域1:安全与风险管理 第1章实现安全治理的原则和策略

---包括OSG 1、2、3、4 章---

第1章、实现安全治理的原则和策略

1、由保密性、完整性和可用性组成的 CIA 三元组。

保密性原则是指客体不会被泄露给 未经授权的主体。完整性原则是指客体保持真实性且只被经过授权的主体进行有目的的修改。 可用性原则指被授权的主体能实时和不间断地访问客体。

2、了解 AAA 服务的要素。

AAA 由标识、身份认证、授权、审计和记账(或问责制)构成。

3、身份标识是如何工作的。

身份标识是一个主体声明身份并开始承担责任的过程。主体必须为系统提供标识,以便启动身份认证、授权和问责制的过程。

4、身份认证过程。

身份认证是验证或测试声称的身份是否有效的过程。身份认证需要 来自主体的信息,这些信息必须与指示的身份完全一致。

5、授权如何用于安全计划。

一旦对主体进行了身份认证,就必须对其访问进行授权。 鉴于已通过验证的身份被赋予的权利和特权,授权过程确保被请求的活动或对客体的访问是可以实现的。

6、审计过程。

审计是一种程序化的过程:通过文档或者主体活动记录,在验证过 的系统中让主体为其行为负责。

7、问责制的重要性。

只有在主体对他们的行为负责时,才能保持安全性。有效的问责制依赖千检验主体身份及追踪其活动的能力。

8、不可否认性。

不可否认性确保活动或事件的主体不能否认事件的发牛。它防止主体声称没有发送过消息、没有执行过动作或没有导致事件的发生。

9、纵深防御。

纵深防御,也叫分层防御,指简单使用一系列控制中的多个控制。多层防护解决方案允许使用许多不同的控制措施来抵御随时都可能出现的威胁。

10、抽象的概念。

抽象用于将相似的元素放入组、类或角色中,这些组、类或角色作为集合被指派安全控制、限制或许可。抽象提高了安全计划的实施效率。

11、理解数据隐藏。

数据隐藏旨在防止数据被主体发现或者访问。数据隐藏通常 是安全控制和编程中的关键元素。

12、安全边界。

安全边界是具有不同安全要求或需求的任意两个区域、子网或环境之间的交界线

13、安全治理。

安全治理是与支持、定义和指导组织安全工作相关的实践集合。

14、第三方治理。

第三方治理是可能由法律、法规、行业标准、合同义务或许可要求强 制执行的外部实体监督系统。实际的治理方法可能各有不同,但通常包括外部调查员或审计员。

15、文件审查。

文件审查是查看交换材料并根据标准和期望对其进行验证的过程。文件审查通常发生在现场检查之前。许多情况下,特别是与政府或军事机构或承包商相关的情况 下,如果未能提供足够的文件以满足第三方治理的要求,可能导致操作授权(ATO) 的丢失或失效

16、业务战略、目标、使命和宗旨相一致的安全功能。

安全管理计划确保正确地创建、 执行和实施安全策略。安全管理计划使安全功能与业务战略、目标、使命和宗旨相一致。这包括基于业务场景、预算限制或资源稀缺性来设计和实现安全。

17、业务场景。

业务场景通常是文档化的参数或声明的立场,用千定义做出决策或采取某类行为的需求。创建新的业务场景是指演示特定业务需求,以修改现有流程或选择完成业 务任务的方法。业务场景常被用来证明新项目(特别是与安全相关的项目)的启动是合理的

18、理解安全管理计划。

安全管理基于三种类型的计划:战略计划、战术计划和操作计划。 战略计划是相对稳定的长期计划,它定义了组织的目标、使命和宗旨。战术计划是中期计划, 为战略计划中设定的目标提供更多细节。操仵计划是在战略计划和战术计划的基础上制订的 短期、高度详细的计划

19、规范化安全策略结构的组成要素。

要创建一个全面的安全计划,需要具备以下内容: 安全策略、标准、基线、指南和程序。

20、组织的流程。

安全治理需要关注组织的方方面面。这包括收购、资产剥离和治理委员会的组织流程。

21、关键的安全角色。

主要的安全角色有高级管理者、安全专业人员、用户、资产所有 者、托管员和审计人员。

22、COBIT 的基础知识。

COBIT 是一种安全控制框架,用于为企业制订综合的安全解决方案。

23、 应尽关心和尽职审查。---这里错误

应尽关心是指制订计划、策略和流程以保护组织的利益。尽职审查指的是实践那些维持应尽关心工作的活动。应尽关心是知道应该做什么并为此制订计划,尽职审查是在正确的时间采取正确的行动。

