安恒-王卫东
从小到大,在学习新东西的过程中,首先基本都是在掌握定义(概念)的东西,一个新事物的定义一定要先弄清,才有后面的深入学习。
安全工程
策略(Policy)
机制(Mechanism)
保证(Assurance)
动机(Incentive)
系统工程
cisp讲的很多都是方法论,比较枯燥,但对于以后往管理层发展有很多帮助,知道更多的方法
霍尔三维结构图:时间维、逻辑维、知识维
时间维(生命周期)、空间维(网络拓扑、技术栈)、知识维(过程域)
项目管理
国外的企业这两个都需要经验丰富的人:产品经理、项目经理
质量管理
ISO9000系列(9001、9002、9003、9004)
机构:QA部门(粉红色衣服(以前大工厂)、QC是浅蓝色衣服)
程序
过程
总结
能力成熟度模型(Capability Maturity Model)
统计过程控制(SPC)
瓷砖的质量好坏差异很大、永磁体的制造、砖窑出土的批次质量
系统安全工程-能力成熟度模型(英文SSE-CMM)
衡量SSE实施能力的方法,一种框架模型
采购(Acquisition)组织:不一定指买东西的采购,(系统、产品的采购方)
工程组织
认证评估组织
根据自身的身份去做对应标准的事情
域维-过程区域(PA)
基本实践(BP)
过程域
过程类
攻击和入侵的区别
攻击就是破坏可用性,不管什么手段,只要把对方干掉即可,不会完全隐蔽
入侵指破坏机密性和完整性,尽可能不被人知道,指未经许可通过非法手段进入别人的电脑,目的可能是破坏,也可能是盗取重要文件等等
认证(certificationi)与证实(verfication)
认证是相当于考试,你按照我的标准去考试,过了多少分就算合格
证实是你用自己的语言等组织去证明一个东西
能力级别:1-5级(持续改进)
安全运营(运维:跟钱没关系的)
参考标准:
COBIT:IT控制
ITIL:IT过程管理
ISO27000:IT控制
安全漏洞(Vulnerability)
也叫脆弱性(漏洞和配置错误)
漏洞管理
漏洞检测
漏洞(风险)评估
补丁管理
变更管理与配置管理
事件管理
内容安全:
版权:天赋人权
数字版权管理(DRM):数字水印(不能改变原有的图像,又要隐蔽,还要强壮性)、版权保护、数字签名、数据加密
网络舆情
信息保护
个人信息
敏感信息
行政级别副局级以上的个人信息都属于敏感信息
北京:301的饭好、北京中日友好医院的药好、协和的技术好
网络舆情
政府主导,媒体监督
理论研究、开发舆情监测软件
技术:
采集:搜索引擎、爬虫、数据格式的转换、元数据的标引等
分析
评价
呈现
社会工程学攻击-利用人性的弱点(本能反应、贪婪、易于信任等)
危险:永远有效的攻击方法,人是最不可控的因素
人天生有服从权威的天性:医生给护士开明显有错误的单子,还是很多护士会开(一个实验)
以及对于白大褂的都当作医生
攻击方法:直接、间接
防御
硒鼓的芯片可以被恢复打印的文件(硒鼓用废不要乱扔)
红黑电源(防电磁泄露电源TEPEMS)
安全评估
ISO/SEC 15408(CC)
GB/T18336等同于ISO15408-2005
TCSEC(可信计算机系统评估标准)
C2(windows)
ITSEC
FC
CC:最新3.1 R5(2017年4月)
重点关注人为的威胁
等保测评