架构之安全性维度

流程安全性
安全基本原则：可用性 完整性 机密性 CIA
安全框架：zachman P2DR Sabsa IPDRR IATF
安全评估方法：安全测试： SAST静态测试、 IAST交互测试 安全扫描
危险模型：攻击树分析 DREAD风险评估
渗透测试： 红蓝对抗 白帽黑帽
架构安全性
物理安全
数据安全：责任分层 最小特权 对称秘钥 非对称秘钥 数字签名 数据逻辑保护 数据高可用
通信安全：网络攻击：DDOS拒绝服务、DNS劫持、重放攻击、ARP地址解析欺骗 最强之盾：网络防御 WAF应用防火墙 IDS/IPS入侵检测 VPN/IPSEC安全通道加密 PGP邮件加密 TLS HTTP隧道加密
身份安全：Authentication认证 Authorization授权：MAC、RBAC、oauth第三方授权 Audit审计
软件安全：操作系统安全：病毒、蠕虫、特洛伊木马、零日攻击、补丁
数据库安全：防止SQL注入、防止推理攻击
Web应用安全：防止XSS跨站点脚本攻击、防止重放攻击
安全性实现方案
SQL注入预防
XSS跨站点攻击防治
AES对称加密
PKI基础架构
JWT签名
WAT应用防火墙
IDS入侵检测
SAML安全断言
RBAC访问控制