1.每一种解决方案,无论是防火墙、咨询或是安全计划,都必须根据它的功能要求和确定性要求进行评估。
功能要求评估指的是:"这种解决方案执行了必要的任务吗?"
确定性要求评估指的是:"我们对这种解决方案提供的保护级别有多确信?"
确定性要求包括解决方案的CIA原则三个方面
2.威胁因素->(引起)威胁->(利用)脆弱性->(导致)风险->(可以破坏)资产->(引出一个)暴露->(能够预防通过)安全措施->(直接作用到)威胁因素
实施的顺序
威胁->暴露->脆弱性->对策
原因:如果具有某种威胁(新的SQL攻击),但是除非你所在的公司存在对应的脆弱性(采用必要配置的SQL服务器),否则公司不会暴露在威胁之中,这也不会形成脆弱性。如果环境中确实存在脆弱性,就应该采取对策,以降低风险
3. 运作规划
3.1 执行安全风险评估
3.2 不允许安全变更以降低效率
3.3 维持并实施控制
3.4 持续扫描漏洞并提供补丁
3.5 追踪策略遵守情况
这种规划的方法叫远景规划,一个公司通常不能一下改变所有的东西,有些变化大,有些变化小,许多时候,在其他变化发生之前,某些特定的变化不能发生。
4. 安全模型
业务对象(基础)->脆弱性评估(渗透测试)(方法)->定量定性的风险评估,风险分析,定义风险和威胁->保护需要,数据分级,功能性评价(提出需求)->法律责任、安全意识、系统可靠性、策略和规程(找出是什么问题)->代价合理的解决方案、安全措施、对策(解决办法)->CIA(最终目标)->总体安全
5. 应用研发和系统运维相关的(重点是了解相关业务的流程)
5.1系统运维
审批->选择机器->安装系统(一系列的规范)->环境部署(针对不同的应用的不同的加固措施)->应用代码部署(加固规范)->运维阶段(监控,事件的报告和应急响应)->下线(下线后的规范)
5.2应用研发
确定需求->代码需要设计(功能安全特性)->实际代码编写(人员培训等相关工作)->代码完成(源代码审计)->上线(注意这里就系统运维有了一个很好的交叉交叉点就是运维监控)->下线(下线后的相关工作)