架构设计（掌握）

        构建信息安全保障体系框架应包括技术体系、组织机构体系和管理体系等三部分。信息安全架构设计的三大要素是人、管理和技术手段。

1、WPDRRC模型

        是我国信息安全专家组提出的信息系统安全保障体系建设模型。

2、架构设计

（1）系统安全保障体系：安全保障体系是由安全服务、协议层次和系统单元三个层面组成。

（2）信息安全保障体系：按照安全风险、需求分析、安全策略以及网络与信息的安全目标等方面开展安全体系架构的设计工作。

3、系统设计

系统安全设计要点：

        (1) 网络结构安全

                重点关注：网络拓扑结构是否合理、线路是否冗余、路由是否冗余和防止单点失败等。

        (2) 操作系统安全

                操作系统的安全防范可以采取的措施（如采用安全性较高的网络操作系统、使用权限进行限制）；

                通过配备操作系统安全扫描系统对操作系统进行安全性扫描，发现漏洞，及时升级等。

        (3) 应用系统安全

                重点关注：应用服务器，加强登录身份认证、确保用户使用的合法性

网络安全设计要点：

        (1) 隔离与访问控制要有严格的管制制度

        (2) 通过配备防火墙实现网络安全中最基本、最经济、最有效的安全措施

        (3) 对进出网段的所有操作行为进行实时监控、记录

        (4) 病毒防护是网络安全的必要手段，反病毒技术包括预防病毒、检测病毒和杀毒

应用安全设计要点：

        (1) 资源共享严格控制内部员工对网络共享资源的使用，内部子网中不要轻易开放共享目录，在共享时加上必要的口令认证机制。

        (2) 信息存储是指对于涉及秘密信息的用户主机，使用者尽量少开放一些不常用的网络服务，对数据库做安全备份，可以对数据库进行远程备份存储。

安全管理设计要点：

        (1) 制定健全安全管理体制是网络安全得以实现的重要保证，如安全操作流程、安全事故的奖罚机制以及任命安全管理人员

        (2) 构建安全管理平台将会降低许多因为无意的人为因素而造成的风险（如组成安全管理子网、安装集中统一的安全管理软件、网络设备管理系统以及网络安全设备统一管理软件等）

        (3) 经常对单位员工进行网络安全防范意识的培训

4.7.4 网络安全架构设计（掌握）

1、OSI安全架构

        OSI定义了7层协议，其中除第5层（会话层）外，每一层均能提供相应的安全服务。实际上，最适合配置安全服务的是在物理层、网络层、传输层及应用层上，其它层都不宜配置安全服务

