网络安全框架和云安全参考架构介绍

目录

一、网络安全框架

1.1 概述

1.2 IATF框架

1.2.1 框架来源

1.2.2 框架结构图

1.2.3 框架内容

1.2.3.1 人(People)

1.2.3.2 技术(Technology)

1.2.3.3 操作(Operation)

1.3 NIST网络安全框架

1.3.1 NIST安全架构概述

1.3.2 NIST发展历史

1.3.2.1 2013 年

1.3.2.2 2014年

1.3.3 NIST核心结构

1.3.3.1 功能

1.3.3.2 参考资料

1.3.4 NIST 风险管理计划实施步骤

1.3.4.1 划分优先级和范围

1.3.4.2 适应调整

1.3.4.3 创建当前配置文件

1.3.4.4 开展风险评估

1.3.4.5 创建目标配置文件

1.3.4.6 确定差距、展开分析并理清重点

1.3.4.7 实施行动计划

二、云安全参考架构

2.1 概述

2.2 云计算安全参考架构

2.2.1 参考架构图

2.2.2 参考架构说明

2.3 CSA云参考模型

2.3.1 CSA云参考模型架构图

2.3.2 CSA云参考架构内容说明

2.4 IBM基于SOA的云通用安全架构

2.4.1 架构图

2.4.2 架构内容说明

2.5 等保2.0云安全防护技术框架

2.5.1 等保2.0云安全防护技术框架图

2.5.2 架构内容说明


一、网络安全框架

1.1 概述

网络安全框架主要介绍由美国国家安全局组织专家编写的IATF框架和美国国家标准技术研究院 (NIST)编写的NIST框架。

1.2 IATF框架

1.2.1 框架来源

信息保障技术框架(Information Assurance Technical Framework, IATF)是由美国国家安全局组织专家编写的一个全面描述信息安全保障体系的框架。

1.2.2 框架结构图

其结构如下图所示。

1.2.3 框架内容

IATF首次提出了信息保障需要通过人、技术、操作来共同实现组织职能和业务运作的思想,同时针对信息系统的构成特点,从外到内定义了四个主要的关注领域,包括网络基础设施、区域边界、计算环境和支撑性基础设施。完整的信息保障体系在技术层面上应实现保护网络基础设施、保护网络边界、保护计算机环境和保护支撑性基础设施,以形成“深度防护战略”。

1.2.3.1 人(People)

人是信息体系的主体,是信息系统的拥有者、管理者和使用者,是信息保障体系的核心,是第一位的要素,同时也是最脆弱的。正是基于这样的认识,安全管理在安全保障体系中就愈显重要,可以这么说,信息安全保障体系,实质上就是一个安全管理的体系,其中包括意识培训、组织管理、技术管理和操作管理等多个方面。

1.2.3.2 技术(Technology)

技术是实现信息保障的重要手段,信息保障体系所应具备的各项安全服务就是通过技术机制来实现的。当然,这里所说的技术,已经不单是以防护为主的静态技术体系,而是防护、检测、响应、恢复并重的动态的技术体系。 版权申明:本站文章均来自网络.

1.2.3.3 操作(Operation)

或者叫运行,它构成了安全保障的主动防御体系,如果说技术的构成是被动的,那操作和流程就是将各方面技术紧密结合在一起的主动的过程,其中包括风险评估、安全监控、安全审计、跟踪告警、入侵检测、响应恢复等内容。

1.3 NIST网络安全框架

1.3.1 NIST安全架构概述

美国国家标准技术研究院 (NIST) 是一个非监管机构,旨在通过推进测量科学、标准和技术来促进创新。 NIST 网络安全框架 (NIST CSF) 由标准、指南和最佳实践组成,可帮助组织改善网络安全风险管理。

NIST CSF 的设计灵活,可与各行各业任何组织中的现有安全流程相集成。 这是一个良好的开端,由此几乎可在美国的任何私营机构中实施信息安全和网络安全风险管理。

1.3.2 NIST发展历史

1.3.2.1 2013 年

2013 年 2 月 12 日,美国发布第 13636 号行政命令 (EO) —“改善关键基础设施网络安全”。 NIST 自此开始与美国私营部门合作,旨在“确定现有的自愿共识标准和行业最佳实践,以将其构建成网络安全框架”。这次合作带来了 NIST 网络安全框架 V1.0。

