摘要:
第八章 软件开发安全 系统开发生命周期的各个阶段: 系统调查、可行性研究、系统分析、系统设计、系统实施、系统评价和维护。 8.1 创建好的代码 控制输入/加密/逻辑处理/数字处理方法/进程间通信/访问/输出/以及与其他软件的接口 控制可能是预防性/探测性/纠正性的,表现形式可能是行政管理方法/ 阅读全文
摘要:
第七章:安全运营 7.1 运营部门的角色 prudent man、due care(按要求执行)VS due diligence(承担管理者责任) 应尽关注:执行了负责任的动作降低了风险。 应尽职责:采取了所有必要的安全步骤以了解公司或个人的实际风险。 运营安全是保持环境运行在一个必要的安 阅读全文
摘要:
第六章:安全评估与测试 6.1 审计策略 信息系统的安全审计是对特定范围的人/计算机/过程和信息的各种安全控制所实施的一个系统性评估。 安全审计流程:确定目标--适合的业务部分领导参与--确定范围--选择审计团队--计划审计--执行审计--记录结果--将结果转达给合适的领导 内部审计 优点:熟悉内部 阅读全文
摘要:
第五章 身份与访问管理 5.1 访问控制概述 访问控制是一种安全手段,它控制用户和系统如何与其他系统和资源进行通信和交互。 主体可以是通过访问客体以完成某种任务的用户、程序或进程。 客体是包含被访问信息或者所需功能的被动实体。 5.2 安全原则 各种安全控制中3个主要的安全原则:机密性、完整 阅读全文
摘要:
第四章:通信与网络安全 4.1 通信 通信是数据在系统之间的电子传输,协议是归档计算机在网络上如何通信的一组规则。 4.2 开放系统互连参考模型 OSI模型 应用层 协议:SMTP/HTTP/LPD/FTP/TELNET/TFTP 表示层 数据表示处理,并不考虑数据的含义,而只关心数据的格式和语 阅读全文
摘要:
第3章:安全工程 3.1 系统架构术语 架构:对系统、系统的内部组件、组件之间的关系,与外部环境间的关系、指导其设计和发展的原则等方面的基本组织架构。 架构描述:以正式方式表述架构的文档集合。 利益相关者:与系统有利益关系或关注系统的个人、团队、组织。 视图:从相关的一组关注点透视出的整个系统的表述 阅读全文
摘要:
第二章:资产安全 2.1 任何对组织有价值的东西都可成为资产,包括人员、合作伙伴、设备、设施、声誉和信息。 2.2 信息生命周期:获取、使用、存档、处置。 2.3 信息分类: 商业公司的信息敏感级别:机密、隐私、敏感、公开 军事机构的信息敏感级别:绝密、秘密、机密、敏感但未分类、未分类机密:Con 阅读全文
摘要:
第一章:安全与风险管理 1.1 安全基本原则(CIA) 机密性(Confidentiality):确保信息在存储、使用、传输过程中不会泄露给非授权用户或实体。 - 加密静止数据(整个磁盘、数据库加密) - 加密传输(IPSec、SSL、PPTP、SSH)中的数据 - 访问控制(物理和技术的) 完整性 阅读全文