華為安全架構(gòu)設計方法指南

安全架構(gòu)設計方法指南安全架構(gòu)設計方法01安全架構(gòu)設計方法指南02安全架構(gòu)設計方法試點03安全架構(gòu)設計FAQ安全架構(gòu)設計的來源公司公司高層開始關注產(chǎn)品線的網(wǎng)絡安全設計問題，對產(chǎn)品的架構(gòu)設計，特別是安全架構(gòu)設計提出更高要求。標準組織業(yè)界加大了安全標準的制定，CC、FIPS安全認證、ISO27001標準等越來越多國際標準認證組織關注安全架構(gòu)設計方面的評估業(yè)界當今越來越多互聯(lián)網(wǎng)IT企業(yè)在產(chǎn)品系統(tǒng)架構(gòu)設計時就考慮網(wǎng)絡安全架構(gòu)，主要表現(xiàn)在以下幾個方面：網(wǎng)絡的物理安全、網(wǎng)絡拓撲結(jié)構(gòu)安全、應用系統(tǒng)安全、網(wǎng)絡管理安全等。云計算當前云計算業(yè)務發(fā)展迅速，開放網(wǎng)絡和業(yè)務共享場景更加復雜多變，這就對云計算的底層架構(gòu)（IaaS和PaaS層）虛擬化技術的安全性提出了更高要求。Docker安全架構(gòu)管理運維技術認證鑒權(quán)、訪問控制加密解密、攻擊檢測……事故響應、安全維護人員安全、意識培訓……安全規(guī)劃、管理策略風險評估、審計認證……廣義的安全架構(gòu)，從企業(yè)信息安全體系架構(gòu)來說，是包含技術、運維、管理3個層面。本文說的安全架構(gòu)，主要集中討論偏研發(fā)技術層面的安全架構(gòu)。安全性是軟件研發(fā)技術體系中，系統(tǒng)架構(gòu)設計階段的一個關鍵DFX能力，與可靠性、可服務性、性能等架構(gòu)屬性并列。由于安全性設計自身的特點，涉及到系統(tǒng)架構(gòu)各個組件、接口設計的方方面面，加上業(yè)界云計算云安全概念的不斷深入人心，安全性逐漸從一系列DFX能力屬性中脫穎而出，形成了具有自身特點的一個架構(gòu)形態(tài)——安全架構(gòu)。軟件系統(tǒng)架構(gòu)、安全架構(gòu)的定義業(yè)界對于安全架構(gòu)有多種描述：Wiki將安全架構(gòu)描述：安全控制（即安全措施）在系統(tǒng)架構(gòu)中的位置，以及如何與整個系統(tǒng)架構(gòu)相結(jié)合。這些控制是服務于系統(tǒng)的質(zhì)量屬性，如性、完整性和可用性。OSA對安全架構(gòu)的描述：產(chǎn)品/系統(tǒng)整體架構(gòu)的一部分，為產(chǎn)品/系統(tǒng)設計提供指導。安全架構(gòu)的定義軟件系統(tǒng)架構(gòu)的定義軟件系統(tǒng)的架構(gòu)將系統(tǒng)描述為計算組件及組件之間的交互。 ——《軟件系統(tǒng)結(jié)構(gòu)：一門初露端倪學科的展望》架構(gòu)是以組件與組件之間的關系、組件與環(huán)境之間的關系為內(nèi)容的某一系統(tǒng)的基本組織結(jié)構(gòu)，以及指導上述內(nèi)容設計與演化的原理。 ——IEEE610.12-1990系統(tǒng)架構(gòu)=組件+交互+重要決策集安全架構(gòu)=系統(tǒng)業(yè)務架構(gòu)+安全控制集常見的系統(tǒng)架構(gòu)表現(xiàn)形式——4+1視圖系統(tǒng)架構(gòu)4+1視圖集邏輯視圖（適用系統(tǒng)架構(gòu)師、PM、SE）運行視圖（適用SE、開發(fā)、測試工程師）數(shù)據(jù)視圖（適用數(shù)據(jù)庫、開發(fā)工程師）開發(fā)視圖（適用開發(fā)、配置工程師）物理視圖（適用運維、部署工程師）安全架構(gòu)在產(chǎn)品中的表現(xiàn)形式——安全架構(gòu)視圖安全邏輯視圖：可以關注到架構(gòu)中組件與組件安全防御機制，有利于從系統(tǒng)架構(gòu)分層模型上統(tǒng)一規(guī)劃和設計基礎安全機制，例如：身份認證管理模塊、密鑰管理模塊、日志審計模塊、訪問控制模塊等。系統(tǒng)架構(gòu)師、安全SE、PM等視角安全物理視圖：根據(jù)縱深防御原則關注整網(wǎng)的物理安全架構(gòu)，有利于分析攻擊者的物理攻擊路徑，從而更好地在關鍵路徑上部署和規(guī)劃防火墻、WAF、防DDOS攻擊、入侵檢測、負載均衡、蜜罐等架構(gòu)級安全機制，做好整網(wǎng)的縱深防御。運維、部署工程師視角安全功能視圖：對于市場宣傳，有利于屏蔽技術實現(xiàn)細節(jié)，讓客戶更容產(chǎn)品特點。對于產(chǎn)品研發(fā)，有利于與業(yè)界標桿產(chǎn)品對比，在指定技術規(guī)劃路線圖上更清晰。系統(tǒng)架構(gòu)視圖+安全控制=安全架構(gòu)視圖marketing市場、架構(gòu)師、安全SE視角安全架構(gòu)到底給誰看？客戶？領導？項目管理人員？架構(gòu)、設計師？開發(fā)測試人員？市場人員？運維人員？業(yè)界是如何（闡述）安全架構(gòu)設計OSAIT安全架構(gòu)示意圖某著名企業(yè)互聯(lián)網(wǎng)X.805架構(gòu)3層3面8維度示意圖阿里金融云安全架構(gòu)示意圖NIST安全架構(gòu)示意圖1、第一種是根據(jù)分層架構(gòu)的形式來闡述每一層架構(gòu)、每一個子系統(tǒng)中應該具有的安全能力和功能。這種一般是形成一個安全架構(gòu)的抽象模型，可以在安全功能視圖中得以呈現(xiàn)。