1.3.2.2 2014年

2014 年的《网络安全增强法案》(CEA) 扩大了 NIST 在制定网络安全框架方面的工作范围。 如今,NIST CSF 仍然是美国所有行业中采用最广泛的安全框架之一。

1.3.3 NIST核心结构

1.3.3.1 功能
  • 识别: 为了防范网络攻击,网络安全团队需要深入了解组织中最重要的资产和资源。 识别功能包括资产管理、业务环境、治理、风险评估、风险管理策略和供应链风险管理等类别。
  • 保护:保护功能涵盖了许多技术和物理安全控制举措,用于开发和实施适当的保障措施和保护关键基础架构。  这些类别包括身份管理和访问控制、意识和训练、数据安全、信息保护流程和程序、维护和保护技术。
  • 检测:检测功能实施了向组织发出网络攻击警报的措施。 检测类别包括异常和事件、安全持续监视和检测过程。
  • 响应:响应功能类别可确保对网络攻击和其他网络安全事件做出适当的响应。 具体类别包括响应规划、通信、分析、缓解和改进。
  • 恢复:万一出现网络攻击、安全漏洞或其他网络安全事件,恢复活动会实施网络安全永续计划,确保业务连续性。  恢复功能包括恢复计划改进和通信。
1.3.3.2 参考资料

NIST CSF 的“参考资料”可在功能、类别、子类和其他框架的特定安全控制措施之间建立直接关联。 这些框架包括互联网安全中心 (CIS) 控制、COBIT 5、国际自动化学会 (ISA) 62443-2-1:2009、ISA 62443-3-3:2013、国际标准化组织和国际电工委员会 27001:2013** 以及 **NIST SP 800-53 Rev. 4

NIST CSF 既不指导如何清点物理设备和系统,也不指导如何清点软件平台和应用,它只是提供需要完成的任务的清单。 组织可以自行选择方法来执行清单。 如果组织需要进一步的指导,它可以参考其他补充标准中相关控制的参考资料。 CSF 中有大量适用于网络安全风险管理需求的工具,供组织自由选择。

1.3.4 NIST 风险管理计划实施步骤

NIST 网络安全框架围绕如何制定或改进信息安全风险管理计划提供了分步指南:

1.3.4.1 划分优先级和范围

清楚了解项目范围,并确定优先事项。 明确高级业务或任务目标和业务需求,并确定组织的风险承受能力。

1.3.4.2 适应调整

评估组织的资产和系统,并确定组织可能会接触到的适用法规、风险方法和威胁。

1.3.4.3 创建当前配置文件

当前配置文件是组织当前如何管理风险的快照,由 CSF 的类别和子类定义。

1.3.4.4 开展风险评估

评估运营环境、新出现的风险和网络安全威胁信息,确定可能影响组织的网络安全事件的发生概率和严重性。

1.3.4.5 创建目标配置文件

目标配置文件代表信息安全团队的风险管理目标。

1.3.4.6 确定差距、展开分析并理清重点

通过确定当前配置文件和目标配置文件之间的差距,信息安全团队可以制定行动计划,包括可衡量的里程碑事件和填补这些差距所需的资源(人员、预算和时间)。

1.3.4.7 实施行动计划

实施第 6 步中定义的行动计划。

二、云安全参考架构

2.1 概述

云安全参考架构内容,主要介绍了NIST建立的云计算参考架构内容、CSA云参考模型、IBM基于SOA的云通用安全架构以及国内等保2.0云安全防护技术框架等的相关内容。

2.2 云计算安全参考架构

2.2.1 参考架构图

为了清晰地描述云服务中各种角色的安全责任,需要构建云计算安全参考架构,总结出云计算角色、角色安全职责、安全功能组件以及它们之间的关系。基于云计算的特性、三种服务模式与五类角色,NIST建立的云计算安全参考架构如下图所示。

