安全攻防技能 30 讲
何为舟
前微博安全研发负责人
34681 人已学习
新⼈⾸单¥59
登录后,你可以任选4讲全文学习
推荐试读
换一换
课程目录
已完结/共 41 讲
开篇词 (1讲)
开篇词 | 别说你没被安全困扰过
时长 09:32
安全基础概念 (5讲)
01 | 安全的本质:数据被窃取后,你能意识到问题来源吗?
时长 14:24
02 | 安全原则:我们应该如何上手解决安全问题?
时长 17:30
03 | 密码学基础:如何让你的密码变得“不可见”?
时长 17:52
04 | 身份认证:除了账号密码,我们还能怎么做身份认证?
时长 16:26
05 | 访问控制:如何选取一个合适的数据保护方案?
时长 16:22
Web安全 (7讲)
06 | XSS:当你“被发送”了一条微博时,到底发生了什么?
时长 20:31
07 | SQL注入:明明设置了强密码,为什么还会被别人登录?
时长 15:14
08 | CSRF/SSRF:为什么避免了XSS,还是“被发送”了一条微博?
时长 18:27
09 | 反序列化漏洞:使用了编译型语言,为什么还是会被注入?
时长 16:35
10 | 信息泄露:为什么黑客会知道你的代码逻辑?
时长 11:14
11 | 插件漏洞:我的代码看起来很安全,为什么还会出现漏洞?
时长 13:24
12 | 权限提升和持久化:为什么漏洞修复了,黑客还是能够自由进出?
时长 14:49
Linux系统和应用安全 (5讲)
13 | Linux系统安全:多人共用服务器,如何防止别人干“坏事”?
时长 13:13
14 | 网络安全:和别人共用Wi-Fi时,你的信息会被窃取吗?
时长 14:20
15 | Docker安全:在虚拟的环境中,就不用考虑安全了吗?
时长 15:58
16 | 数据库安全:数据库中的数据是如何被黑客拖取的?
时长 13:02
17 | 分布式安全:上百个分布式节点,不会出现“内奸”吗?
时长 13:06
安全防御工具 (7讲)
18 | 安全标准和框架:怎样依“葫芦”画出好“瓢”?
时长 12:21
19 | 防火墙:如何和黑客“划清界限”?
时长 13:35
20 | WAF:如何为漏洞百出的Web应用保驾护航?
时长 12:59
21 | IDS:当黑客绕过了防火墙,你该如何发现?
时长 16:44
22 | RASP:写规则写得烦了?尝试一下更底层的IDS
时长 13:00
23 | SIEM:一个人管理好几个安全工具,如何高效运营?
时长 14:10
24 | SDL:怎样才能写出更“安全”的代码?
时长 13:55
业务安全 (6讲)
25 | 业务安全体系:对比基础安全,业务安全有哪些不同?
时长 13:41
26 | 产品安全方案:如何降低业务对黑灰产的诱惑?
时长 12:48
27 | 风控系统:如何从海量业务数据中,挖掘黑灰产?
时长 14:41
28 | 机器学习:如何教会机器识别黑灰产?
时长 13:05
29 | 设备指纹:面对各种虚拟设备,如何进行对抗?
时长 15:27
30 | 安全运营:“黑灰产”打了又来,如何正确处置?
时长 13:08
知识串讲 (3讲)
模块串讲(一)| Web安全:如何评估用户数据和资产数据面临的威胁?
时长 12:08
模块串讲(二)| Linux系统和应用安全:如何大范围提高平台安全性?
时长 09:38
模块串讲(三)| 安全防御工具:如何选择和规划公司的安全防御体系?
时长 10:35
特别加餐 (5讲)
加餐1 | 数据安全:如何防止内部员工泄露商业机密?
时长 08:50
加餐2 | 前端安全:如何打造一个可信的前端环境?
时长 14:53
加餐3 | 职业发展:应聘安全工程师,我需要注意什么?
时长 11:46
加餐4 | 个人成长:学习安全,哪些资源我必须要知道?
时长 10:20
加餐5 | 安全新技术:IoT、IPv6、区块链中的安全新问题
时长 09:52
结束语 (2讲)
结束语 | 在与黑客的战役中,我们都是盟友!
时长 05:03
结课测试|这些安全知识,你都掌握了吗?
时长 00:37
安全攻防技能 30 讲
15
15
1.0x
00:00/00:00
登录|注册

18 | 安全标准和框架:怎样依“葫芦”画出好“瓢”?

