网络安全架构师手册——网络安全核心概念

“知己知彼，百战不殆；不知彼而知己，一胜一负；不知彼不知己，每战必殆。”

——孙子

在第 1 章《现代网络安全导论》的基础上，本章将探索 cybersecurity architects 必须理解的基础 cybersecurity architecture concepts，以实现业务和运营层面的对齐。虽然这些内容属于入门性质，但它们将成为职业发展和专业化讨论的跳板。

本章将讨论以下关键主题：

• Understanding the environment and threat actors
• Access control
• Network and communication security
• Cryptography
• Business continuity / Disaster recovery planning（BCP / DRP）
• Physical security

每一节都会提供全书后续反复引用的核心概念。

Understanding the environment and threat actors

正如本章开篇引用的孙子智慧所说，理解你的环境，以及来自 internal 和 external actors 的 threats，是至关重要的。全面了解组织的 systems、environment、users、vulnerabilities 和 threats，可以让你有信心评估并强化 cybersecurity posture，而这对于有效的 risk mitigation 至关重要。

请注意，后续章节会对每个主题做一个概览式介绍。若要形成全面理解并应对更复杂挑战，建议在本书之外继续深入探索和学习。

本章通过五个关键领域建立 cybersecurity architecture foundations：access control、network security、cryptography、business continuity planning / disaster recovery planning（BCP / DRP），以及 physical security。结合实践 labs，这些主题将为你的专业成长提供关键洞察。

Access control

确保足够的信息和系统安全，是重要的管理责任；而 access control 是处理 financial、privacy、safety 或 defense-related data 的 applications 的基石。Access control 定义 authorized users 被允许执行的 actions，并治理所有访问 system resources 的尝试。有些系统在 authentication 后会授予完整 access，但大多数系统需要更复杂的 access control mechanisms，考虑 authorizations 如何与 organizational roles 和 structure、document sensitivity，以及 user clearance levels 对齐。

实施 access control 的组织必须考虑三个关键抽象层：

Access control policies

Access control policies 定义高层要求，规定 access 如何被管理，以及谁可以在特定情况下访问信息。这些 policies 基于 need-to-know、competence、authority、obligation 或 conflict of interest 等因素，处理 organizational units 内部或跨 organizational units 的 resource usage：

Least privilege：授予最低必要 privileges，以降低 unauthorized access risks。

Separation of duties：要求多个 entities 参与 critical operations，以避免单点控制。

Need-to-know：只允许访问 role-essential information。

Access control models

Access control models 在 policies 和 mechanisms 之间架桥，通过 formal representation 表示 system 所执行的 security policy。这些 models 定义 security properties，并证明 theoretical limitations。NISTIR 7316 report《Assessment of Access Control Systems》详细说明了 IT systems 中常用的 policies、models 和 mechanisms：

Discretionary access control（DAC） ：Resource owners 根据自己的判断控制 access rights。

Mandatory access control（MAC） ：Security classifications 和 labels 执行严格 access policies。

Role-based access control（RBAC） ：Permissions 与 job functions 对齐，通过 predefined roles 简化 administration。

Access control mechanisms

Access control mechanisms 是 technical implementations，用于解释 user access requests，通常使用 system-provided structures。Access control lists（ACLs）是这类 mechanisms 的知名示例，它们在更高层级执行 policies。

Distributed systems and big data challenges

当 distributed systems 跨越多台 computers 时，access control 的复杂性会显著增加。这类 environments 会使用各种 mechanisms，需要集成后才能与 organizational policies 对齐。下面几个示例展示了 access control challenges：

Multi-cloud enterprise deployments：考虑一家公司在 AWS、Azure 和 Google Cloud 上运行 workloads，它必须调和三种不同的 IAM models。AWS 使用 IAM roles 和 policies；Azure 使用 Entra ID with RBAC；GCP 使用自己的 IAM，包含 predefined 和 custom roles。Federating identities，通常通过 Okta 这类 identity provider 使用 SAML 或 OIDC，是执行统一组织政策所必需的，例如“Engineers 可以读取 production logs，但不能修改 production databases”。

Microservices with service meshes：在一个运行数十个 microservices 的 Kubernetes environment 中，access control 横跨 Kubernetes RBAC（谁可以 deploy）、network policies（哪些 pods 可以相互通信）、Istio 或 Linkerd 中的 service mesh mTLS 和 authorization policies（service-to-service calls），以及 application-level OAuth scopes（end-user permissions）。任何两层之间的 misalignment 都可能产生可被利用的 gap。

Data lakes with mixed sensitivity、federated databases、cross-organization sharing 和 IoT fleets，也可以纳入这一示例列表。所有这些都突出一个核心点：mechanisms 已经存在，但它们是独立设计的，因此难点不在 inventing，而在 integration。

Big data processing systems 呈现独特挑战，因为它们在复杂 clusters 中处理大量 sensitive information。论文《An Access Control Scheme for Big Data Processing》针对这些挑战提出了一个面向 distributed processing clusters 的通用方案，通过 processing domains 之间的协作来确保保护。下面看几个 big data processing systems 的独特挑战，以及如何处理它们。

Scale and volume of data across many nodes

一个 big data cluster 可能将 PB 级数据分布到数百或数千个 worker nodes 上，这使得在单一 chokepoint 执行 access control 变得不现实。传统 perimeter-based models 会在这种规模下失效，因为每个 node 实际上都变成了潜在 access point。该论文通过将 enforcement 分布到 processing domains 中来解决这一问题，而不是依赖 central gatekeeper。因此，每个 domain 都承担一部分 protection responsibility，同时仍然遵循统一 policy。