        OSI开放系统互联安全体系的5类安全服务包括鉴别、访问控制、数据机密性、数据完整性和抗抵赖性。

OSI通过以下三种方式将防御能力分布至整个信息系统中

1）多点技术防御：

        多点技术防御通过对以下多个核心区域的防御达到防御所有方式攻击的目的。

        网络和基础设施：为了确保可用性，局域网个广域网需要进行保护以抵抗各种攻击；为了确保机密性和完整性，以防止非故意的泄露。

        边界：为了抵御主动的网络攻击，边界需要提供更强的边界防御，例如流量过滤和控制以及入侵检测

        计算环境：为了抵御内部、近距离的分布攻击，主机和工作站需要提供足够的访问控制

2）分层技术防御：

        即使最好的可得到的信息保障产品也有弱点，其最终结果将使对手能找到一个可探查的脆弱性，一个有效措施是在对手和目标间使用多个防御机制。

3）支撑性基础设施：

        包括公钥基础设施以及检测和响应基础设施

        信息系统的安全保障不仅仅依赖于技术，还需要非技术防御手段。一个可接受级别的信息保障依赖于人员、管理、技术和过程的综合

2、认证框架

        鉴别的基本目的是防止其他实体占用和独立操作被鉴别实体的身份

        鉴别的方式：已知的（如一个秘密的口令）；拥有的（如IC卡、令牌等）；不改变的特性（如生物特征）；相信可靠的第三方建立的鉴别（如递推）；环境（如主机地址等）

        鉴别信息是指申请者要求鉴别到鉴别过程结束所生成、使用和交换的信息。

        鉴别信息类型有交换鉴别信息、申请鉴别信息和验证鉴别信息

        鉴别服务分为以下阶段：安装阶段、修改鉴别信息阶段、分发阶段、获取阶段、传送阶段、验证阶段、停活阶段、重新激活阶段、取消安装阶段

3、访问控制框架

        ACI（访问控制信息）：用于访问控制目的的人格信息

        ADI（访问控制判决信息）：是在做出一个特定的访问控制判决时可供ADF使用的部分

        ADF（访问控制判决功能）：是一种特定功能，它通过对访问请求、ADI以及该访问请求的上下文使用访问控制策略规则而做出访问控制判决。

        AEF（访问控制实施功能）：确保只有目标运行的访问才由发起者执行。

4、机密性框架

        机密性服务的目的是确保信息仅仅是对被授权者可用

4.8 云原生架构

        “云原生”——CloudNative，Cloud就是指其应用软件和服务是在云端而非传统意义上的数据中心。Native代表应用软件从一开始就是基于云环境，专门为云端特性而设计。可充分利用和发挥云环境的弹性与分布式优势。

4.8.1 发展概述（了解）

        DevOps可以看作是开发、技术运营和质量保障三者的交集。

        云原生架构旨在将云应用中的业务代码部分进行最大化的剥离，从而让云设施接管应用中原有的大量非功能特性（如弹性、韧性、安全、可观测性、灰度等），具备轻量、敏捷、高度自动化的特点。

4.8.2 架构定义（掌握）

        云原生的代码通常包括三部分：业务代码（实现业务逻辑的代码）、三方软件（是业务代码中依赖的所有三方库，包括业务库和基础库）、处理非功能特性（实现高可用、安全、可观测）的代码。

        

4.8.3 基本原则（掌握）

        云原生架构原则：服务化（拆分为微服务架构、小服务架构等）、弹性（指系统的部署规模可以随着业务量的变化而自动伸缩）、可观测（主动通过日志、链路跟踪和度量等手段，使得一次点击背后的多次服务调用的耗时、返回值和参数都清晰可见）、韧性（核心目标是提供业务服务的能力）、所有过程自动化（实现整个软件交付和运维的自动化）、零信任（其本质诉求是以身份为中心进行访问控制）、架构持续演进（此云原生架构本身必须是一个具备持续演进能力的架构）

4.8.4 常用架构模式（掌握）

        常用的架构模式主要有服务化架构、Mesh化架构、Serverless、存储计算分离、分布式事务、可观测、事件驱动等。

1、服务化架构模式

        服务化架构模式是新时代构建云原生应用的标准架构模式

        服务化架构的典型模式是微服务和小服务模式

2、Mesh化架构模式

        Mesh（网络）化架构是把中间件框架从业务进程中分离，让中间件的软件开发工具包与业务代码进一步解耦，从而使得中间件升级对业务进程没有影响。

3、Serverless模式

        Serverless（无服务器）将“部署”这个动作从运维中“收走”，使开发者不关心应用运行地点、操作系统、网络配置、CPU性能等。也就是把应用的整个运行都委托给云。

        Serverless并非适用任何类型的应用：

        如果应用是有状态的、如果应用是长时间后台运行的密集型计算任务、如果应用设计频繁的外部I/O

        Serverless非常适合于：时间驱动的数据集计算任务、计算时间短的请求/响应应用、没有复杂互相调用的长周期任务。

4、云存储计算分离模式

5、分布式事务模式

6、可观测架构

        可观测架构包括Logging、Tracing、Metrics三个方面

        Logging（日志）提供多个级别的详细信息跟踪，由应用开发者主动提供；

        Tracing（追踪）提供一个请求从前端到后端的完整调用链路跟踪

        Metrics（度量）提供对系统度量化的多维度度量

7、事件驱动架构

        事件驱动架构本质上是一种应用/组件间的集成架构模式