当前位置：首页 > news >正文

域1：安全与风险管理第1章实现安全治理的原则和策略

news 2026/5/17 2:00:18

---包括OSG 1、2、3、4 章---

第1章、实现安全治理的原则和策略

1、由保密性、完整性和可用性组成的 CIA 三元组。

保密性原则是指客体不会被泄露给未经授权的主体。完整性原则是指客体保持真实性且只被经过授权的主体进行有目的的修改。可用性原则指被授权的主体能实时和不间断地访问客体。

2、了解 AAA 服务的要素。

AAA 由标识、身份认证、授权、审计和记账（或问责制）构成。

3、身份标识是如何工作的。

身份标识是一个主体声明身份并开始承担责任的过程。主体必须为系统提供标识，以便启动身份认证、授权和问责制的过程。

4、身份认证过程。

身份认证是验证或测试声称的身份是否有效的过程。身份认证需要来自主体的信息，这些信息必须与指示的身份完全一致。

5、授权如何用于安全计划。

一旦对主体进行了身份认证，就必须对其访问进行授权。鉴于已通过验证的身份被赋予的权利和特权，授权过程确保被请求的活动或对客体的访问是可以实现的。

6、审计过程。

审计是一种程序化的过程：通过文档或者主体活动记录，在验证过的系统中让主体为其行为负责。

7、问责制的重要性。

只有在主体对他们的行为负责时，才能保持安全性。有效的问责制依赖千检验主体身份及追踪其活动的能力。

8、不可否认性。

不可否认性确保活动或事件的主体不能否认事件的发牛。它防止主体声称没有发送过消息、没有执行过动作或没有导致事件的发生。

9、纵深防御。

纵深防御，也叫分层防御，指简单使用一系列控制中的多个控制。多层防护解决方案允许使用许多不同的控制措施来抵御随时都可能出现的威胁。

10、抽象的概念。

抽象用于将相似的元素放入组、类或角色中，这些组、类或角色作为集合被指派安全控制、限制或许可。抽象提高了安全计划的实施效率。

11、理解数据隐藏。

数据隐藏旨在防止数据被主体发现或者访问。数据隐藏通常是安全控制和编程中的关键元素。

12、安全边界。

安全边界是具有不同安全要求或需求的任意两个区域、子网或环境之间的交界线

13、安全治理。

安全治理是与支持、定义和指导组织安全工作相关的实践集合。

14、第三方治理。

第三方治理是可能由法律、法规、行业标准、合同义务或许可要求强制执行的外部实体监督系统。实际的治理方法可能各有不同，但通常包括外部调查员或审计员。

15、文件审查。

文件审查是查看交换材料并根据标准和期望对其进行验证的过程。文件审查通常发生在现场检查之前。许多情况下，特别是与政府或军事机构或承包商相关的情况下，如果未能提供足够的文件以满足第三方治理的要求，可能导致操作授权(ATO) 的丢失或失效

16、业务战略、目标、使命和宗旨相一致的安全功能。

安全管理计划确保正确地创建、执行和实施安全策略。安全管理计划使安全功能与业务战略、目标、使命和宗旨相一致。这包括基于业务场景、预算限制或资源稀缺性来设计和实现安全。

17、业务场景。

业务场景通常是文档化的参数或声明的立场，用千定义做出决策或采取某类行为的需求。创建新的业务场景是指演示特定业务需求，以修改现有流程或选择完成业务任务的方法。业务场景常被用来证明新项目（特别是与安全相关的项目）的启动是合理的

18、理解安全管理计划。

安全管理基于三种类型的计划：战略计划、战术计划和操作计划。战略计划是相对稳定的长期计划，它定义了组织的目标、使命和宗旨。战术计划是中期计划，为战略计划中设定的目标提供更多细节。操仵计划是在战略计划和战术计划的基础上制订的短期、高度详细的计划

19、规范化安全策略结构的组成要素。

要创建一个全面的安全计划，需要具备以下内容：安全策略、标准、基线、指南和程序。

20、组织的流程。

安全治理需要关注组织的方方面面。这包括收购、资产剥离和治理委员会的组织流程。

21、关键的安全角色。

主要的安全角色有高级管理者、安全专业人员、用户、资产所有者、托管员和审计人员。

22、COBIT 的基础知识。

COBIT 是一种安全控制框架，用于为企业制订综合的安全解决方案。

23、应尽关心和尽职审查。---这里错误

应尽关心是指制订计划、策略和流程以保护组织的利益。尽职审查指的是实践那些维持应尽关心工作的活动。应尽关心是知道应该做什么并为此制订计划，尽职审查是在正确的时间采取正确的行动。

24、威胁建模的基础知识。

威胁建模是识别、分类和分析潜在威胁的安全过程。威胁建模可被当成设计和开发期间的一种主动措施来执行，也可作为产品部署后的一种被动措施来执行。关键概念包括资产月文击者／软件、 STRIDE、PASTA、VAST、图表、简化／分解和 DREAD

25、供应链风险管理概念。

供应链风险管理(SCRM) 旨在确保供应链中的所有供应商或环节都是可靠的、值得信赖的、信誉良好的组织，这些组织向业务伙伴（尽管不一定向公众）披露他们的实践和安全需求。 SCRM 包括评估与硬件、软件和服务相关的风险，进行第三方评估和监控，设立最低安全要求和强制执行服务级别需求。

域1：安全与风险管理第1章实现安全治理的原则和策略

第1章、实现安全治理的原则和策略

相关文章：

域1：安全与风险管理第1章实现安全治理的原则和策略

【大数据】学习大数据开发应该从哪些技术栈开始学习？

CentOS快速配置网络Docker快速部署

Grounded-SAM Demo部署搭建

C语言 | 第十六章 | 共用体家庭收支软件-1

【论文阅读】Learning a Few-shot Embedding Model with Contrastive Learning

OKHTTP 如何处理请求超时和重连机制

基于Springboot vue的流浪狗领养管理系统设计与实现

爬虫案例——网易新闻数据的爬取

SpringCloud 2023 Gateway的Filter配置介绍、类型、内置过滤器、自定义全局和单一内置过滤器

从银幕到现实：擎天柱机器人即将改变我们的生活

408算法题leetcode--第33天

OCR模型调研及详细安装

C++第六讲：STL--vector的使用及模拟实现

2024年字节抖音前端面经，这次问的很基础！

vscode提交修改Failed to connect to github.com port 443: Timed out

通过docker镜像安装elasticsearch和kibana

seaCMS v12.9代码审计学习（下半）

麒麟信安CentOS安全加固案例获评中国信通院第三届“鼎新杯”数字化转型应用奖

Java 中消除 If-else 技巧总结

嘎嘎降AI和率零哪个更适合毕业论文：2026年性价比达标率用户口碑完整横评测试报告

到底如何？大跨度“玻璃肋”幕墙，安全吗？

别再为FluidSIM 3.6安装报错头疼了！WinHEX找不到进程？看这篇保姆级图文教程就够了

3mux常见问题解决：10个用户最常遇到的错误及其修复方法

5个技巧快速掌握Fire Dynamics Simulator：从零到火灾模拟专家的完整指南

17个AI新闻站吸4.4万访客，10美元即可搭建，滥用AI威胁原创媒体！

免费Web串口助手：3个简单步骤开启专业串口调试

3步解锁12种加密音乐：免费开源工具让数字音乐重获自由

DayZ社区离线模式完全指南：打造你的专属末日沙盒世界

ElevenLabs老年语音情感衰减难题破解（附可复用的Prosody增强JSON Schema与实测MOS提升2.1分）