典型案例：X805、阿里云的安全架構(gòu)……2、第二種是根據(jù)安全的各個基本功能維度，如認證、加密、安全管理等，來闡述整體系統(tǒng)中做了哪些安全特性。

典型案例：蘋果、AWS安全架構(gòu)白皮書……3、第三種是根據(jù)原有業(yè)務架構(gòu)視圖的基礎上分析各組件、接口的安全威脅風險，指定對應的安全控制措施。這種結(jié)合業(yè)務架構(gòu)來輸出的安全架構(gòu)，往往體現(xiàn)出場景實例化的特點，所以一般包括安全邏輯視圖、安全物理視圖。

典型案例：NIST、OSA的安全架構(gòu)……蘋果IOS、亞馬遜AWS安全架構(gòu)白皮書安全架構(gòu)設計的基本步驟和參考參考NIST關于云計算的安全架構(gòu)生成過程，一般產(chǎn)品的安全架構(gòu)設計過程包含四個階段：1、業(yè)務模式和業(yè)務架構(gòu)認知、梳理階段。2、安全需求以及架構(gòu)威脅風險分析階段。3、為威脅風險需求選擇對應的安全控制措施措施階段。4、將安全控制措施在系統(tǒng)架構(gòu)中設計并且落實階段。華為公司的安全架構(gòu)設計方法，是參考了以上業(yè)界安全架構(gòu)設計方法，以NIST安全架構(gòu)設計方法為基本的設計流程步驟，參考OWASP、CC、NIST、蘋果、AWS等的安全架構(gòu)維度，整理出華為公司自己的8維度安全架構(gòu)設計框架，結(jié)合不同的安全架構(gòu)視圖來對產(chǎn)品架構(gòu)整體的安全方案作出版本規(guī)劃和設計，并作出關鍵安全方案系統(tǒng)概要設計，是結(jié)合華為自身IPD流程特點的一套安全架構(gòu)設計方法。業(yè)務架構(gòu)安全需求/風險分析12行業(yè)安全標準、業(yè)界公司對外闡述的安全架構(gòu)的維度身份認證文件資源安全數(shù)據(jù)保護某著名企業(yè)安全數(shù)據(jù)加密訪問控制會話管理通信安全惡意代碼控制HTTP安全惡意輸入處理錯誤處理與記錄訪問控制認證通信安全隱私安全數(shù)據(jù)完整性系統(tǒng)可用性防抵賴數(shù)據(jù)性AWS云訪問控制數(shù)據(jù)加密網(wǎng)絡安全安全服務日志與監(jiān)視安全管理AppleIOS系統(tǒng)安全加密與數(shù)據(jù)保護應用安全設備控制隱私控制身份鑒別和認證數(shù)據(jù)保護安全審計加密和密鑰管理防DDOS攻擊會話管理安全管理隱私保護通信安全系統(tǒng)完整性保護可信通道安全隔離OWASPX.805標準

CC標準

NIST云計算安全參考架構(gòu)業(yè)務架構(gòu)安全需求/風險分析安全機制選擇安全機制在架構(gòu)中落實1234如何設計安全架構(gòu)——基于八維度設計框架的安全架構(gòu)設計方法安全架構(gòu)設計的主要作用安全設計成體系：從單點的安全機制到架構(gòu)整體端到端的考慮安全方案設計安全特性無遺漏：按安全維度框架考慮安全設計，架構(gòu)上無重大安全設計遺漏。持續(xù)改進：架構(gòu)安全評估反饋安全架構(gòu)設計，持續(xù)改進整體架構(gòu)安全能力。安全風險建?；簩⒓軜?gòu)級安全風險經(jīng)過建模，模型化分析和消減。威脅建模分析重點強調(diào)安全風險的識別和發(fā)現(xiàn)，和局部消減措施。安全架構(gòu)更主要關注系統(tǒng)全局安全怎么做，同時向項目中各個角色闡述整個架構(gòu)的縱深防御安全設計情況，并關注架構(gòu)階段的方案初步概要設計怎么做。業(yè)務系統(tǒng)架構(gòu)+安全控制=安全架構(gòu)原始安全需求架構(gòu)安全風險如何分析架構(gòu)得到安全控制？分析架構(gòu)級+從中選擇合適的安全控制機制，并設計成安全控制集安全方案如何得到架構(gòu)級安全需求和安全風險？安全需求分析架構(gòu)中要做哪些安全控制？如何保證這些安全控制在架構(gòu)中全面、無遺漏？安全架構(gòu)分析原始安全需求業(yè)務架構(gòu)安全風險大T客戶安全需求認證標準安全需求友商競爭安全需求公司規(guī)范安全需求威脅建模分析基于為架構(gòu)級安全需求和風險選擇合適安全機制架構(gòu)級消減方案庫八維度安全架構(gòu)設計框架落入CC標準控制項根據(jù)業(yè)界安全控制集整理得到架構(gòu)級消減方案庫系統(tǒng)架構(gòu)視圖分析各維度安全方案作用于系統(tǒng)架構(gòu)哪些組件安全架構(gòu)視圖安全架構(gòu)如何規(guī)劃和指導安全方案設計？安全方案HLD規(guī)劃版本安全方案關鍵安全方案概要設計指導安全方案詳細設計案HighlevelASTRIDE威脅建模安全方案庫安全模式庫檢查安全架構(gòu)中各維度安全方案是否缺失，重新審視架構(gòu)中尚未發(fā)現(xiàn)的潛在安全風險和不足，確定最終安全架構(gòu)框架方案設計中由于安全性設計，需要影響、調(diào)整原有系統(tǒng)架構(gòu)132系統(tǒng)架構(gòu)視圖Highlevel威脅建模是安全架構(gòu)設計流程中的一部分是什么做什么怎么做NIST安全控制集基于8維度設計框架的安全架構(gòu)設計方法——8D-SAT-MaP