Data in motion between computation stages

不同于数据静止、queries 访问数据的传统 database，big data jobs 会在 mappers、reducers 和 downstream tasks 之间 shuffle intermediate results。即使原始 source 已被锁定，sensitive information 仍可能通过 intermediate outputs、spill files 或 cached partitions 泄露。论文中 processing domains 之间的协作，正是为了应对这一点：domains 在 hand off data 时附带其 protection requirements，使 downstream stages 遵守 source 所执行的同一 policy。

Trust boundaries within a single job

一个 analytical job 可能从多个 sensitivity levels 不同的 datasets 中拉取数据，例如 public product data 与 customer PII 以及 internal financials 做 join。结果 output 会继承这些 sensitivity 的并集，但大多数 cluster schedulers 会将 job 视为一个 monolithic unit，并赋予一个 identity。Cooperative domain model 允许每个 contributing data source 对接触它的 computation parts 施加 constraints，而不是把所有内容扁平化为 job owner 的 privileges。

这种方法的共同线索，是从 single enforcement point 转向 coordinated enforcement across domains，这与被保护 workload 本身的 distributed nature 相匹配。

Authentication and emerging technologies

Access control 包括 user identification 和 authentication、control technique administration，以及防御 emerging attack methods。Voice、handprint、fingerprint 和 retinal patterns 等 biometric technologies 正越来越多地补充传统 authentication。理解这些 technologies 的潜力和限制，对恰当且有效地应用它们仍然至关重要。

Weak and strong authentication

下面先看一些 weak authentication concepts 的示例。

Single-factor passwords alone

用户只用 username 和 password 登录 corporate system，是经典的 weak case。Passwords 可能被 guessed、phished、在多个站点复用、同事之间共享，或在 database breaches 中被窃取。即使是复杂 passwords，如果用户复用，也会在 credential-stuffing attacks 中失效。一个 service 的 breach 会暴露所有地方的 accounts。

Security questions as recovery

“你母亲的 maiden name 是什么？”或“你的第一只 pet 叫什么？”这类 security questions 很弱，因为答案通常可以通过 social media、public records 或 social engineering 找到。它们本质上是 low-entropy passwords，而且一旦泄露，用户无法像密码一样更改它们。

SMS-based one-time codes

虽然 SMS technically 是 second factor，但它被认为较弱，因为存在 SIM-swapping attacks，攻击者可能说服 mobile carrier 将 victim 的号码转移到一张新 SIM。Text messages 还会经过 SS7 signaling network，而该网络存在已知 interception vulnerabilities。

Unsalted or poorly hashed credential storage

如果 server 使用 MD5 或 SHA-1 这类 fast hashes 且没有 salting 来存储 passwords，即使用户 password 很强，authentication 也会变弱。被窃取的 database 可以通过 rainbow tables 在几分钟内得到 plaintext passwords。

Biometrics used alone with low-quality sensors

消费级设备上的廉价 fingerprint reader 可能会接受从水杯上提取的指纹；基础 facial recognition system 可能会被一张照片解锁。Biometrics 的强度取决于 sensor fidelity 和 liveness detection。

现在我们理解了什么构成 weak authentication，接下来看看 strong authentication 的示例。

Multi-factor authentication combining factor types

真正的 MFA 会结合 something you know（password 或 PIN）、something you have（hardware token 或 phone），以及 something you are（biometric）。要求两个或更多独立 categories，意味着攻破其中一个并不能获得 access。Stolen password 如果没有 physical token 就没有用。

Hardware security keys using FIDO2 / WebAuthn

YubiKeys 或 Titan keys 等设备使用 public-key cryptography，其中 private key 永远不会离开 hardware。它们具备 phishing-resistant 能力，因为 key 会以 cryptographic 方式绑定到 legitimate domain，因此 lookalike site 无法像通过 passwords 或 SMS codes 那样捕获 credentials。

Biometrics with liveness detection and secure enclaves

Apple Face ID 和 enterprise devices 上的现代 fingerprint systems，会将 biometric capture 与 infrared depth mapping 或 capacitive imaging 结合，以抵御 photo 和 mold attacks，并将 biometric template 存储在 secure enclave 中，永远不会将 raw data 暴露给 operating system。Biometric 会在本地 authentication，以解锁 cryptographic key，而不是传输 biometric 本身。

Certificate-based authentication with smart cards

常见于 government（CAC 和 PIV cards）以及受监管行业。这类机制将包含 private key 的 physical card 与用于解锁它的 PIN 结合起来。Authentication 通过 cryptographic challenge-response 完成，而不是传输 reusable secret。

关键结论是：每种 technology 都有恰当语境。Biometrics 非常适合 local device unlock，但作为唯一 remote authenticator 会有问题，因为 biometric data 一旦被盗，无法像 password 那样重置。Strong authentication 通常会叠加 mechanisms，使任一 single factor 的弱点被另一 factor 的强项补偿。

Regulatory, international considerations and threat landscape

Access controls 在不同 regulatory environments 中保护 privacy、confidentiality 和 security。欧洲国家长期以来优先关注 privacy concerns，而美国对此的 awareness 近年也随着 medical information 更广泛且更脆弱而提高。美国的 HIPAA 医疗信息法规，以及 Gramm-Leach-Bliley 金融数据法规，体现了政府对保护需求的认可。

Malicious hacking 通过削弱已实施 controls 构成重大威胁。高调 incidents，包括 1996 年 8 月美国 Department of Justice 网站 defacement，以及商业 denial-of-service attacks，展示了 advanced attack tools 的有效性。