2.2.2 参考架构说明

该架构将云生态角色划分为云服务客户(云消费者)、云服务商(云提供者)、云基础网络运营者、云审计者和云代理者五类,包括云服务协同安全、服务管理安全、服务聚合安全、服务仲裁安全、服务中介安全、云审计环境安全以及安全传输支持等组成部分。在安全防护设计时,强调在5类角色框架基础上,附加安全功能层实施安全防护,基于各类角色进行安全责任分解和细化,明确各方安全职责和防护措施,从而形成云计算安全防护整体框架。

2.3 CSA云参考模型

2.3.1 CSA云参考模型架构图

CSA在NIST分层模型基础上,按照系统分层模型进行安全控制模型映射,基于云服务的层次类型和云安全合规性要求进行差距分析,将安全控制模型映射到SPI(SaaS、PaaS和IaaS)分层模型上,通过差距分析输出整个云平台的安全状态和防护策略,形成云安全分层控制模型,如图所示。

2.3.2 CSA云参考架构内容说明

云安全联盟CSA标准根据ISO/IEC 17789定义的云计算层次框架(资源层、服务层、访问层、用户层和跨层功能),并结合安全业务特点,定义了云计算安全技术要求框架

用户层是用户接口,通过该接口,云服务用户和云服务提供者及其云服务进行交互,执行与用户相关的管理活动,监控云服务;

访问层提供对服务层能力进行手动和自动访问的通用接口,这些能力既包含服务能力,也包含管理能力和业务能力;资源层分为物理资源和资源抽象与控制两部分;

服务层是对云服务提供者所提供服务的实现,包含和控制实现服务所需的软件组件,并安排通过访问层为用户提供云服务;

安全服务即以服务的方式提供的安全能力,云服务提供者可通过提供安全服务协助用户做好客户安全责任范围内的安全防护。

2.4 IBM基于SOA的云通用安全架构

2.4.1 架构图

IBM公司基于面向服务的体系架构(Service Oriented Architecture, SOA)服务化理念,提出了一种云通用安全架构,如图所示。

2.4.2 架构内容说明

它的主要思想是把安全和安全策略作为一种通用服务来支持用户定制和配置,满足不同用户在安全方面的个性化需求。

基于服务的安全架构强调安全服务化,强调安全与平台松耦合。云安全资源通过服务化、资源池化、虚拟化管理,对外提供统一的服务接口,能够整合不同厂商的安全服务,屏蔽不同安全产品之间的差别,实现安全措施平滑更换和升级,同时给予用户更加灵活的选择权。

2.5 等保2.0云安全防护技术框架

2.5.1 等保2.0云安全防护技术框架图

等保2.0云安全防护技术框架按照物理资源层、虚拟资源层和服务层进行了分层防护设计,并在服务层面强调了基于用户的安全防护设计,最终形成了以计算环境安全为基础,以区域边界安全、通信网络安全为保障,以安全管理中心为核心的“一个中心、三重防护”的信息安全整体保障体系,如图所示。

2.5.2 架构内容说明

等保2.0对云计算安全防护的思想是用户通过安全的通信网络以网络直接访问、API接口访问和Web服务访问等方式安全地访问云服务商提供的安全计算环境。

计算环境安全包括资源层安全和服务层安全。

资源层分为物理资源和虚拟资源,需要明确物理资源安全设计技术要求和虚拟资源安全设计要求。

服务层是对云服务商所提供服务的实现,包含实现服务所需的软件组件。

根据服务模式的不同,云服务商和云服务用户承担的安全责任不同。服务层安全设计需要明确云服务商控制资源范围内的安全设计技术要求,并且云服务商可以通过提供安全接口和安全服务为云服务用户提供安全技术和安全防护能力。

云计算环境的系统管理、安全管理和安全审计由安全管理中心统一管控。结合本框架对不同等级的云计算环境进行安全技术设计,同时通过服务层安全支持对不同等级的云服务客户端(业务系统)进行安全设计。

