ESKme/vectorfield-network-security-archlab

# VECTORFIELD — 企业网络安全架构研究 架构研究 | 企业网络安全 | SOC就绪性 VECTORFIELD 是一个方法论驱动、可追溯性的企业网络安全架构研究， 展示了如何将利益相关者约束、审计压力和预算限制转化为可操作的安全架构。      ## 快速导航 - 架构概览 → `docs/architecture-summary.md` - 需求可追溯性 → `docs/requirements-traceability.md` - SOC就绪性设计 → `docs/soc-readiness.md` - 完整研究（PDF）→ `/pdfs/` ## 项目摘要 **VECTORFIELD** 是一个专注于虚构中型数字服务公司的科学网络安全架构研究。 该项目展示了如何将结构化的利益相关者访谈作为**单一事实来源（SSoT）**，驱动后续所有架构决策。 在此基础上，研究推导出可测试的需求、基于框架的设计方法、面向区域的网路架构、可扩展的 IP 模型、 日志与监控基础架构，以及 SOC 就绪性验证逻辑。 本仓库是该项目的 **GitHub 配套版本**，旨在作为结构化、适合展示且 便于协作的研究表示。 ## 为何开展本研究 许多网络安全架构示例关注工具而非 方法论。本项目探索如何从利益相关者需求、审计发现、 运营约束和财务护栏中系统推导架构决策。 目标不是设计最复杂的架构，而是最 可追溯且在运营上可持续的架构。 ## 核心问题 核心问题留空供后续填充。 ## 关键特征 - 利益相关者驱动的需求工程 - 从访谈 → 需求 → 控制 → 验证的可追溯性 - 面向区域的默认拒绝架构 - 通过 pfSense 的集中式 enforcement - 基于 VLAN 的分段 - 通过 VPN 的受控远程访问 - 设备绑定的证书认证 + MFA - 集中式日志记录与基于 NTP 的事件关联 - 仅告警模式的 IDS 用于可见性而不造成内联中断 - 在 **≤ €125,000 CAPEX** 约束下的预算感知设计 - 无需假设 24/7 SOC 的结构化 SOC 就绪性 ## 架构范围