在许多这类案例中，一些常见的 missing controls 本可以防止这些攻击。将攻击映射到现代 access-control tooling，可以看到每一层如何打断 kill chain：

• Strong authentication，例如 certificate-based admin access、FTP / SSH 上的 MFA，可以阻断 credential-based entry。
• Patch management 和 vulnerability scanning 可以在 exploitation 前关闭可能的 entry vulnerability。
• File integrity monitoring，例如 Tripwire-class tools，可以在 seconds 内提示 administrators 出现 unauthorized file replacement，而不是几个小时后才发现，将 public exposure 从整个上午缩短到短暂窗口。
• Web application firewalls 和 least-privilege service accounts 可以从一开始就防止 web server process 拥有对自身 document root 的 write access。
• Offline、versioned backups 与 documented recovery procedures 可以大幅缩短 outage 持续时间。对于简单 web defacement，recovery 可以简单到从最近的 backup 恢复数据，但前提是 backup architecture 已经存在。

Aligning access control with business

有效的 access control 需要 security measures 与 business objectives 进行战略对齐。组织必须首先理解自己的 critical assets、regulatory landscape 和 operational workflows，然后才能制定全面 policies，在 security 与 productivity 之间取得平衡。这个基础支持创建 access frameworks，在保护 sensitive resources 的同时，通过明确定义的 roles、data classifications 和 governance procedures 支持 legitimate business activities。这包括以下阶段。

Aligning access control with business needs

按照以下流程，将 access control 与 business needs 对齐：

• 识别 critical assets，例如 intellectual property、customer data 和 trade secrets。
• 评估与你所在行业相关的 regulatory 和 compliance requirements，无论是 government、financial、healthcare 等。
• 评估 business processes，理解 team collaboration 和 data interaction patterns。
• 有些业务只需要 temporary access controls，应实施 just-in-time（JIT）mechanisms，并通过 policy 或 programmatically 执行。

要制定 access control policies，必须遵循以下步骤：

• 根据 job responsibilities 和 organizational roles 定义 user access levels。
• 建立 data classification guidelines，决定 sensitive information 如何被 accessed、stored 和 shared。
• 创建 access requests、approvals，以及 periodic review / revocation of permissions 的 procedures。

Collaboration with operations teams

与 operations teams 协作，对确保 access control measures 有效实施至关重要。关键考虑包括：

Network security：与 network administrators 一起部署 firewalls 和 intrusion detection systems。

Identity management：实施 strong authentication、MFA 和 centralized user provisioning。

Security awareness：围绕 access control best practices 和 user responsibilities 定期培训。

Incident response：制定 procedures，用于隔离 compromised accounts、调查 logs，并应用 emergency restrictions。

最终，access control 不是静态 checklist，而是一门 living discipline，必须随着 threats、technologies 和 regulations 一起演进。Cybersecurity architects 如果把 access control 视为 business-aligned、continuous refined program，而不是一次性部署，就能让组织不仅抵御今天的攻击，也能适应尚未被发明出来的攻击。带着这一理念，下一步就是将原则转化为实践。

Implementing access control measures within an enterprise

现在我们将从 access control 的概念基础，转向企业每天部署的具体 mechanisms、policies 和 procedures。整体来看，它们构成 operational blueprint，使前面讨论的 ideas 成为真实环境中可执行的 controls。

Access control systems：在所有 entry points 部署 access control systems，包括 main entrances、sensitive areas、server rooms 和 data centers，使用 key cards、biometric scanners 或 keypad locks。将这些 systems 与 organizational IAM 集成，实现 centralized authentication，并实施 MFA，例如 key cards + PINs、fingerprints + passwords，或 smart cards + biometric scans。

User access management：建立 user access management processes，覆盖 provisioning、deprovisioning 和 periodic reviews。基于 job responsibilities 授予和撤销 privileges，遵循 least privilege principles，并使用 RBAC 或 ABAC 通过 predefined roles 或 attributes 分配 permissions。

Physical security integration：将 access control 与 video surveillance、intrusion detection 和 alarm systems 集成。为 unauthorized access attempts 配置 alerts，并结合 video footage 与 access logs，进行全面 monitoring 和 investigations。

Physical access controls：通过 turnstiles、gates 和 security vestibules 等 barriers 控制 entry points 的 physical access。根据严格 management policies 向 employees 发放 access cards、key fobs 或 biometric credentials，同时要求 visitors 登记、提供 ID，并在 premises 内全程接受 authorized escorts。

Access logging and monitoring：部署 logging systems，捕获所有 access attempts 和 activities，包括 authentication successes 和 failures。定期 review logs，检测 suspicious activity，及时调查 anomalies，并实施 real-time monitoring，为 abnormal patterns 或 policy violations 设置 alerts。

Access control policies：创建 access control policies，基于 job roles 和 least privilege principles 定义授予和管理 permissions 的规则。建立 access requests、approvals 和 periodic rights reviews 的 procedures。

Secure remote access：通过 VPNs 或 secure RDP 部署 secure remote access，并强制 MFA。使用 network segmentation 和 secure protocols，将 remote access networks 与 internal systems 隔离。

Employee education and awareness：定期培训 employees，内容包括 password hygiene、secure authentication 和 credential protection 等 access control best practices。教育 staff 认识 social engineering 和 phishing risks，并鼓励通过既定 channels 及时报告 suspicious activities 或 unauthorized access attempts。

