安全性

安全的本质就是保护数据被合法地使用

流程安全

安全基本原则 C.I.A

CIA原则

安全问题的解决

  1. 认证
  2. 授权
  3. 审计与追责
  4. 企业安全流程建设

安全框架

通过将影响安全的维度列出,来思考安全问题

Zachman

Zachman框架

Sabsa

Sabsa框架

国际安全架构理论

P2DR

P2DR模型

IPDRR

IPDRR模型

IATF

从人-技术-运营各个方面深程度防御

CGS

治理-保护-监测-响应恢复

IACD

IACD框架

自适应安全框架

自适应安全框架

安全控制

管理、威慑、补偿、预防、检测、纠正、恢复

COBIT目标控制

NIST标准控制

COSO内部控制

安全流程

ITIL

SIEM安全管理

基于各类日志,提供安全运营和管理能力的统一平台

六西格玛

CMMI

安全法律合规

网络安全法

个人信息保护法

GPDR

PCI支付卡安全标准

保持节俭

真的需要存储那么多数据吗?

为了安全,或者为了用户的隐私,只需要存取必须的数据即可

安全评估方法

应用风险分析

分析内容:暴露性、财务影响、数据可用性、数据敏感度、服务合规、数据分层、安全投入

分析思路:脆弱性 -> 可能性 -> 影响 -> 风险

方法:风险分析过程、威胁资产脆弱性评估、失效模式

手段:损失计算、定性矩阵、Delphi决策、对策评估

安全测试

SAST静态扫描
IAST交互式安全测试

威胁模型

网络安全威胁:电子欺骗、篡改、抵赖、信息披露、DOS、权限提升

stateDiagram-v2  识别数据 --> 识别攻击  识别攻击 --> 识别漏洞
攻击树

分析什么人可以通过什么端点获取信息资产

DREAD风险评估

渗透测试

物理安全

人员安全

人员管理上,

设备管理上:

数据中心安全

数据安全

数据安全分层

数据访问控制

访问原则

责任分层、最小权限

访问金字塔

DLP

清点、归档、清洗、销毁、网络、端点

数据加密

PKI公钥基础设施

CSR -> RA -> CA -> 证书

加密手段

加密决策树:

stateDiagram-v2  是否可逆 --> 散列(MD5、SHA)  是否可逆 --> 完整性  完整性 --> 小文件  小文件 --> 对称加密(DES、AES)  小文件 --> 自己人  自己人 --> 非对称加密  自己人 --> 对称加密  完整性 --> 数字签名(HMAC、RSA+MAC)

信封加密:

信封加密信封解密

数据逻辑保护

数据高可用性

磁盘高可用

容灾

通信安全

软件安全

安全开发与运营

安全开发流程(SDL)

202266171253

安全运营

内建安全

可以将一些自动化的安全工具集成的CI中

外部验证

外包出去给第三方进行渗透测试