该研究使用基于 VLAN 的网络分段实现分段安全区域： - **VLAN 10 — Corp** - **VLAN 20 — Servers** - **VLAN 30 — Guest / BYOD** - **VLAN 40 — Mgmt** - **VLAN 50 — Dev/Test（可选）** - **VPN 子网 10.20.60.0/24** 作为 pfSense 上的逻辑第 3 层扩展 所有区域间通信均通过**集中式默认拒绝 enforcement 模型**进行控制。 ## 安全逻辑 架构并非围绕“更多工具”构建，而是围绕**方法论严谨性**： - 不存在平坦的内部信任 - 不存在未管理的管理员访问 - 不存在隐式的远程信任 - 不存在未记录的防火墙关系 - 不存在无时间一致证据的监控 设计强调： - ** containment over convenience **（控制优先于便利） - ** traceability over complexity **（可追溯优先于复杂） - ** evidence over declarations **（证据优先于声明） - ** growth through configuration instead of redesign **（通过配置而非重新设计实现增长） ## 验证重点 架构针对三项可衡量的验收目标进行验证： - **G-01** 有效的区域分离 - **G-02** 日常运营中稳定的基础服务 - **G-03** 取证可追溯性 / SOC 就绪性 这些目标由基于需求的验证逻辑和集中可关联的证据链支持。 ## 仓库结构 本仓库包含架构文档、 支持性资产以及完整研究出版物。 ``` . ├── README.md ├── CITATION.cff ├── VIDEO_WALKTHROUGH.md ├── codemeta.json ├── LICENSE.md ├── CHANGELOG.md │ ├── ARCHITECTURE_PRINCIPLES.md ├── THREAT_MODEL.md │ ├── CONTRIBUTING.md ├── CODE_OF_CONDUCT.md ├── SECURITY.md ├── SUPPORT.md │ ├── PROJECT_STRUCTURE.md │ ├── .gitignore │ ├── docs/ │ ├── overview.md │ ├── architecture-summary.md │ ├── requirements-traceability.md │ ├── soc-readiness.md │ ├── architecture-diagram.md │ ├── validation.md │ ├── architecture-decisions.md │ └── references.md │ ├── assets/ │ ├── images/ │ │ ├──00_vectorfield-video-thumb.jpg │ │ ├──00_VECTORFIELD_Cover.jpg │ │ ├──00_VECTORFIELD_Portfolio_Cover.jpg │ │ ├──01_T2_Concept.jpg │ │ ├──02_K4 0_SSoT.jpg │ │ ├──03_K4_1_Guideline.jpg │ │ ├──04_K4_3-4_REQs.jpg │ │ ├──05_K5_NIST.jpg │ │ ├──06_K6_2_Zones.jpg │ │ ├──07_K6_2-1_Isolation.jpg │ │ ├──08_K6_2-2_Routing.jpg │ │ ├──09_K6_2-4_DNS.jpg │ │ ├──10_K7_0_VLAN.jpg │ │ ├──11_K7_1-4_VPN.jpg │ │ ├──12_K7_3-3_Monitoring.jpg │ │ ├──13_K8_3_MFA.jpg │ │ ├──14_K8_8_MDM.jpg │ │ ├──15_K9_Risiko1.jpg │ │ ├──16_K9_Risiko2.jpg │ │ ├──17_K9_Risiko3.jpg │ │ └──18_K9_Matrix.jpg │ └── diagrams/ │ ├── K6_3_Net-Diagram.jpg │ └── VECTORFIELD_Net-Diagram.drawio │ └── pdfs/ ├── ESKme-VECTORFIELD-ENSAS-EN-v1.0.pdf └── ESKme-VECTORFIELD-ENSAS-EN-Portfolio-v1.0.pdf ``` ## 推荐内容 ### docs/overview.md 面向招聘人员、同行和 GitHub 访客的简洁项目概述。 ### docs/architecture-summary.md 架构模型、安全区域、默认拒绝逻辑和监控概念的精简说明。 ### docs/requirements-traceability.md 需求逻辑的 GitHub 友好摘要： 利益相关者 → REQ ID → 架构决策 → 验证。 ### docs/soc-readiness.md 集中式日志记录、NTP 同步、仅告警模式的 IDS 逻辑以及取证事件关联的精简说明。 ### pdfs/ 原始完整研究及组合 PDF。 ## 项目类型 本仓库代表： - 企业网络安全架构案例研究 - 组合项目 - 面向可追溯性的安全架构设计 - 面向 SOC 就绪性的企业网络安全设计 ## 关于完整研究 完整研究在 GitHub 版本基础上扩展了： - 完整的利益相关者访谈方法论 - 详细的需求推导 - 完整的可追溯性矩阵 - 架构逻辑与 IP 设计 - 实施清单 - 风险评估与 NIST CSF 映射 - 术语表与方法论分类 ## 研究下载 ### 英文版研究 - 组合包： https://files.eskme.net/levelup/labs/netarch/vectorfield/ESKme-VECTORFIELD-ENSAS-EN-Portfolio-v1.0.pdf - 完整研究： https://files.eskme.net/levelup/labs/netarch/vectorfield/ESKme-VECTORFIELD-ENSAS-EN-v1.0.pdf ### 德文版研究 - 组合包： https://files.eskme.net/levelup/labs/netarch/vectorfield/ESKme-VECTORFIELD-ENSAS-DE-Portfolio-v1.0.pdf - 完整研究： https://files.eskme.net/levelup/labs/netarch/vectorfield/ESKme-VECTORFIELD-ENSAS-DE-v1.0.pdf ## 网站 - 网站： https://ESKme.net 更多资源与学习项目请访问 ESKme 档案： https://files.eskme.net/levelup/labs/ ## 视频演示 架构的引导演示如下： ➡ 请查看 **VIDEO_WALKTHROUGH.md** ➡ 项目视频： https://youtu.be/xlj1juVi7DE ## 致谢 作者：**ESKme** 品牌：**ESKme ∴ Ethical.Shift.Keeper.//me** ## 许可证 本项目采用 **Creative Commons Attribution-ShareAlike 4.0 International (CC BY-SA 4.0)** 许可协议。 ## 支持 如果您认为本项目有价值并希望支持进一步的开放网络安全教育计划： → 请查看 **SUPPORT.md** ## 联系方式 维护者：**ESKme** 如有关架构研究、方法论或 ESKme 学习项目的问题，可通过以下方式联系维护者： 邮箱：contact@ESKme.net 网站：https://ESKme.net 如需讨论仓库相关事项或改进建议， 请优先创建 **GitHub Issue**，以确保讨论透明且可被他人访问。

标签：JSONLines, NIST CSF 2.0, pfSense, SOC准备, Streamlit, VLAN 隔离, 企业网络安全, 利益相关者访谈, 区域化网络, 单一真实源, 可追溯性, 合规, 安全控制, 安全架构, 审计压力, 网络架构, 访问控制, 身份基信任, 防御加固, 零信任, 预算约束, 默认拒绝