Access control audits and reviews：定期开展 audits 和 reviews，评估 access control effectiveness，确保其与变化中的 business requirements 对齐，并识别 vulnerabilities。聘请 external professionals 进行 penetration testing 和 vulnerability assessments，以发现 system weaknesses。

这些示例提供了一套 implementation framework，但必须根据 organizational needs、industry requirements 和 risk profiles 进行定制。Continuous assessment 和 improvement 可以确保 access controls 在保护 resources 方面持续有效。

Access control 构成 cybersecurity architecture 的基础，既支持 authorized access，也保护 critical assets。通过掌握 access principles、与 business needs 对齐，并跨 teams 协作，你可以创建既能保护组织、又能支持 objectives 的 mechanisms。

你可以在本书 GitHub repo 中找到一个 lab exercise，指导如何在 virtual environment 中实施 access control。该 lab 会逐步指导你使用 pfSense，也就是一个 open-source firewall and routing platform，搭建实验并实现 access control。请在本书 GitHub repo 的 Chapter_02 folder 中查找该练习。要访问 repository link，请按照 Preface 中 “Download the example code files” 部分的步骤操作。

Network and communication security

Network and communication security 是 cybersecurity architecture 的关键组成部分，对于保护 data 在 network traversal 期间的 confidentiality、integrity 和 availability 至关重要。作为 cybersecurity architect，你必须深入理解这些 security measures 及其 business 和 operational implications。本节将探索 foundational network and communication security aspects，并提供详细 implementation insights。

Network security objectives 聚焦于通过三个主要目标保护 networks 和 resources：

Unauthorized access prevention：部署 measures，通过 secured perimeters 和 strong authentication mechanisms，阻止 unauthorized users 和 systems 访问 network。

Data integrity and confidentiality：使用 encryption techniques、secure protocols 和 protected channels，在 transmission 期间保护 data，以维持 security。

Availability assurance：通过 redundancy、load balancing 和 denial-of-service（DoS）prevention measures，确保 network service 持续可用，防止 disruptions。

Network security technologies

Network security 依赖多层 technologies 协同工作，形成全面 defense strategy。每个 component 都在保护 organizational assets 免受 evolving threats 方面发挥特定作用：

Firewalls：Firewalls 是第一道防线，会基于 predefined security rules 监控并控制 incoming 和 outgoing network traffic。它们可以在 network 和 host levels 上实现，提供对 data flows 的细粒度控制。

Intrusion detection and prevention systems（IDS / IPS） ：IDS / IPS solutions 会实时分析 network traffic，识别并响应 potential security incidents。它们通过 signature-based 和 behavioral analysis methods 检测并阻止 unauthorized access、malware 和其他 malicious activities。

Virtual private networks（VPNs） ：VPNs 会在 public networks，例如 internet 上创建 secure、encrypted tunnels，以确保 remote users 或不同 office locations 之间的 communication 具备 confidentiality 和 authentication。现代实现支持多种 protocols，包括 IPSec、SSL / TLS 和 WireGuard。

Network segmentation：Network segmentation 将 network 划分为多个独立 segments 或 zones，以限制 security breaches 的潜在影响。常见实现包括 VLANs，它们通过将 devices 放入不同 broadcast domains，在 Layer 2 逻辑上分离 traffic。这可以防止 finance workstations 与 guest 或 IoT networks 等 groups 之间直接通信，即使它们共享同一 physical switch infrastructure。Virtual routing and forwarding（VRF）将这种隔离扩展到 Layer 3，通过在同一 router 或 firewall 上维护多个 independent routing tables，使 corporate 和 regulated payment-processing environments 等不同 networks 可以在 shared hardware 上运行，而彼此之间没有 routing path。通过这些 mechanisms 隔离 critical resources，并叠加 zero-trust principles，组织可以限制 unauthorized lateral movement，并 containment potential compromises。

这些 technologies 构成 integrated security ecosystem，其中每个 component 都强化其他 component，形成适应现代 threat landscapes 的 defense-in-depth。

Securing network communications

保护 data in transit，需要在所有 network layers 实施 robust encryption 和 secure communication protocols。这些 mechanisms 构成现代 secure communications 的骨干，确保 sensitive information 在 transmission 过程中保持 confidential 且未被修改：

Transport layer security（TLS）/ Secure sockets layer（SSL） ：这些 protocols 通过 encryption 和 mutual authentication，在通信双方之间创建 secure communication channels。除了 secure web browsing，TLS / SSL 还保护 email transmission、API communications 和各种 network applications。现代实现使用 TLS 1.3，以获得更好的 performance 和 security。

Virtual private networks（VPNs） ：包括 IPsec 和 SSL VPNs 在内的 VPN technologies，会为 remote access 和 site-to-site connections 建立 encrypted tunnels，防止 data interception 或 tampering。Enterprise deployments 通常会组合多种 VPN protocols，以提升 flexibility 和 redundancy。

Secure Shell（SSH） ：这种 cryptographic protocol 通过 strong encryption 和 authentication，支持 secure remote administration、file transfers 和 command-line access。SSH version 2 包含额外 security features，例如 perfect forward secrecy，并支持多种 authentication methods，包括 public key 和 MFA。

Network access control

Network access control 通过验证并限制谁可以连接到 network resources，创建 security perimeter。核心 control mechanisms 包括：

Network access control lists（ACLs） ：这些 rule-based filters 使用 IP addresses、protocols 和 ports 等特定 criteria 控制 traffic flow。ACLs 提供 granular communication control，并在多个 network layers 执行 access restrictions。