24、 威胁建模的基础知识。

威胁建模是识别、分类和分析潜在威胁的安全过程。威胁建模可被当成设计和开发期间的一种主动措施来执行,也可作为产品部署后的一种被动措施来 执行。关键概念包括资产月文击者/软件、 STRIDE、PASTA、VAST、图表、简化/分解和 DREAD

25、 供应链风险管理概念。

供应链风险管理(SCRM) 旨在确保供应链中的所有供应商或环节都是可靠的、值得信赖的、信誉良好的组织,这些组织向业务伙伴(尽管不一定向公众) 披露他们的实践和安全需求。 SCRM 包括评估与硬件、软件和服务相关的风险,进行第三方评估和监控,设立最低安全要求和强制执行服务级别需求。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/56407.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【进阶OpenCV】 (15)-- 人脸识别 -- EigenFaces算法

文章目录 EigenFaces算法一、算法原理二、算法流程三、算法特点四、代码步骤1. 图像预处理2. 创建Eigenfaces人脸识别器3. 训练模型4. 预测图像 总结 EigenFaces算法 EigenFaces算法是一种基于主成分分析(PCA)的人脸识别方法,其核心思想是通…

Linux--firewalld服务

firewalld服务 firewalld 介绍 firewalld是CentOS 7.0新推出的管理netfilter的用户空间软件工具 firewalld是配置和监控防火墙规则的系统守护进程。可以实iptables,ip6tables,ebtables的功能 firewalld服务由firewalld包提供 firewalld支持划分区域zone,每个zone可以设置独立…

Gitxray:一款基于GitHub REST API的网络安全工具

关于Gitxray Gitxray是一款基于GitHub REST API的网络安全工具,支持利用公共 GitHub REST API 进行OSINT、信息安全取证和安全检测等任务。 Gitxray(Git X-Ray 的缩写)是一款多功能安全工具,专为 GitHub 存储库而设计。它可以用于…

【大数据技术基础 | 实验三】HDFS实验:部署HDFS

文章目录 一、实验目的二、实验要求三、实验原理(一)分布式文件系统(二)HDFS(三)HDFS基本命令(四)HDFS适用场景 四、实验环境五、实验内容和步骤(一)在master…

优阅达携手 Theobald 亮相新加坡科技周,助力企业 SAP 数据集成与应用

针对不同用户需求量身定制解决方案,帮助企业轻松应对从数据提取到分析、从开发到流程管理的 SAP 数据挑战。 上周,2024 新加坡科技周在滨海湾金沙会议展览中心圆满落幕。在为期两天的活动中,七大专题展览同时进行,超过 2,000 家…

二、Thread常见的方法

Thread 类是 JVM ⽤来管理线程的⼀个类,换句话说,每个线程都有⼀个唯⼀的 Thread 对象与之关 联。 2.1 Thread 的常⻅构造⽅法 方法说明Thread()创建线程Thread(Runnable target)使用 Runnable 实现多线程Thread(String name)创建线程 并命名Thread(Ru…

【解决】webstrom uniapp rpx格式化空格 报错飘红

解决办法 1、安装 wechat mini program support 插件 2. 设置 wechat mini program 里小程序支持选为启用 3. 重新格式化显示正常&#xff0c;也不飘红了 注意要style开启scss支持lang"scss"&#xff0c;否则也会飘红报错 <style lang"scss"><…

理解JVM里的栈信息

文章目录 栈内存的结构实际例子局部变量表&#xff08;Local Variable Array&#xff09;操作数栈&#xff08;Operand Stack&#xff09;动态链接&#xff08;Dynamic Linking&#xff09;方法返回地址&#xff08;Return Address&#xff09;其他信息 调用示意图问题 栈内存的…

『Mysql集群』Mysql高可用集群之读写分离(二)