好了,本次内容就分享到这,欢迎大家关注《云计算安全》专栏,后续会继续输出相关内容文章。如果有帮助到大家,欢迎大家点赞+关注+收藏,有疑问也欢迎大家评论留言!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/279001.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【一】【单片机】有关LED的实验

点亮一个LED灯 根据LED模块原理图,我们可以知道,通过控制P20、P21...P27这八个位置的高低电平,可以实现D1~D8八个LED灯的亮灭。VCC接的是高电平,如果P20接的是低电平,那么D1就可以亮。如果P20接的是高电平,…

stm32-模拟数字转化器ADC

接线图: #include "stm32f10x.h" // Device header//1: 开启RCC时钟,包括ADC和GPIO的时钟//2:配置GPIO将GPIO配置为模拟输入模式//3:配置多路开关将左边的通道接入到规则组中//4:配置ADC转…

JNDI+LDAP攻击手法

服务端: package com.naihe3; import java.net.InetAddress; import java.net.MalformedURLException; import java.net.URL;import javax.net.ServerSocketFactory; import javax.net.SocketFactory; import javax.net.ssl.SSLSocketFactory;import com.unboundid.…

局部路径规划算法 - 多项式曲线法

参考:局部路径规划算法——曲线插值法 0 前言 1 多项式曲线法 1.1 算法简介 曲线插值的方法是按照车辆在某些特定条件(安全、快速、高效)下,进行路径的曲线拟合,常见的有多项式曲线、双圆弧段曲线、正弦函数曲线、…

Redis各场景应用集合

应用场景 1、缓存(Cache),分布式缓存 有一些存储于数据库中的数据会被频繁访问,如果频繁的访问数据库,数据库负载会升高,同时由于数据库IO比较慢,应用程序的响应会比较差。此时,如果引入Redis来…

CTF题型 SSTI(2) Flask-SSTI典型题巩固

CTF题型 SSTI(2) Flask-SSTI典型题巩固 文章目录 CTF题型 SSTI(2) Flask-SSTI典型题巩固前记1.klf__sstiSSTI_Fuzz字典(网上收集自己补充) 2.klf_2数字问题如何解决了?|count |length都被禁? 3.klf_3 前记 从基础到自己构造paylo…

手机备忘录怎么导出到电脑,如何将手机备忘录导出到电脑

备忘录是我们日常生活和工作中常用的工具之一,我们可以在手机上轻松地记录重要的事务、想法和灵感。然而,在某些情况下,我们可能需要将手机备忘录导出到电脑进行更详细的整理和管理。那么,手机备忘录怎么导出到电脑,如…

【tls招新web部分题解】

emowebshell (php7.4.21版本漏洞) 非预期 题目提示webshell,就直接尝试一下常见的后门命名的规则 如 shell.php这里运气比较好,可以直接shell.php就出来 要是不想这样尝试的话,也可以直接dirsearch进行目录爆破 然后在phpinfo中直接搜素c…

企业信息安全怎么防护?迅软科技有方法!

一、企业信息防护策略 1、数据加密 使用迅软DSE加密系统,对敏感数据进行加密处理,确保数据在传输和存储过程中的安全性,防止数据泄露。 2、数据备份和恢复 定期备份重要数据,并确保可以在发生灾难性事件后迅速恢复业务运作。 …

力扣大厂热门面试算法题 43-45

43. 字符串相乘,44. 通配符匹配,45. 跳跃游戏 II,每题做详细思路梳理,配套Python&Java双语代码, 2024.03.18 可通过leetcode所有测试用例。 目录 43. 字符串相乘 解题思路 完整代码 Python Java 44. 通配符…

计算机网络的分类

目录 <计算机网络的分类> 1.按网络覆盖范围分 1)个人区域网PAN 2)局域网 3)城域网 4)广域网 5)互联网 2.按传输介质分类 3.按网络传输技术分类 4.按网络的使用性质分类 <计算机网络的分类> 计算机网络分类的方法很多&#xff0c;可以从不同的角度观察网络…

