1.每一種解決方案,無論是防火牆、咨詢或是安全計劃,都必須根據它的功能要求和确定性要求進行評估。
功能要求評估指的是:"這種解決方案執行了必要的任務嗎?"
确定性要求評估指的是:"我們對這種解決方案提供的保護級别有多确信?"
确定性要求包括解決方案的CIA原則三個方面
2.威脅因素->(引起)威脅->(利用)脆弱性->(導緻)風險->(可以破壞)資産->(引出一個)暴露->(能夠預防通過)安全措施->(直接作用到)威脅因素
實施的順序
威脅->暴露->脆弱性->對策
原因:如果具有某種威脅(新的SQL攻擊),但是除非你所在的公司存在對應的脆弱性(采用必要配置的SQL伺服器),否則公司不會暴露在威脅之中,這也不會形成脆弱性。如果環境中确實存在脆弱性,就應該采取對策,以降低風險
3. 運作規劃
3.1 執行安全風險評估
3.2 不允許安全變更以降低效率
3.3 維持并實施控制
3.4 持續掃描漏洞并提供更新檔
3.5 追蹤政策遵守情況
這種規劃的方法叫遠景規劃,一個公司通常不能一下改變所有的東西,有些變化大,有些變化小,許多時候,在其他變化發生之前,某些特定的變化不能發生。
4. 安全模型
業務對象(基礎)->脆弱性評估(滲透測試)(方法)->定量定性的風險評估,風險分析,定義風險和威脅->保護需要,資料分級,功能性評價(提出需求)->法律責任、安全意識、系統可靠性、政策和規程(找出是什麼問題)->代價合理的解決方案、安全措施、對策(解決辦法)->CIA(最終目标)->總體安全
5. 應用研發和系統運維相關的(重點是了解相關業務的流程)
5.1系統運維
審批->選擇機器->安裝系統(一系列的規範)->環境部署(針對不同的應用的不同的加強措施)->應用代碼部署(加強規範)->運維階段(監控,事件的報告和應急響應)->下線(下線後的規範)
5.2應用研發
确定需求->代碼需要設計(功能安全特性)->實際代碼編寫(人員教育訓練等相關工作)->代碼完成(源代碼審計)->上線(注意這裡就系統運維有了一個很好的交叉交叉點就是運維監控)->下線(下線後的相關工作)
![SQL優化SQL語句優化的目的[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)