Network segmentation：将 network 战略性地划分为 isolated segments，可以 containment security breaches 并保护 critical assets。每个 segment 都有独立 security controls，从而阻止 lateral threat movement 并限制 breach impact。

Network authentication and authorization：MFA 验证 user identities，而 authorization systems 基于 roles 分配适当 permissions。这种双重方法确保 users 只能访问其 responsibilities 所需资源，遵循 least-privilege principles，并基于 roles 和 responsibilities 分配 permissions。

Collaboration with operations teams

下面看如何与 operational teams 协作推进工作。

Network operations and network security

有效的 network security 需要与 operations teams 密切协作。应与 network engineers 合作设计 secure architectures，将 proper boundaries、controls 和 segmentation 纳入其中，并与 security requirements 和 best practices 对齐。协调 patch management，确保 network infrastructure 及时 updates，防御 known vulnerabilities，并维护 security posture。

Incident response and network security

与 incident response teams 合作，制定 network security detection 和 response procedures。通过 traffic analysis、intrusion detection 和 log review 建立全面 monitoring，实现 timely incident identification。定义 containment protocols，包括 system isolation 和 malicious traffic blocking。执行 forensic analysis，识别 root causes、评估 impacts，并实施 preventive measures 防止未来 incidents。

Security monitoring and logging

与 security operations 合作，通过 intrusion detection systems（IDS）实施稳健 monitoring，并将其与 security information and event management（SIEM）集成，以进行 centralized log collection 和 analysis。确保来自所有 network devices 和 security systems 的 comprehensive logging，以支持 forensic analysis、incident response 和 compliance。

Key implementation drivers

Network security measures 处理以下关键业务需求：

Data protection：Encryption 和 secure protocols 防止 sensitive communications 被 unauthorized interception，保护 intellectual property 和 customer data。

Access prevention：Firewalls、IDS 和 access controls 阻止 unauthorized network access 和 malicious activities。

Insider threat mitigation：Access controls 和 user behavior analytics 检测并防止 malicious insider activities。

Malware defense：Antivirus、IPS 和 email filters 防御 ransomware、phishing 和 cyber threats。

Data integrity：Digital signatures 和 validation 确保 data 在 transmission 期间的 authenticity。

Regulatory compliance：满足 PCI DSS 和 GDPR 等行业要求。

Business continuity：Redundancy 和 disaster recovery 在 incidents 期间维持 operations。

Secure remote access：VPNs 和 MFA 支持受保护的 remote connectivity。

现在你已经理解这些 security measures 所处理的关键业务需求，接下来讨论这些措施本身。

Essential security measures

以下是用于处理关键业务需求的 essential security measures：

Perimeter defense：在 entry / exit points 部署 firewalls，并配置 access policies。

Threat detection：实施 IDS / IPS，进行 real-time attack detection 和 prevention。

Network architecture：使用 VLANs 和 DMZs 设计 segmented networks，以隔离 critical systems。

Encryption：对 data in transit 使用 SSL / TLS，对 secure remote access 使用 VPNs。

Access control：实施 802.1X authentication、strong passwords 和 MFA。

Monitoring：部署用于 traffic analysis 和 comprehensive event logging 的 tools。

Vulnerability management：对所有 network infrastructure 定期 scanning 和 patching。

Wireless security：WPA3 encryption、guest network isolation 和 rogue AP detection。

Data loss prevention：监控并控制 sensitive data movement。

Incident response：维护经过测试的 response plans，并定义 roles 和 procedures。

Continuous improvement

Network security 需要持续努力，包括 employee security awareness training、regular security audits 和 penetration testing、vendor security assessments，以及 patch management processes。目标始终是保护 data，也就是 network 最有价值的 asset，并覆盖 data 的三种状态：storage、transmission 和 processing。作为 security professionals，应使用 penetration testing，在 attackers 能利用漏洞之前先识别 vulnerabilities。要像 adversaries 一样思考，同时保持 ethical boundaries。此外，一个综合 risk management program，如果能整合这些 disciplines，并通过持续 executive support 自上而下推动，就可以为 continuous improvement 提供可持续方法。

你可以在本书 GitHub repo 中找到一个 step-by-step lab，帮助你在 virtual environment 中实施 network security。请在本书 GitHub repo 的 Chapter_02 folder 中查找该练习。要访问 repository link，请按照 Preface 中 “Download the example code files” 部分的步骤操作。

Cryptography

Cybersecurity architecture 中的 cryptography 确保 information confidentiality、integrity 和 authenticity。Cybersecurity architects 必须掌握 cryptographic techniques，用于保护 sensitive data 和 secure communication channels。本节将考察 cryptography 的 foundational aspects，以及它对 business 和 operational teams 的意义。

Cryptography 的核心 concepts 支持 secure communication：

Encryption / decryption：使用 algorithms 和 keys 将 plaintext 转换为 ciphertext，并再转换回来，以确保 confidentiality。

Symmetric cryptography：对 encryption 和 decryption 使用同一个 key，效率高，但需要 secure key exchange。

Asymmetric cryptography：使用 public / private key pairs，使通信双方无需预先 key exchange 即可进行 secure communication。

Hashing：一种 one-way process，生成 fixed-length values，用于确保 data integrity 并验证 authenticity。Salting 通过向每次 hashing operation 引入 unique、random value 来增强这一过程；它会在 one-way hash function 应用前与 input 结合，使相同 inputs，例如两个用户使用同一个 password，也会产生完全不同 hashes。这可以击败 rainbow tables 等 precomputed attacks，迫使 attackers 单独破解每个 hash，而不是大规模批量破解，并强化 hashing 旨在提供的 integrity 和 authenticity guarantees。实践中，salting 已内置于 bcrypt、scrypt 和 Argon2 等现代 password-hashing algorithms 中，这些算法还会故意增加 computational cost，以进一步拖慢 attackers。