如何使用IDE端通义灵码

如何使用IDE端通义灵码 第一步&#xff1a;安装IDE插件&#xff08; VS Code 和 JetBrains 二选一&#xff09; 如何下载安装VS Code &#xff1a;https://code.visualstudio.com 如何下载安装JetBrains&#xff1a;https://www.jetbrains.com/idea/download 第二步&#x…

Python 中异常处理介绍

异常处理是编程中一个非常重要的概念&#xff0c;它允许程序在出现错误时进行适当的处理&#xff0c;而不是直接崩溃。在 Python 中&#xff0c;异常处理是通过 try、except、finally 和 raise 语句来实现的。本文将详细介绍 Python 中的异常处理机制。 异常的基本概念 异常是在…

【人工智能】Gitee AI 天数智芯有奖体验开源AI模型,一定能有所收货,快来体验吧

大家好&#xff0c;我是全栈小5&#xff0c;欢迎阅读小5的系列文章。 这是《人工智能》系列文章&#xff0c;每篇文章将以博主理解的角度展开讲解。 目录 前言两大赛道天数智芯1.模型地址2.天数智芯专区3.选择模型4.模型详情页5.部署模型6.成功部署7.执行例子8.移除模型 千模盲…

PHP+MySQL开发组合:多端多商户DIY商城源码系统 带完整的搭建教程以及安装代码包

近年来&#xff0c;电商行业的迅猛发展&#xff0c;越来越多的商户开始寻求搭建自己的在线商城。然而&#xff0c;传统的商城系统往往功能单一&#xff0c;无法满足商户个性化、多样化的需求。同时&#xff0c;搭建一个功能完善的商城系统需要专业的技术团队和大量的时间成本&a…

JS精度计算的几种解决方法,1、转换成整数计算后再转换成小数,2、toFixed,3、math.js,4、bignumber.js,5、big.js

提示&#xff1a;学习express&#xff0c;搭建管理系统 文章目录 前言一、转换成整数计算后再转换成小数二、toFixed三、math.js四、bignumber.js五、big.js总结 前言 原始计算 let aNum 6.6 0.3;let bNum 6.6 - 0.2;let cNum 6.6 * 0.3;let dNum 6.6 / 0.2;console.log(…

【科普】气体检测仪使用时常见的几点误区,你占了几条?

气体检测仪的作用是检测环境中的气体浓度&#xff0c;及时发现并报警&#xff0c;以确保人员和设备的安全。气体检测仪在多个领域发挥着重要作用。 首先&#xff0c;它是对工业安全的重要保障。在生产现场&#xff0c;有毒、可燃或有爆炸性的气体泄漏可能导致严重的后果。气体检…

LabVIEW湍流等离子体束热效率优化

LabVIEW湍流等离子体束热效率优化 利用LabVIEW虚拟仪器技术&#xff0c;对湍流等离子体束的热效率进行了实时监测与优化&#xff0c;提高其在材料处理领域的应用效率和精度。通过双进气湍流等离子体发生器&#xff0c;实现了在不同工作参数下对热效率的实时在线监测&#xff0…

【Streamlit学习笔记】实现包含多个sheet的excel文件下载

1、什么是Streamlit Streamlit是一个免费的开源框架&#xff0c;用于快速构建和共享漂亮的机器学习和数据科学Web应用程序&#xff0c;官网链接 Streamlit Streamlit API链接 API reference 实际项目中遇到的问题&#xff1a;包含多个sheet的excel文件下载&#xff0c;下面将给…

【早鸟优惠|高录用|EI稳定检索】2024年虚拟现实、图像和信号处理国际学术会议(ICVISP 2024)诚邀投稿/参会!

【早鸟优惠|高录用|EI稳定检索】 2024年虚拟现实、图像和信号处理国际学术会议&#xff08;ICVISP 2024&#xff09;诚邀投稿/参会&#xff01; # 早鸟优惠 # 先投稿先送审 # #投稿免费参会、口头汇报及海报展示# 2024年虚拟现实、图像和信号处理国际学术会议&#xff08;I…