8維度安全架構(gòu)技術地圖——

Deployment-Detection-Seperation-Authentication–Trust-Management-Data–Privacy認證及權(quán)限控制安全檢測響應數(shù)據(jù)保護隱私保護安全管理安全隔離系統(tǒng)可信保護身份認證用戶管理權(quán)限控制攻擊檢測入侵保護密鑰管理隱私合規(guī)數(shù)據(jù)脫敏隱私控制日志審計安全升級網(wǎng)絡隔離應用隔離容器隔離文件完整性保護安全啟動數(shù)據(jù)存儲安全防DOS/DDOS安全部署安全加固組網(wǎng)安全數(shù)據(jù)傳輸安全沙箱隔離安全事件管理TrustAuthenticationManagementDetectionData SeperationPrivacyDeployment原始安全需求列表業(yè)務架構(gòu)安全威脅風險列表安全架構(gòu)視圖安全架構(gòu)評估安全架構(gòu)設計的目的：牽引產(chǎn)品架構(gòu)設計人員在系統(tǒng)架構(gòu)設計時更系統(tǒng)更全面地去考慮安全設計，避免架構(gòu)級安全設計遺漏，讓安全架構(gòu)方案設計更簡單，讓產(chǎn)品業(yè)務架構(gòu)師、設計師都成為懂安全的架構(gòu)設計人員。8維度安全架構(gòu)設計框架架構(gòu)設計人員對每一項安全需求和威脅風險，參考架構(gòu)消減方案庫，按安全維度分類完成安全分析問卷，制定對應的消減措施方案，確保架構(gòu)中必須具備的8個安全能力，之后再給出安全視圖、方案的初步設計（系統(tǒng)概要設計）。安全方案概要設計8維度安全架構(gòu)設計框架參考架構(gòu)級的NIST控制項，提供8個安全架構(gòu)維度的Highlevel設計問卷，牽引產(chǎn)品線全面系統(tǒng)地進行安全架構(gòu)設計，避免架構(gòu)級的安全設計遺漏缺失，統(tǒng)一規(guī)劃產(chǎn)品版本的安全架構(gòu)特性開發(fā)落地。8維度安全架構(gòu)框架是一個通用的安全架構(gòu)模型，而不同形態(tài)的產(chǎn)品類型具有的（子）維度不一樣，比如手機終端在“組網(wǎng)安全”方面的考慮就會比較少，存在個例情況。8維度安全架構(gòu)問卷參考架構(gòu)級的NIST安全控制項，與Highlevel威脅分析問卷融合，最終輸出此框架安全管理認證接入系統(tǒng)可信保護安全部署安全隔離外部網(wǎng)絡網(wǎng)絡數(shù)據(jù)及隱私保護權(quán)限控制安全檢測響應8維度安全架構(gòu)框架抽象模型Highlevel威脅建模關鍵安全方案概要設計架構(gòu)安全風險安全方案詳細設計Lowlevel威脅建模融入《安全性需求分析說明書》安全架構(gòu)評估框架評估依據(jù)系統(tǒng)架構(gòu)視圖安全需求分析（含對標）TR2系統(tǒng)架構(gòu)設計及其它DFX設計安全設計方案優(yōu)化系統(tǒng)功能、可靠性、性能等其它需求分析安全架構(gòu)設計分析安全架構(gòu)視圖8維度安全架構(gòu)分析數(shù)據(jù)流圖消減措施華為安全架構(gòu)設計方法流程示意圖架構(gòu)級消減方案庫安全設計原則安全設計模式庫安全設計方案庫ASTRIDE威脅建模8維度安全架構(gòu)分析模板安全架構(gòu)設計說明書安全特性需求產(chǎn)品安全機制安全架構(gòu)視圖機制概要設計TR1安全架構(gòu)評估模板安全能力中心提供的技術支持評估架構(gòu)安全，審視是否需要重新調(diào)整原有系統(tǒng)架構(gòu)原始安全需求《系統(tǒng)架構(gòu)設計說明書》《安全性設計說明書》系統(tǒng)架構(gòu)設計說明書（架設部提供）安全架構(gòu)設計方法支撐能力安全架構(gòu)設計主要應圍繞安全目標，根據(jù)華為8+N安全設計原則，確定一種主要的安全架構(gòu)設計原則（思想），同時運用HighlevelASTRIDE威脅建模方法來識別產(chǎn)品現(xiàn)有架構(gòu)上的安全威脅風險，在八維度安全架構(gòu)設計框架的牽引下，構(gòu)筑產(chǎn)品全面、完整的安全架構(gòu)防御體系，避免架構(gòu)中出現(xiàn)重大安全需求遺漏。針對每一個安全需求和威脅風險，分別從安全控制集中制定合適的安全消減措施，落入產(chǎn)品架構(gòu)對應的業(yè)務組件上，并參考借鑒安全設計模式庫和安全設計方案庫中已有的業(yè)界最佳實踐，給出架構(gòu)中關鍵安全方案的概要設計。安全設計方案庫安全能力中心構(gòu)建的安全設計方案庫，收錄各產(chǎn)品線優(yōu)秀實踐安全方案，并定期評審新增方案。8+N安全設架構(gòu)計原則八維度安全架構(gòu)設計框架參考CC安全功能項、NIST控制集，提取了8個安全設計維度，作為產(chǎn)品安全架構(gòu)設計必須考慮的安全能力。系統(tǒng)可信保護數(shù)據(jù)保護安全管理隱私保護認證與權(quán)限控制安全檢測響應安全隔離安全部署華為7大安全技術安全目標性完整性可用性可追溯性隱私保護架構(gòu)級消減方案庫參考NISTSP800-53安全控制集，從256個安全控制子項中選擇技術類控制項，作為解決架構(gòu)風險的消減措施集。AC-6(5)特權(quán)賬戶AU-2審計事件……SC-3安全功能隔離AC-5職責分離安全設計模式庫與公司架設部合作建設UADP平臺設計模式庫，增加安全領域?qū)＜?，對各產(chǎn)品線提交的優(yōu)秀安全設計模式進行評審、發(fā)布。Anti-DDoS設計方案……密鑰管理優(yōu)秀設計案例Linux入侵痕跡檢測方案High