这些基础技术协同工作，在现代系统中保护 data confidentiality、integrity 和 authenticity。

Cryptographic algorithms

Cryptographic algorithms 为 data security 提供数学基础，每类算法服务于不同目的：

Symmetric key algorithms（AES、DES） ：使用相同 keys 进行 encryption / decryption，为大规模 data volumes 提供快速、高效处理。

Asymmetric key algorithms（RSA、Diffie-Hellman、ECC） ：使用独立 keys 进行 encryption / decryption，支持 secure key exchange 和 digital signatures。

Hashing algorithms（MD5、SHA-1、SHA-256） ：从 input data 生成 fixed-length values，以确保 integrity 并创建 unique identifiers。请注意，MD5 和 SHA-1 现在已被认为不适合 security applications。

需要注意的是，由于 collisions 或其他 security-related issues，许多 algorithms 已被弃用，例如 3-DES、MD5 和 SHA1。

Cryptography in practice

Cryptography in practice 将 cryptographic principles 应用于真实系统中的数据和通信安全。本节将讨论 secure key management、secure communication channels，以及 digital signatures 和 certificates 的使用，以确保 confidentiality、integrity 和 authenticity。

Secure key management

有效 key management 对 encryption security 至关重要：

Key generation：使用 secure number generators 创建 strong keys，例如 operating system 提供的 /dev/urandom 或 CryptGenRandom，或 hardware-based random number generators，并确保 key length 足以抵御 brute-force attacks。

Key distribution：实施 secure distribution mechanisms，例如 Diffie–Hellman 等 key exchange protocols、public key infrastructure（PKI）、Kerberos 等 key distribution centers，或 encrypted key wrapping techniques，尤其是对 symmetric keys。

Key storage：使用 hardware security modules（HSMs）或 secure key vaults 保护 keys，以防 unauthorized access，并维护 data integrity。

Cloud key management in practice（AWS KMS）

AWS key management service（KMS）展示了这些原则如何转化为 managed cloud offering。在 key generation 方面，KMS 使用 FIPS 140-2 validated hardware security modules 创建 customer master keys（现在称为 KMS keys），通过 cryptographically secure random number generators 生成 AES-256 symmetric keys 或 RSA / ECC asymmetric key pairs。这消除了 developer-generated weak keys 的风险。

在 key distribution 方面，KMS 从不向 users 或 applications 暴露 raw key material。相反，它实现 envelope encryption：生成一个 data key，在本地用于加密 payload，然后该 data key 本身会被 KMS key 加密，并与 ciphertext 一起存储。

S3、EBS、RDS 和 Secrets Manager 等 services 都与 KMS 原生集成，使 keys 通过 ARN 引用，并通过 IAM-authenticated API calls 分发，而不是通过 out-of-band 方式共享。

在 key storage 方面，underlying key material 永远不会以 plaintext 形式离开 HSM boundary。AWS CloudHSM 和 KMS Custom Key Stores 为 regulated workloads 提供 single-tenant HSM isolation；KMS 本身则提供 automatic annual key rotation、granular IAM 和 key policies，用于控制谁可以 use 或 manage 每个 key，并通过完整 CloudTrail logging 记录每次 cryptographic operation，用于 audit 和 forensics。其他 cloud providers 也有等价服务，包括 Azure Key Vault 和 Google Cloud KMS，表明 strong key management 已成为 cloud-native architecture 的 baseline expectation，而不是高级附加功能。

Key management best practices 包括 secure key generation、distribution 和 rotation，使用 HSMs 或 key vaults 进行 protected storage，适当 key lifecycle management，以及定期 security audits 和 compliance reviews。

Secure communication channels

Secure communication protocols 构成跨 untrusted networks 加密 data transmission 的骨干，保护信息在 systems 之间传输时的安全：

Secure socket layer / Transport layer security（SSL / TLS） ：这些 protocols 在 internet 上建立 secure communication channels，通过 encryption 和 certificate-based authentication，确保 exchanged data 的 confidentiality、integrity 和 authenticity。

Virtual private networks（VPNs） ：VPNs 创建 encrypted tunnels，保护 remote users 或 office locations 之间的 communication，通过 encapsulation 和 encryption technologies 保护 public networks 上传输的数据。

Digital signatures and certificates

Cryptographic authentication mechanisms 确保通信方的 identity 和 transmitted data 的 integrity，形成 secure digital transactions 的 trust foundation：

Digital signatures：使用 private keys 创建，并使用 public keys 验证。Digital signatures 提供 non-repudiation 和 data integrity，证明 sender identity，并证明数据未被修改。

Certificates：由 trusted Certificate Authorities（CAs）签发，将 public keys 与 entity identities 绑定，确保 authenticity，并在 public key infrastructure 中实现 secure key distribution。

有效的 cybersecurity 依赖安全原则的实际应用，从 system protections 到 cryptographic practices，用于保护 data 和 communications。然而，仅有 technical controls 并不足够。要真正有效，security 必须让 business 和 operational teams 对齐，以处理 regulatory 和 compliance requirements，同时支持关键 business drivers。

Collaboration with business and operations teams

Cybersecurity 必须与 business 和 operational functions 紧密对齐，才能有效。这要求理解 regulatory 和 compliance requirements，同时理解 key business drivers，确保 security controls 在满足法律和运营义务的同时支持 organizational goals。