前言 主从复制: 解决了Mysql的单点故障问题以及提高MySQL的整体服务性能. 读写分离: 解决的是数据库的读性能问题,分担主库的压力&#xff0c;提高系统的可用性和稳定性。 分库分表: 数据库分表可以解决单表海量数据的查询性能问题&#xff0c;分库可以解决单台数据库的并发…

【微服务】精细化微服务日志管理:构建高效的监控与故障排查体系

目录 引言一、微服务日志的概述1.1 定义1.2 重要性 二、微服务日志的类型2.1 日志类型详细说明 三、微服务架构的日志挑战四、微服务日志的实现4.1 日志记录4.2 日志格式 五、日志收集5.1 日志收集概述5.2 常用日志收集工具5.3 日志收集工具详细对比5.4 日志收集流程 六、日志存…

轮转数组解决方法

轮转数组 问题描述 给定一个整数数组 nums&#xff0c;将数组中的元素向右轮转 k 个位置&#xff0c;其中 k 是非负数。也就是说&#xff0c;将数组的每个元素向右移动 k 个位置&#xff0c;超过数组长度的部分循环到数组的开头。 示例&#xff1a; 输入&#xff1a;nums …

新能源行业必会基础知识-----电力交易员职业标准-----持续更新

新能源行业知识体系-------主目录-----持续更新https://blog.csdn.net/grd_java/article/details/140004020 文章目录 1. 基本常识2. 达到基本入行标准&#xff08;四级/中级&#xff09;2.1 交易资质及信息管理2.2 中长期交易2.3 现货交易2.4 辅助服务管理2.5 售电管理2.6 电价…

mysql数据迁移到elasticsearch以及elasticsearch的使用

目录 根据数据不断调整架构安装elasticsearch 版本8.12.2kibana安装ik分词分词的拓展以及停用 springboot实战pom.xmlapplication.yml相关配置框架集成-SpringData-集成测试-文档操作 相关代码调整 随着物联网平台的不断发展&#xff0c;平台要求接入的模块会越来越多&#xff…

Qt 实现动态时钟

1.实现效果 2.widget.h #ifndef WIDGET_H #define WIDGET_H#include <QWidget>QT_BEGIN_NAMESPACE namespace

leetcode中哈希的python解法:Counter()介绍

Counter 是 Python 的 collections 模块中的一个类&#xff0c;用于统计可迭代对象中元素的出现次数。Counter 是一种专门为计数设计的哈希表&#xff08;字典&#xff09;&#xff0c;它的键是元素&#xff0c;值是元素出现的次数。 Counter 的特点&#xff1a; 继承自 dict…

hackmyvm-Hundred靶机

主机发现 sudo arp-scan -l 以sudo权限执行arp-scan -l 扫描并列出本地存在的机器&#xff0c;发现靶机ip为192.168.91.153 nmap扫描 端口发现 21/tcp open ftp 22/tcp open ssh 80/tcp open http web信息收集 我们先尝试一下ftp端口的匿名登录 FTP:是文件传输协议的端…

JAVA 中的克隆对象

克隆对象就是复制一个一模一样的对象&#xff0c;但是复制出来的对象和原对象不是同一个对象&#xff0c;是两个对象&#xff0c;只不过复制过来的对象和原对象除了内存地址之外&#xff0c;其它的属性一模一样。 在超类 Object 中有一个 clone() 方法&#xff1a; protected…

17. typedef关键字的使用

一、为什么需要typedef关键字 C 语言允许用户使用 typedef 来为一个数据类型起一个新的别名。一旦用户在程序中定义了别名&#xff0c;就可以在该程序中使用别名来定义变量的类型、数组的类型、指针变量的类型与函数的类型等。 typedef 关键字定义的名称并不是真的创造了一种数…

循序渐进丨MogDB 中 gs_dump 数据库导出工具源码概览

背景 gs_dump 是 MogDB 中一个功能丰富灵活的数据库导出工具&#xff0c;在数据库的维护、迁移和开发中经常使用。该工具允许用户根据需要导出整个数据库或者数据库中的特定对象&#xff0c;如模式&#xff08;schema&#xff09;、表&#xff08;tables&#xff09;、视图&am…

grafana version 11.1.0 设置Y轴刻度为1

grafana 版本 # /usr/share/grafana/bin/grafana --version grafana version 11.1.0设置轴 Axis 搜索 Standard options 在"Decimals"中输入0&#xff0c;确保只显示整数