levelASTRIDE威脅建模方法決策授權(quán)模式參考監(jiān)視器模式代理控制模式……15342華為公司架構(gòu)設計原則全面解耦原則：對業(yè)務進行抽象建模，業(yè)務數(shù)據(jù)與業(yè)務邏輯解耦，軟件和硬件解耦，平臺和產(chǎn)品解耦，系統(tǒng)各部件間解耦。服務化/組件化原則：以服務、數(shù)據(jù)為中心，構(gòu)建服務化、組件化架構(gòu)，具備靈活、按需組合的能力。接口隔離及服務自治原則：通過接口隱藏服務/組件的實現(xiàn)細節(jié)，服務/組件間只能通過接口進行交互，接口契約化、標準化，跨版本兼容；服務、組件可獨立發(fā)展、獨立發(fā)布、獨立升級；服務自治，可視、可管、可控、可測、可維、故障自愈。彈性伸縮原則：構(gòu)建全分布式云化架構(gòu)，或借鑒云化架構(gòu)思想，每個服務具備橫向擴展能力，支持按需使用、自動彈性伸縮，可動態(tài)替換、靈活部署，支撐高性能、高吞吐量、高并發(fā)、高可用業(yè)務場景。安全可靠環(huán)保原則：構(gòu)建最小權(quán)限、縱深防御、最小公共化、權(quán)限分離、不輕信、開放設計、完全仲裁、失效安全、保護薄弱環(huán)節(jié)、安全機制經(jīng)濟性、用戶接受度以及加強隱私保護的安全體系，確保系統(tǒng)、網(wǎng)絡和數(shù)據(jù)的性、完整性、可用性、可追溯；以業(yè)務系統(tǒng)零故障為導向，按需構(gòu)筑分層分級的可靠性，通過故障的預測、預防、快速恢復，避免故障的發(fā)生；系統(tǒng)資源使用效率最大化，實現(xiàn)節(jié)能、節(jié)地、節(jié)材、環(huán)保。用戶體驗和自動化運維原則：面向業(yè)務獲取和使用場景，構(gòu)建實時、按需、在線、自助、社區(qū)化、方便用戶體驗；支持遠程、自動、智能、安全、高效地完成網(wǎng)規(guī)/網(wǎng)設、安裝、部署、調(diào)測、驗收、擴縮容、軟件升級、打補丁、日常維護、問題處理。開放生態(tài)原則：面向生態(tài)場景，按需開放平臺設施、中間件、數(shù)據(jù)、業(yè)務邏輯、UI等能力，構(gòu)建開放生態(tài)，支持分層、遠程、自動、自助、簡單高效地完成定制、集成、第三方應用開發(fā)。高效開發(fā)原則：創(chuàng)建支持迭代、增量、持續(xù)交付的架構(gòu)，支持部件獨立開發(fā)、自動化編譯構(gòu)建、測試、集成驗證，并效修改和持續(xù)優(yōu)化；支持開發(fā)組織小型化、扁平化，支持小團隊獨立高效并行開發(fā)。柔性供應制造原則：模塊化設計，模塊/物料歸一化、標準化，支持自動化、數(shù)字化、智能化、隨需應變的柔性制造。持續(xù)演進原則：架構(gòu)并非一蹴而就，需要有效地管理架構(gòu)需求，持續(xù)構(gòu)建和發(fā)展架構(gòu)，適應業(yè)務需求變化，適時引入業(yè)界最佳實踐，及時重構(gòu)，確保架構(gòu)生命力和競爭力。1、安全架構(gòu)設計過程中的指導思想——安全架構(gòu)設計原則關于安全架構(gòu)設計原則的解讀：構(gòu)建最小權(quán)限、縱深防御、最小公共化、權(quán)限分離、不輕信、開放設計、完全仲裁、失效安全、保護薄弱環(huán)節(jié)、安全機制經(jīng)濟性、用戶接受度以及加強隱私保護的安全體系，確保系統(tǒng)、網(wǎng)絡和數(shù)據(jù)的性、完整性、可用性、可追溯性。隨著云計算網(wǎng)絡的發(fā)展，對云安全設計的指導原則也在與時俱進。比如：云安全中大量引用開源組件，安全漏洞很難做到萬無一失，架構(gòu)設計上越來越強調(diào)系統(tǒng)及時地檢測到惡意攻擊行為和自動化地安全運維響應，讓安全服務具備良好的可視化管理；對運維管理人員也要從設計機制上防止內(nèi)鬼行為的發(fā)生等……開發(fā)與演進類屬性功能屬性生態(tài)系統(tǒng)類屬性交付類屬性運行類屬性可構(gòu)建性可演進性可測試性可重用性性可靠性安全性可服務性性能可伸縮性節(jié)能減排功能開放性兼容性可供應性（含可制造性）可部署性架構(gòu)五維模型AFM華為公司產(chǎn)品架構(gòu)設計原則ACT1538+N項安全設計原則1-1、安全架構(gòu)設計原則——安全架構(gòu)設計的靈魂8維度安全架構(gòu)設計框架認證及權(quán)限控制安全檢測響應數(shù)據(jù)保護隱私保護安全管理安全隔離系統(tǒng)可信保護安全部署其他關鍵架構(gòu)技術總體安全架構(gòu)設計原則（思想）入侵容忍數(shù)據(jù)為中心自適應架構(gòu)……縱深防御/全面防御（傳統(tǒng)）門限密鑰拜占庭容錯……入侵遮蔽……態(tài)勢感知……雙向認證證書認證雙因素認證生物識別防暴力破解ACL賬戶風控三權(quán)分立……堡壘機異常監(jiān)控木馬病毒檢測安全告警IDS/IPS蜜罐安全閾值DDOS清洗……日志審計審計防篡改日志標準化日志轉(zhuǎn)儲審計可視化文件水印安全升級HotFix……輕量級密碼數(shù)字簽名加密組件PKITPM/VTPMTRNG證書管理TLS/SSL……DMZ安全網(wǎng)關虛擬機隔離TRUST-ZONEVPN/APN容器安全運行沙箱……安全刪除差分隱私隱私聲明日志脫敏匿名化假名化……安全DNSOS加固數(shù)據(jù)庫加固內(nèi)存加固ASLR、DEP安全sshNAT……可信啟動TPM/VTPM安全固件靜態(tài)度量……隨著云計算網(wǎng)絡、終端、物聯(lián)網(wǎng)等新架構(gòu)的出現(xiàn)，安全設計原則也與時俱進，涌現(xiàn)很多新型安全設計原則和指導思想。