Regulatory and compliance requirements

与 legal 和 compliance teams 合作，确保 cryptographic implementations 符合 regulatory requirements，包括 GDPR、HIPAA 和其他 frameworks 中规定的 data protection laws、encryption standards 和 key management practices。

Cryptographic implementation areas 包括 secure communication 和 application security。

Secure communication 通常包括：

• 使用 PGP 或 S/MIME 进行 email encryption，以支持 confidential messaging。
• 使用 Secure file transfer protocols（SFTP）进行 protected data transmission。
• 使用 SSL / TLS 进行 web communications，使用 IPsec 进行 network security。
• 对 VoIP 和 video conferencing 进行 encryption，以保护 voice / video。

Application security 包括：

• 使用 strong cryptographic libraries 的 secure coding practices。
• 使用 password hashing、MFA 和 secure session management 的 strong authentication。
• 通过 OAuth 和 JWT protocols 实现 API security。
• 使用 MQTT-TLS 或 DTLS 保护 IoT communication。

Data protection 包括：

• 使用 AES 或 RSA 对 databases、file systems 和 backups 执行 encryption at rest。
• 针对特定 sensitive content 执行 file 和 folder-level encryption。
• 在 development / testing environments 中使用 data masking 和 tokenization。
• 针对 cloud storage 使用 client-side encryption。

Authentication and identity 包括：

• 使用 digital signatures 实现 document authenticity 和 non-repudiation。
• 用 PKI infrastructure 管理 certificates。
• 使用 Kerberos 或 SRP 等 secure authentication protocols。
• 使用 hardware security modules（HSMs）进行 key management。

Business drivers

Cryptography implementation 处理以下关键企业需求：

Data confidentiality：保护 customer data、financial records 和 intellectual property。

Regulatory compliance：满足行业特定 requirements，避免 penalties。

Data integrity：通过 digital signatures 和 hash functions 验证 authenticity。

Secure remote access：支持跨 locations 的 protected communication。

Insider threat mitigation：限制 unauthorized internal access。

Breach protection：使被盗 encrypted data 无法使用。

Secure collaboration：支持 protected information sharing。

Cryptography 为保护 enterprise data 的 confidentiality、integrity 和 authenticity 提供基础安全机制。成功需要仔细 planning、稳健 key management，以及 security architects 和 business teams 的紧密协作，以在所有 communication channels 和 data states 中实施有效 cryptographic solutions。

你可以在本书 GitHub repo 中找到一个 step-by-step lab，帮助你在 virtual environment 中实施 cryptography。该 lab 会指导你使用 OpenSSL 这个 open-source tool，完成 basic encryption and decryption 的设置。Lab 名称为：Lab Guide: Implementing Cryptography with OpenSSL。请在本书 GitHub repo 的 Chapter_02 folder 中查找该练习。要访问 repository link，请按照 Preface 中 “Download the example code files” 部分的步骤操作。

Business continuity / disaster recovery planning（BCP / DRP）

Business continuity 和 disaster recovery planning（BCP / DRP）确保组织可以维持 operations，并从 disruptive incidents 中恢复。这个关键过程会制定 strategies、procedures 和 policies，以最小化 disruptions 的影响，并在 adverse conditions 下维持 business functions。

Business continuity planning（BCP）

BCP 通过以下策略维持 disruptions 期间的 essential business functions：

Business impact analysis（BIA） ：识别 critical processes 和 dependencies，并优先安排 recovery efforts。

Risk assessment：评估 threats，包括 natural disasters、cyberattacks 和 supply chain disruptions。

Recovery strategies：制定 alternate facilities、backup systems、redundancy 和 alternative suppliers。

Incident response：建立 emergency teams、escalation protocols 和 stakeholder communication plans。

Training：通过 role-based instruction、awareness programs，以及对 tools、playbooks 和 escalation paths 的 hands-on familiarization，让人员准备好有效执行 response procedures。Regular training 确保 team members 在 incident 发生前就理解自己的 responsibilities，并能在压力下果断行动。

Testing：通过 tabletop exercises、simulations 和 full-scale drills 验证 plan readiness 并识别 gaps。Testing 会在 realistic conditions 下暴露 communication、coordination 和 technical execution 中的弱点，lessons learned 会直接反馈到 plan updates 和未来 training cycles 中。

Disaster recovery planning（DRP）

DRP 通过以下 processes 恢复 critical IT systems：

IT systems inventory：为 recovery 优先排序 critical systems、applications 和 infrastructure。

RTO / RPO metrics：定义 acceptable downtime，也就是 recovery time objective（RTO），以及 data loss，也就是 recovery point objective（RPO），以指导 recovery strategies。

Backup solutions：实施 regular backups、offsite storage、replication 和 cloud recovery options。

Infrastructure redundancy：部署 failover systems、clustering 和 geographically dispersed data centers。

Vendor management：与 technology partners 建立 SLAs，以获得 recovery support。

Testing / maintenance：定期进行 drills 和 failover tests，以验证 effectiveness。

BCP / DRP 与 risk management 集成，通过识别 threats 并优先安排 response strategies；与 information security 集成，通过 access controls、encryption 和 incident response 保护 systems；并与 incident response 集成，确保 disruption management 和 recovery initiation 协调一致。

组织必须处理 industry regulations，例如 ISO 22301、GDPR，以及 contractual obligations；定期进行 reviews 和 updates，以应对 emerging threats；并从 incidents 中学习，以增强 resilience。有效的 BCP / DRP 通过 proactive preparation 和 systematic recovery capabilities，在 adverse events 中保护 reputation、维持 customer trust，并确保 business viability。

