工作相关技巧总结贴

 1.每一种解决方案，无论是防火墙、咨询或是安全计划，都必须根据它的功能要求和确定性要求进行评估。

功能要求评估指的是:"这种解决方案执行了必要的任务吗？"

确定性要求评估指的是:"我们对这种解决方案提供的保护级别有多确信?"

确定性要求包括解决方案的CIA原则三个方面

 

2.威胁因素->(引起)威胁->(利用)脆弱性->(导致)风险->(可以破坏)资产->(引出一个)暴露->(能够预防通过)安全措施->(直接作用到)威胁因素

 

实施的顺序

威胁->暴露->脆弱性->对策

原因:如果具有某种威胁(新的SQL攻击),但是除非你所在的公司存在对应的脆弱性(采用必要配置的SQL服务器),否则公司不会暴露在威胁之中，这也不会形成脆弱性。如果环境中确实存在脆弱性，就应该采取对策，以降低风险

 

 

3. 运作规划

3.1 执行安全风险评估

3.2 不允许安全变更以降低效率

3.3 维持并实施控制

3.4 持续扫描漏洞并提供补丁

3.5 追踪策略遵守情况

 这种规划的方法叫远景规划，一个公司通常不能一下改变所有的东西，有些变化大，有些变化小，许多时候，在其他变化发生之前，某些特定的变化不能发生。

 

4. 安全模型

业务对象(基础)->脆弱性评估(渗透测试)(方法)->定量定性的风险评估,风险分析,定义风险和威胁->保护需要,数据分级，功能性评价(提出需求)->法律责任、安全意识、系统可靠性、策略和规程(找出是什么问题)->代价合理的解决方案、安全措施、对策(解决办法)->CIA(最终目标)->总体安全

 

5. 应用研发和系统运维相关的(重点是了解相关业务的流程)

 

5.1系统运维

审批->选择机器->安装系统(一系列的规范)->环境部署(针对不同的应用的不同的加固措施)->应用代码部署(加固规范)->运维阶段(监控，事件的报告和应急响应)->下线(下线后的规范)

 

5.2应用研发

确定需求->代码需要设计(功能安全特性)->实际代码编写(人员培训等相关工作)->代码完成(源代码审计)->上线(注意这里就系统运维有了一个很好的交叉交叉点就是运维监控)->下线(下线后的相关工作)