不同的系統(tǒng)對安全要求不一樣，安全定位和目標不一樣，因此選擇的總體安全架構(gòu)設計原則也不一樣。安全設計原則很多，選擇一種安全架構(gòu)設計原則（思想）就意味著是選擇一個有側(cè)重的設計，映射到8維度安全架構(gòu)框架中，就是在保證系統(tǒng)基本安全的基礎上，著重于某幾個安全維度的安全設計，形成本系統(tǒng)的安全架構(gòu)設計特點。入侵容忍、縱深防御、還是自適應架構(gòu)，都是一種安全架構(gòu)的設計思想（原則），具體針對系統(tǒng)架構(gòu)各個業(yè)務組件上的消減措施，最終還是對應在8個安全維度的方案設計上。動態(tài)威脅情報智能攻擊檢測……智能安全運維自動安全防御……數(shù)據(jù)脫敏數(shù)據(jù)失真……數(shù)據(jù)防丟失DB/文件夾/磁盤/卷加密……安全域……微服務大數(shù)據(jù)機器學習人工智能深度學習……1-2、例1：基于入侵容忍的云化安全架構(gòu)設計原則（思想）入侵容忍系統(tǒng)狀態(tài)機范例入侵容忍的核心思想：通過時間和資源冗余來應對部分的系統(tǒng)組件因為攻擊或者故障的失效以及異常行為。盡可能地保證系統(tǒng)服務的正常提供，為攻擊響應和處置爭取更好的機會，在系統(tǒng)安全狀態(tài)機的任何狀態(tài)下，都盡可能的保證資產(chǎn)的安全，在無法防御安全攻擊的情況下，要么選擇優(yōu)雅降級犧牲一些業(yè)務的能力，要么選擇失效安全停止服務但是保證系統(tǒng)免于受到進一步的傷害。入侵容忍系統(tǒng)嚴重依賴入侵檢測能力，如果一種入侵行為無法被探測感知，那么它對系統(tǒng)的侵害將難以評估其后果。序號建議架構(gòu)指標目標建議值業(yè)界情況1漏洞預防：通過安全工程能力，攔截在設計與實現(xiàn)中引入的安全漏洞；>99%2攻擊預防：通過縱深防御體系架構(gòu)設計，合理部署不同粒度、不同層級的安全防御設施，抵御安全攻擊。防御>99%的攻擊3攻擊檢測：通過安全特征碼、規(guī)則庫、機器學習等方法，實現(xiàn)對攻擊的感知與檢測。流量型攻擊檢測率99%APT攻擊檢出率80%4攻擊響應：從檢測到攻擊事件并進行溯源定位，到下發(fā)攻擊防御策略的響應時間。流量型攻擊1秒檢測+響應；應用型攻擊5分鐘檢測，10分鐘響應。5漏洞響應：當某個安全漏洞發(fā)生后，要求在限定時間內(nèi)能夠檢測出來，并采取臨時應急措施防止漏洞導致業(yè)務中斷，并在限定時間交付補丁或者版本修復漏洞。1小時漏洞檢測30分鐘業(yè)務恢復5小時漏洞修復。互聯(lián)網(wǎng)公司通常滿足1小時檢測，5小時修復。6入侵遮蔽：保證在系統(tǒng)崩潰情況下關鍵業(yè)務安全不受損（數(shù)據(jù)、核心業(yè)務），任何情況下保證安全FailSafe。關鍵業(yè)務安全可用性>95%系統(tǒng)崩潰安全有效性=100%7入侵容忍：防止單點故障，確保系統(tǒng)任意節(jié)點安全淪陷，系統(tǒng)不崩潰。100%8安全成本：安全防攻擊能力線性擴展，每增加1個9的安全高可靠性，成本線性增長。線性增長1-3、例1：入侵容忍安全架構(gòu)能力目標1-4、例2：自適應的安全架構(gòu)設計原則(Active-Cloud安全架構(gòu))服務開發(fā)部署數(shù)據(jù)中心物理安全數(shù)據(jù)中心網(wǎng)絡安全安全合規(guī)/安全治理安全戰(zhàn)略/目標ResourceAbstraction&VirtualizationLayerStorageComputerNetworkIaaSAPIMicroservicesGovernanceFrameworkMiddlewareServiceDataServicePaaSAPISaaSVirtualizationResourcePoolDevOpsPipeline產(chǎn)品安全產(chǎn)品持續(xù)優(yōu)化灰度發(fā)布部署訪問控制大數(shù)據(jù)平臺數(shù)據(jù)保護產(chǎn)品持續(xù)優(yōu)化安全防御安全檢測安全響應安全預測安全運營檢測數(shù)據(jù)賬號安全業(yè)務風控隱私保護API安全系統(tǒng)加固安全審計安全管理安全審計身份及權(quán)限管理威脅及漏洞管理策略管理發(fā)布管理密鑰管理證書管理安全運維自動化安全運維縱深防御(In-Depth)Attacker能力支撐控制策略威脅情報安全運維平臺態(tài)視感知(可視化)能力支撐控制策略安全自服務3142控制策略能力支撐自適應5安全生態(tài)合作安全編排租戶隔離Gartner于2014年提出自適應安全架構(gòu)，要求云時代的安全服務應該以持續(xù)監(jiān)控和分析為核心，覆蓋防御、檢測、響應、預測四個維度，可自適應于不同基礎架構(gòu)和業(yè)務變化，并能形成統(tǒng)一安全策略應對未來更加專業(yè)的高級攻擊。為了清晰構(gòu)建云化安全架構(gòu)的安全特性和能力指標，需要制定一套云化環(huán)境的安全能力架構(gòu)——Active-Cloud（自適應Adaptive、可控Controllable、可信Trusted、縱深防御In-Depth、可視化Visible、可評估Evaluable）從產(chǎn)品IAM訪問控制、對外API接口安全到系統(tǒng)加固、關鍵產(chǎn)品數(shù)據(jù)的保護、后端完善的安全審計體系，來全面構(gòu)建產(chǎn)品自身的縱深防御安全能力。