王嘟嘟的博客

先来看一道题目。这道题目涉及到的就是道德规范和互联网相关内容，本文会对相关内容进行描述和整理。正确答案是：D 注意FIPs的主要目的是为了限制，也就是针对数据的守则。

先来看一道题目：在哈希消息认证码(HMAC)中用于密钥分发？答案选A：HMAC可以理解为是一种更简易的对称加密，也可以；理解为是盐。本文会对HMAC进行一个简单的阐述，从而得到最终的结果。

有一个比较简单的逻辑需要先了解一下，什么是访问控制，其实就是控制访问的方式和方法，将这些方式和方法汇总起来就是我们说的访问控制模型。访问控制模型分为自主访问控制（DAC）和非自主访问控制。DAC允许客体所有者等控制访问，如个人文件管理。非自主访问控制由管理员集中管理，包含多种模型：RBAC基于角色和权限组；基于规则的访问控制使用规则过滤操作，如防火墙；ABAC以属性为依据，如设备类型；MAC通过标签匹配控制访问；基于风险的访问控制根据环境和状态变化触发校验，如账号异常登录时的双因子认证。

密码学的内容一直都是零零散散的，学一遍忘一遍，对于这些很少用到的内容，只能这样子去进行重复，效率低从此没有效率会稍微好一点。总会比说出base64是一种加密方式贻笑大方的好一点。

本篇对数据泄露防护方面的内容进行汇总和总结，为抛砖引玉的内容。

NIST SP 800-122的定义：(1)任何可用于识别或追踪个人身份的信息，如姓名、社会保险账号、出生日期、出生地点、姓名或生物识别记录(2)与个人有关联或有指向性的其他信息，如医疗、教育、财务和就业信息。最重要的是，组织有责任保护 PII，包括与员工和客户相关的PII。许多法律要求，当数据泄露导致 PII 丢失时，组织要通知个人。

三保分别是，分保，等保，关保。分保就是指涉密信息系统的建设使用单位根据分级保护管理办法和有关标准，对涉密信息系统分等级实施保护，简称涉密信息系统分级保护等保就是指网络安全等级保护，是指国家通过制定统一的安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护。根据《信息安全技术 网络安全等级保护基本要求》，等保定级分为5级。常听到的就是一级不用保，五级保不了。关保是指：国家通过制定统一的关税保护管理规范和法规，对跨境贸易进行监管和保护。

对于企业内部的安全培训而言，针对的人群也不一样，也和整个企业的安全方针策略有关系，提高整体的安全水平，那肯定是做安全意识宣贯会好一点，如果是提高运维相关的安全，肯定是安全基线配置，扫描，检测会好一点，如果是对于研发而言，肯定是安全编码规范来的好一些，如果是高管等，肯定是商业秘密保护等来的更加贴近一些。

在进行安全建设的时候，务必了解适用于企业和自身的规则，并谨慎地遵守。

整个流程就是7个大项，17个基本点简单的说一下每一个基本点的所有内容，然后再细分文章进行分析和理解。

ackson Wynn等人于2011年在MITRE公司开发了“威胁评估和补救分析(Threat Assessment and Remediation Analysis，TARA。TARA相对于PASTA来说，会更加关注风险修复结果，并且接入了威胁库，对威胁进行了更加详细的评定。在TARA分析的底层实际上依旧采用的是STRIDE分析方式。TARA的目标是抵御受国家级支持的中高层敌人，维持它收到攻击的系统的任务保证。

专门拎出来一片来学习威胁建模的详细内容，主要是关注不同的威胁建模方法以及威胁建模实际落地的情况。这里特指的软件安全流程。本篇只针对STRIDE以及它的一个补充进行描述。

在设计这一模块，主要是针对之前的安全需求，提前设计好软件产品的安全度以及是否满足隐私和合规。

本文中的合规指的是在符合法律法规的情况下开展的安全活动。

企业安全风险管理企业安全风险管理—风险评估企业安全风险管理—应对风险企业安全风险管理—检测风险企业安全—供应链风险管理企业安全—业务持续。

本文仅仅是TOGAF学习和理解，不以考证和落地实施为目的。The Open Group 于 1995 年开发了 TOGAF，到 2016 年，80% 的全球 50 强公司和 60% 的财富 500 强公司使用了该框架。TOGAF 可供组织内部免费使用，但不能用于商业目的。

Zachman框架起源于John Zachman 1987年完成的那篇著名的信息系统架构论文（《A framework for information systems architecture》 ）