🔒 安全架构设计

构建安全可靠的系统架构

安全架构概览

安全防护层次

威胁模型分析

安全设计原则

最小权限原则

用户和程序只能访问完成其任务所必需的资源。

  • • 角色基础访问控制(RBAC)
  • • 属性基础访问控制(ABAC)
  • • 动态权限调整
  • • 权限审计和监控

纵深防御

多层安全控制,确保单点失效不会导致整体失败。

  • • 网络边界防护
  • • 主机安全加固
  • • 应用层防护
  • • 数据加密保护

失效安全

系统失效时应默认拒绝访问,而不是允许访问。

  • • 默认拒绝策略
  • • 异常处理机制
  • • 安全降级策略
  • • 故障恢复机制

完全中介

所有访问都必须经过安全检查,不能绕过安全机制。

  • • 统一认证入口
  • • 集中授权管理
  • • 访问路径控制
  • • 安全代理机制

开放设计

安全不应依赖于设计或实现的保密性。

  • • 标准加密算法
  • • 公开安全协议
  • • 透明安全策略
  • • 安全审计公开

权限分离

关键操作需要多个独立的权限或角色协同完成。

  • • 双人授权机制
  • • 职责分离控制
  • • 多重签名验证
  • • 审批工作流程

身份认证与授权

认证方式对比

授权模型

DAC (自主访问控制)

资源所有者决定谁可以访问资源

MAC (强制访问控制)

系统强制执行访问策略,用户无法修改

RBAC (基于角色的访问控制)

通过角色分配权限,用户获得角色权限

ABAC (基于属性的访问控制)

基于主体、客体、环境属性动态决策

安全威胁与防护

OWASP Top 10 威胁详解

排名 威胁类型 风险等级 攻击向量 防护措施 检测方法
1 注入攻击 SQL注入、NoSQL注入、LDAP注入 参数化查询、输入验证、WAF 代码审计、渗透测试
2 身份验证失效 弱密码、会话劫持、暴力破解 多因子认证、强密码策略 登录异常监控
3 敏感数据泄露 数据窃取、传输劫持 数据加密、HTTPS、DLP 数据流监控
4 XML外部实体(XXE) XML解析器漏洞 禁用外部实体、输入验证 静态代码分析
5 访问控制失效 权限提升、未授权访问 最小权限原则、RBAC 权限审计