安全管理需更加快速靈活，安全策略智能化、自動化地調(diào)整，同時能夠及時支撐安全運維和產(chǎn)品運營。利用大數(shù)據(jù)及入侵感知技術，構(gòu)建一套從安全檢測到響應，到智能預測并制定安全防御措施的機制，更加快速地支撐產(chǎn)品架構(gòu)持續(xù)優(yōu)化安全能力，保障產(chǎn)品的運營安全，自適應的安全運維成為云服務提供商的關鍵能力。產(chǎn)品運營要更加關注用戶賬號和隱私數(shù)據(jù)的安全保護，利用大數(shù)據(jù)平臺及時關注業(yè)務風控的安全。更加快速地支撐產(chǎn)品架構(gòu)持續(xù)優(yōu)化安全能力，同時滿足快速灰度發(fā)布部署的要求。Active-Cloud安全架構(gòu)特點物理網(wǎng)絡管理15342序號關鍵特征檢驗標準指標及目標值1身份及訪問控制關鍵措施（最小集）：包括統(tǒng)一帳戶管理、SSO/MFA、API認證、集中權(quán)限管理、服務隔離、跨租戶訪問、聯(lián)邦認證牽引項：訪問控制能力：支持資源粒度的授權(quán)/鑒權(quán)，支持針對服務及租戶的隔離，以及跨租戶訪問；IAM服務化關鍵措施（最小集）達成率：100%牽引項達成率：≥80%2數(shù)據(jù)保護能力關鍵措施（最小集）：包括安全隔離、數(shù)據(jù)抗毀、殘余數(shù)據(jù)刪除、數(shù)據(jù)訪問審計、數(shù)據(jù)安全管理牽引項：數(shù)據(jù)安全傳輸/服務、密鑰生命周期管理/服務、數(shù)據(jù)加密/服務關鍵措施（最小集）達成率：100%牽引項達成率：≥80%3開放API關鍵措施（最小集）：包括實現(xiàn)API請求的AK/SK認證、采用IDtoken鑒權(quán)以及針對單API的流控牽引項：實現(xiàn)API報文簽名以防篡改和調(diào)用鏈的安全審計能力關鍵措施（最小集）達成率：100%牽引項達成率：≥80%4安全審計關鍵措施（最小集）：審計信息收集、審計內(nèi)容完備、審計日志完整性保護牽引項：不可否認性技術的應用，包括數(shù)字簽名、安全時間戳、可信任第三方證明，KSI無鑰簽名關鍵措施（最小集）達成率：100%牽引項達成率：≥80%5安全運維關鍵措施（最小集）：主機入侵檢測，入侵痕跡分析掃描，網(wǎng)絡攻擊檢測，VM/容器防逃逸檢測，自動化運維響應和安全策略調(diào)整，安全升級/補丁，防拒絕服務牽引項：威脅情報/安全態(tài)勢感知，智能安全預測，自適應的運維響應攻擊檢測率：≥90%攻擊檢測時間：≤10分鐘攻擊響應時間：24小時已知漏洞檢測響應時間<24小時6系統(tǒng)加固關鍵集：包括刪除或禁用多余組件、賬戶、服務、網(wǎng)絡端口端口；對OS和應用服務進行安全配置加固；數(shù)據(jù)執(zhí)行保護（DEP）、地址空間布局隨機化（ASLR）。牽引項：實現(xiàn)Selinux、Docker、KASLR、Grsecurity的安全增強能力。關鍵措施（最小集）達成率：100%牽引項達成率：≥80%7（微）服務安全開發(fā)部署（微）服務安全開發(fā)部署環(huán)境需具備安全威脅分析、源碼安全自動掃描和修復、安全自動化測試、安全補丁自動升級的不間斷服務能力每個微服務能快速使用微服務安全開發(fā)部署環(huán)境，且服務、數(shù)據(jù)相互隔離安全測試自動化率：≥70%源碼安全掃描必須清理項修復樣例：實時下發(fā)1-5、例2：自適應Active-Cloud安全架構(gòu)能力目標2、架構(gòu)級安全威脅分析——ASTRIDEHighLevelHighLevel威脅建模分析：對產(chǎn)品架構(gòu)進行安全威脅識別，制定對應的消減建議，優(yōu)化產(chǎn)品架構(gòu)的安全性。如何將STRIDE方法的HighLevel部分與系統(tǒng)架構(gòu)設計結(jié)合，并成為系統(tǒng)安全架構(gòu)設計中的一個重要部分？我們對原有的STRIDE方法的HighLevel部分進行了改造，使之盡可能成為架構(gòu)級的威脅建模方法。傳統(tǒng)的STRIDE采用數(shù)據(jù)流圖作為分析輸入，其優(yōu)點在于：1.數(shù)據(jù)流與攻擊流類似，適合找到可能的攻擊點；2.數(shù)據(jù)流圖元素的標準化；但數(shù)據(jù)流圖也有明顯的局限性，不太適用于描述產(chǎn)品架構(gòu)；我司在產(chǎn)品架構(gòu)設計時更多用到的是功能視圖和邏輯視圖；因此，我們在ASTRIDE中，將邏輯視圖作為分析輸入，并將接口、組件作為邏輯視圖中的標準元素；數(shù)據(jù)流圖的變化ASTRIDEHighLevel威脅建模方法的主要變化消減建議的變化ASTRIDE方法的核心變化就是：不再基于數(shù)據(jù)流圖，而是基于產(chǎn)品的系統(tǒng)架構(gòu)視圖分析；將STRIDE的6種威脅與數(shù)據(jù)流圖中的標準元素進行結(jié)構(gòu)化重構(gòu)，重點分析架構(gòu)視圖中的業(yè)務組件和接口2個關鍵元素；結(jié)構(gòu)化的模型變化如下：消減建議標準化根據(jù)8維度安全架構(gòu)設計框架，將安全消減建議與8大安全維度對應消減建議方案化在架構(gòu)設計中，不能只考慮單點的消減建議，而更多需要在架構(gòu)層面進行拉通，形成相應的解決方案；如很多地方都需要加密，那么在架構(gòu)設計時就需要有統(tǒng)一的加密和密鑰管理方案；關鍵元素STRIDE接口

