-NIST SP 800-160 V1和ISO 15288
NIST SP 800-160 V1強調,深度防禦的概念與模塊化和分層的安全性設計原理不同,後者通過分解或分而治之來管理複雜性。
安全設計原則,模塊化和層次感是不一樣的概念,縱深防禦,這是在第F.4討論。
*模塊化用於將功能和相關的數據結構隔離為定義明確的邏輯單元。
*分層可以更好地理解這些單元之間的關係,從而使依存關係清晰明了,並且可以避免不必要的複雜性。
資料來源:NIST 800-160,第1卷
縱深防禦
. 縱深防禦會形成一系列屏障,通常是串行而不是並行的,以防止,延遲或阻止攻擊。
. 與所使用的各個安全組件相比,深度防禦通常(但並非總是)獲得更高的可信度。例如,與單個多因素物理訪問控制系統(PACS)相比,實現柵欄和警衛以串行方式驗證員工的徽章可能並不值得信賴。
. 縱深防禦是對安全概念和設計原則的均衡應用的補充,而不是替代,反之亦然。
-CISSP =洋蔥+孔雀
開發方法
在可信賴的安全系統的開發中可以使用三種總體策略或方法:
. 參考監控器概念
. 深度防禦
. 隔離
深度防禦描述了通過應用多種機制構建的安全體系結構,這些體系結構創建了一系列屏障來阻止,延遲或阻止對手的攻擊。
資料來源:NIST 800-160,第1卷
架構設計
-層與層
實現定義的利益相關者能力和保證目標的體系結構考慮是一個多學科設計問題。需要安全主題知識來幫助確保在所有體系結構和設計視圖和觀點中提供適當的保護和保證。這包括但不限於:
資料來源:NIST 800-160,第1卷
參考
. NIST 800-160,第1卷
資料來源: Wentz Wu QOTD-20201201