Physical security

Physical security 包括保护 assets、facilities 和 people 免受 unauthorized access、damage、theft 或 harm 的措施。它结合 strategies、technologies 和 procedures，通过全面保护 tangible resources 来创建 secure environments。虽然 cybersecurity 聚焦于保护 digital assets 和 information systems，但 physical security 为组织的 tangible resources 提供基础保护层。

随着 physical security breaches 可以直接危及 digital systems 和 data，physical 和 cyber security 的融合正变得至关重要。这种 comprehensive approach to physical security 包括多个 integrated components 共同工作，形成 defense-in-depth，保护 facilities、equipment、personnel，并最终支持组织的 operational continuity 和 strategic objectives。

Access control should consider the following key points

Systems：Key cards、biometric authentication、PIN codes、security personnel。

Infrastructure：Gates、turnstiles、locks、controlled entry points。

Policies：定义 authorized access、visitor management 和 tracking protocols。

Surveillance systems should be updated to include the following

Advanced features：HD cameras、PTZ capabilities、video analytics。

Real-time analysis：自动检测 suspicious behaviors 和 unauthorized access。

Cloud-based systems：支持 remote monitoring，并提升 situational awareness。

Intrusion detection / alarm systems should include the following

Components：Motion detectors、glass break sensors、door / window sensors。

Advanced capabilities：使用 machine learning 进行 anomaly detection。

Integration：与 SIEM systems 集成，支持 centralized monitoring 和 automated response。

Physical barriers and security personnel should focus on these

Barriers：Fences、walls、bollards、vehicle barriers。

Deterrents：Strategic lighting、signage、landscaping。

Personnel：训练有素的 guards，用于 patrols、monitoring 和 incident response。

Systems：Mobile patrols 和 guard tour tracking。

Environmental and asset controls include the following

Fire suppression：Detection systems、alarms、sprinklers。

Environmental monitoring：对 sensitive equipment 进行 temperature / humidity controls。

Asset management：Tracking systems、tagging 和 restricted storage access。

Policies and emergency preparedness include these

Security procedures：Access protocols、incident reporting、visitor management。

Emergency response：Communication plans、evacuation procedures、与 first responders 协调。

Testing：Regular drills 和 simulations。

Notification systems：针对 critical situations 的 mass alerts。

Implementation drivers

Physical security 处理以下关键业务需求：

Access prevention：保护 assets、IP 和 confidential data 免受 unauthorized access。

Personnel safety：确保 employee 和 visitor security，防止 workplace violence。

Business continuity：防止 theft、vandalism 或 unauthorized access 造成 disruptions。

Regulatory compliance：满足 safety 和 data protection 方面的行业特定 requirements。

Insider threat mitigation：检测并威慑 malicious internal activities。

Data center protection：保护 critical IT infrastructure 和 valuable data。

Brand reputation：向 customers 和 stakeholders 展示对 security 的承诺。

IP protection：保护 proprietary information 和 trade secrets。

Modern physical security 利用 perimeter technologies，包括 thermal imaging 和 radar systems；system integration，例如 unified access control、surveillance 和 alarm systems；behavior analysis 和 pattern recognition；以及 cloud platforms 的 centralized management 和 remote accessibility。

为了保持 physical security 完整，必须开展 continuous improvement。进行 regular security audits 和 vulnerability assessments，由 external specialists 执行 penetration testing，与 law enforcement 和 emergency services 协作，并根据 emerging threats 和 incidents 实施 updates。Physical security 是 comprehensive enterprise protection 中的重要一层，它与 cybersecurity measures 协同工作，保护 assets、people 和 operations，同时确保 regulatory compliance 和 business resilience。

你可以在本书 GitHub repo 中找到一个 step-by-step lab，帮助你使用自己的 home 或 apartment 作为学习环境，实施 physical security measures。请在本书 GitHub repo 的 Chapter_02 folder 中查找该练习。要访问 repository link，请按照 Preface 中 “Download the example code files” 部分的步骤操作。

Summary

本章探索了 cybersecurity architects 与 business 和 operational teams 协作时所必需的五个基础领域。我们讨论了 access control，包括其 concepts，以及如何在 virtual environments 中实施；network security，包括 secure design、firewall configuration 和 intrusion detection；cryptography，重点关注 PKI basics，包括 encryption、digital signatures 和 key management；BCP / DRP、risk assessment、business impact analysis 和 recovery strategy development。最后，我们还讨论了 physical security，包括 access control、surveillance 和 secure storage fundamentals。

本章为你的 career progression 和 cybersecurity architecture 中的专业化决策奠定了基础。下一章中，我们将详细讨论 cybersecurity architects 的 responsibilities。

Further reading

• Deseret News（Aug. 18, 1996）, Justice Department's Web Site Defaced
• IntelligentHQ, US Department of Justice Hack Sends Shockwaves — retrospective covering detection timing and industry response
• CTI Technology, What Happened On August 17 1996? — covers the pre-dawn timeline, containment, and the August 19 restoration
• 2600 Magazine archive, Saturday August 17, 1996 DOJ Hacked — hacker-community archive preserving the defaced page
• CSO Online, Hacktivism's Reemergence Explained
• Rothstein Publishing, Website Defacement – What You Need to Know
• ScienceDirect Topics, Web Site Defacement – an overview — academic treatment of the infiltration / replacement technique
• Romagna & van den Hout, Hacktivism and Website Defacement: Motivations, Capabilities and Potential Threats（ResearchGate）