業(yè)務組件

關鍵元素STRIDE外部交互

處理過程

數(shù)據(jù)流

數(shù)據(jù)存儲

STRIDE方法中分析的模型ASTRIDE方法中分析的模型全局類接口-S-仿冒,接口-T-篡改,接口-R-抵賴,接口-I-信息,接口-D-拒絕服務,接口-E-權(quán)限提升,組件-T-篡改,組件-I-信息,組件-E-權(quán)限提升,8維度安全架構(gòu)分析問卷全局架構(gòu)分析問卷ASTRIDEHighlevel威脅分析組件接口8維度安全架構(gòu)設計框架Highlevel威脅分析問卷根據(jù)8維度安全架構(gòu)問卷按STRDIE模型分類（不含全局分析類）8維度安全架構(gòu)分析問卷輸出架構(gòu)級消減措施（不含全局分析類）系統(tǒng)架構(gòu)視圖原始安全需求列表補充全局分析類消減措施和威脅分析未涉及的安全消減措施各需求來源……架構(gòu)級消減方案庫安全機制選擇安全機制選擇全局架構(gòu)分析問卷Highlevel威脅分析問卷，對接口組件分類8維度安全架構(gòu)設計框架威脅建模分析工具自動導出手工補充完全根據(jù)分析問卷完成8維度安全架構(gòu)設計框架之前Highlevel威脅分析輸出的消減方案標準不統(tǒng)一，沒有系統(tǒng)化、標準化，導致有的分析結(jié)果過于細節(jié)，不適合Highlevel階段，看起來與lowlevel分析區(qū)別不大。根據(jù)8維度安全架構(gòu)整理的分析問卷分為全局類問卷和威脅分析類問卷，并針對架構(gòu)組件、接口分類，在威脅建模工具中完成后自動導出8維度安全框架（全局類問卷補完不在工具中自動導出完成），可以簡化、輕量化架構(gòu)威脅分析，使分析結(jié)果更系統(tǒng)全面。威脅建模是攻擊思維分析，但產(chǎn)品最終是防御機制的設計，需要建立從6個威脅攻擊維度到8個安全設計維度的映射，最終轉(zhuǎn)換到安全架構(gòu)視圖、安全方案設計上，讓產(chǎn)品的項目團隊、版本團隊、SE、開發(fā)、測試看得懂、用的好。架構(gòu)分析問卷分類威脅分析與安全架構(gòu)設計結(jié)合2-1、Highlevel威脅分析結(jié)果標準化、輕量化3、安全架構(gòu)設計的知識庫——架構(gòu)級消減方案庫NIST技術類相關安全控制集NIST發(fā)布的SP800-53安全控制集，將安全控制全面劃分為18個族（包含技術、管理、運維）共256類子項。映射CC功能子項與NIST安全控制集子項將每一項安全控制子集與安全模式庫、設計方案庫映射并增加案例鏈接，方便設計師參考安全控制子集解讀原文比較晦澀，經(jīng)過重新整理，同時加上常見關鍵安全技術的舉例，幫助設計師理解每一項含義。認證及權(quán)限控制架構(gòu)級消減方案庫整合了安全功能維度、NIST控制集、安全模式庫、安全方案庫。8大安全維度及其安全功能子類架構(gòu)級消減方案庫NIST發(fā)布的網(wǎng)絡安全框架cybersecurity-framework，其中根據(jù)NIST安全控制集，劃分為5大安全維度（識別、保護、檢測、響應、恢復）和細分的子維度，但其中包含相當一部分管理、流程、人員管控方面的非技術相關安全控制項，更適用于企業(yè)IT信息安全評估，并不太適合為研發(fā)安全架構(gòu)設計提供指導。本架構(gòu)級消減方案庫主要提取了NIST控制集中的技術類安全控制項作為安全架構(gòu)設計主要參考的安全控制集。AC訪問控制：AC-2賬戶管理AC-3訪問執(zhí)行AC-5職責分離AC-6最小特權(quán)……IA識別與認證：IA-3設備識別與認證IA-5驗證憑據(jù)管理IA-7加密模塊認證IA-11重認證……SC系統(tǒng)和通信保護：SC-4共享資源信息SC-3安全功能隔離……SI系統(tǒng)和信息完整性：SI-3惡意代碼防護……AU審計與問責：AU-2審計事件……3-1、安全架構(gòu)設計涵蓋的范圍、粒度架構(gòu)消減方案庫與8維度安全架構(gòu)框架一一對應，給出了一個全面的安全架構(gòu)設計樹的全集引導參考，指出在Highlevel架構(gòu)設計階段，安全應該考慮哪些方面的問題，考慮到什么粒度。消減方案庫相當于一個全面的安全架構(gòu)設計能力樹，類似威脅建模攻擊樹，但一個是攻擊樹，一個是防御樹，用于幫助架構(gòu)師建立系統(tǒng)、全面的安全架構(gòu)知識體系結(jié)構(gòu)。安全架構(gòu)設計原則（思想）安全維度2安全控制項2安全模式1安全概要方案2詳細安全方案設計、落地安全維度1……安全控制項1安全控制項3……安全模式2…………安全概要方案3安全概要方案1………………與8維度安全架構(gòu)框架一一對應安全架構(gòu)設計樹形結(jié)構(gòu)安全架構(gòu)消減方案庫模式簡要說明介紹在軟件架構(gòu)設計中適用的流程階段模式在分層系統(tǒng)架構(gòu)中常用的使用場景說明安全模式庫根據(jù)安全維度分類安全能力中心已聯(lián)合公司架構(gòu)設計部，建立和豐富華為公司自己的安全設計模式庫聯(lián)合公司架設部設計模式UADP平臺，增加安全領域?qū)＜业侥Ｊ皆u審發(fā)布流程，對各產(chǎn)品線提交的優(yōu)秀安全設計模式進行評審、發(fā)布。規(guī)劃建立的安全設計模式庫共包含73個，現(xiàn)已在架設部通過評審并發(fā)布9個安全設計模式。鏈接：模式類別

業(yè)界相關安全設計模式模式數(shù)量架構(gòu)級安全的三層結(jié)構(gòu)模式、I層基礎設施即服務模式、模塊化操作系統(tǒng)體系結(jié)構(gòu)模式、保護環(huán)模式、表示-抽象-控制模式等……12個數(shù)據(jù)保護散列數(shù)字簽名模式、安全黑板模式、IPSec虛擬專用網(wǎng)模式、XML簽名模式等……12個認證及權(quán)限控制職責鏈模式、認證器模式、身份提供者模式、訪問控制列表模式、多級安全模式等……33個其他安全經(jīng)紀人模式、執(zhí)行域模式、安全管道過濾器模式、基于行為入侵檢測系統(tǒng)模式、XML防火墻模式、安全日志和審計模式等……16個安全能力中心規(guī)劃安全設計模式庫列表共73個（整合于架構(gòu)級消減方案庫）主要參考業(yè)界安全模式專家美國佛羅里達大西洋大學費爾南德斯securitypatternsinpractice》，其中根據(jù)業(yè)界模式語言會議上發(fā)表的大量安全模式論文整理。4、安全方案設計的抽象模型——安全設計模式庫4-1、例1：基于策略的訪問控制模式應用——PaaS基于策略的訪問控制模式基于策略的訪問控制模式：解決了不同安全設備協(xié)同工作、訪問控制策略形式不一致、策略存在沖突等問題。該模型收集由不同安全設備所產(chǎn)生的以及人為設定的訪問控制策略，通過制定一定的形式規(guī)則，對檢測到?jīng)_突的策略進行處理。模式中將主要對象分為策略實施點（PEP）、策略信息點（PIP）、策略決策點（PDP）、策略管理點（PAP）類型。軟中PaaS平臺的用戶鑒權(quán)管理方案中就采用了基于策略的訪問控制模式來設計?；诓呗缘脑L問控制模式時序圖用戶角色A角色B角色C資源管理ACL1ACL2ACL3鑒權(quán)節(jié)點資源實例A資源實例B資源實例C訪問域部門A部門B部門C用戶角色權(quán)限列表levelPerm項scopeACL列表levelACL項scope訪問域URI模式資源項訪問方式資源訪問APIURI模式資源項訪問方式PaaSCtlr{PDP}PaaSIAM{PIP}PaaSCF/K8S{PAP,PEP,PIP}PaaSIAM{PAP}基于策略的訪問控制模式的PaaS平臺用戶鑒權(quán)管理模型認證及權(quán)限控制安全檢測響應數(shù)據(jù)保護隱私保護安全管理安全隔離系統(tǒng)可信保護安全部署雙向認證證書認證口令復雜度雙（多）因素認證硬件認證生物識別防暴力破解雙重授權(quán)強制訪問控制用戶角色模型ACL賬戶風控三權(quán)分立會話鎖定……堡壘機智能攻擊監(jiān)控異常監(jiān)控木馬病毒攻擊檢測安全告警IDS/IPSHIPS蜜罐防側(cè)信道攻擊APT防御安全配額安全閾值DDOS清洗中心……日志審計審計防篡改審計防刪除日志標準化日志轉(zhuǎn)儲自動審計審計可視化無線指紋技術數(shù)字簽名校驗文件水印安全升級HotFix……輕量級密碼數(shù)字簽名加密組件PKITPM/VTPMTRNG證書管理數(shù)據(jù)三副本異地容災冗余TLS/SSL防XSS/CSRFtokenHMACTLS/SSL……硬件防火墻DMZ安全網(wǎng)關三面隔離物理隔離虛擬機隔離TEETRUST-ZONEVPN/APN容器安全運行沙箱……安全刪除差分隱私隱私聲明日志脫敏匿名化假名化……安全DNSOS加固數(shù)據(jù)庫加固內(nèi)存加固ASLR、DEP安全sshWAF防火墻NAT……可信啟動TPM/VTPM安全固件靜態(tài)度量……5、安全方案設計的優(yōu)秀實踐——安全設計方案庫安全設計方案庫依據(jù)安全架構(gòu)8維度框架分類整理，當前已收集安全能力中心和各產(chǎn)品線安全優(yōu)秀實踐方案（共70+），2016年預計將收錄100+篇優(yōu)秀安全方案案例；已上線的安全設計方案庫安全設計方案庫分類根據(jù)安全架構(gòu)設計8維度分類《安全架構(gòu)設計說明書文檔》模板（試點用）安全需求分析Highlevel威脅建模安全架構(gòu)視圖關鍵安全方案概要設計8維度安全架構(gòu)設計分析文檔模板主要分為5個部分Highlevel威脅建模安全需求分析8維度安全架構(gòu)設計分析安全架構(gòu)視圖關鍵安全方案概要設計，與IPD流程圖一一對應。該模板中的章節(jié)內(nèi)容已計劃規(guī)劃融入產(chǎn)品研發(fā)IPD流程TR1/TR2階段架構(gòu)設計階段的各文檔模板中。落入TR2系統(tǒng)架構(gòu)設計文檔落入TR1安全需求分析落入TR2系統(tǒng)架構(gòu)設計文檔附：業(yè)界優(yōu)秀安全架構(gòu)設計參考NIST云安全參考架構(gòu)CSA云安全參考架構(gòu)英國BT云安全參考架構(gòu)安全架構(gòu)設計方法01安全架構(gòu)設計方法指南02安全架構(gòu)設計方法試點03安全架構(gòu)設計FAQ原始安全需求列表業(yè)務架構(gòu)安全威脅風險列表安全架構(gòu)視圖安全架構(gòu)評估8維度安全架構(gòu)設計框架架構(gòu)設計人員對每一項安全需求和威脅風險，參考架構(gòu)消減方案庫，按安全維度分類完成安全分析問卷，制定對應的消減措施方案，確保架構(gòu)中必須具備的8個安全能力，之后再給出安全視圖、方案的初步設計（系統(tǒng)概要設計）。安全方案概要設計原始安全需求分析Highlevel安全威脅風險分析安全架構(gòu)視圖安全方案概要設計NB-IOT平臺安全架構(gòu)設計方法試點8維度安全架構(gòu)框架設計方法試點IOT平臺安全架構(gòu)設計說明書附：安全架構(gòu)設計方法01安全架構(gòu)設計方法指南02安全架構(gòu)設計方法試點03安全架構(gòu)設計FAQ安全架構(gòu)設計FAQ：1、哪些產(chǎn)品需要做安全架構(gòu)設計？如果產(chǎn)品需要交付《系統(tǒng)架構(gòu)設計說明書》，安全架構(gòu)就是這個文檔中需要完成的一個關鍵DFX章節(jié)。注：如果某些產(chǎn)品架構(gòu)視圖規(guī)模較小，可以不強制要求做安全架構(gòu)設計（含Highlevel威脅分析），這些產(chǎn)品包括：終端手機類、MBB家庭產(chǎn)品類，小組件APP類，算法組件類產(chǎn)品（例如中