何为舟
Recover
Respond
Detect
Protect
Identify
安全可以通过IPDRR建立纵深防御
通过PDCA流程规划安全建设
安全要分为技术和管理
IPDRR方法框架
PDCA流程
安全分为管理和技术
服务质量的标准框架
内控的框架
IPDRR方法框架
美国政府提出的安全框架
信息安全管理的最佳实践指导
兼容性极高的安全体系
国家信息安全监管部门监督
安全等级划分
如何依靠这些思想推动公司的安全建设
安全标准和框架的内容和思想
主动学习设计思路
安全标准的思维提炼
NIST
ISO27001
等保
ITIL
COBIT
NIST
ISO27000系列
等级保护制度
思考题
总结
现有安全标准和框架的借鉴
安全标准和框架
参考文章

该思维导图由 AI 生成,仅供参考

你好,我是何为舟。
感谢你来学习安全专栏,如果有任何疑惑或者建议欢迎留言和我沟通。新的一年祝你工作顺利、事业有成、升职加薪!
从这一讲开始,我们讨论安全防御工具。实际上,每个公司都需要进行安全体系建设,业内将这些通用性的建设经验进行总结,形成了各种安全标准和框架。从这些标准和框架中,我们能了解到建设安全体系的思路和方向,对于实际的安全落地工作,有很大的指导作用。
根据安全等级和关注点的不同,不同的安全标准和框架都有各自的具体要求。这些要求都非常简单直接,也很容易理解,所以,这不是我们要讲解的重点。在今天的课程中,我更想通过这些标准和框架的设计思路来讲一讲,作为公司的安全人员,该如何推动公司整体的安全体系建设。

安全标准和框架有哪些?

首先,我们来看看,安全标准和框架都有哪些。
国内的安全标准和框架,就是我们常听到的等级保护制度(方便起见,后文都简称“等保”)。等级保护根据公司的安全性高低,划分了由一到五这五个等级。每个等级都有需要满足和达标的安全要求。等级越高说明公司的安全水平越高,越被政府认可。安全等级三级以上的公司,还会受到国家信息安全监管部门的监督和检查。
在国外,比较知名的安全标准和框架包括:ISO27000 系列、NIST、COBIT 和 ITIL。接下来,我们一一来讲。
确认放弃笔记?
放弃后所记笔记将不保留。
新功能上线,你的历史笔记已初始化为私密笔记,是否一键批量公开?
批量公开的笔记不会为你同步至部落
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
  • 深入了解
  • 翻译
    • 英语
    • 中文简体
    • 中文繁体
    • 法语
    • 德语
    • 日语
    • 韩语
    • 俄语
    • 西班牙语
    • 阿拉伯语
  • 解释
  • 总结

本文介绍了安全标准和框架的重要性以及国内外常见的安全标准和框架,包括等级保护制度、ISO27000系列、NIST、COBIT和ITIL。文章强调了这些标准和框架对企业安全建设的指导作用,以及它们在测评和法律风险规避方面的重要性。此外,文章还探讨了现有安全标准和框架的借鉴价值,包括等保的管理与技术分类思路以及ISO27001的PDCA流程规划安全建设。通过对这些内容的总结,读者可以快速了解安全标准和框架的种类和作用,以及如何借鉴现有标准和框架进行安全体系建设。 文章还详细介绍了NIST提出的IPDRR方法框架,包括Identify、Protect、Detect、Respond和Recover五个部分,以及针对Web安全的具体应用。通过这一案例,读者可以深入了解如何根据IPDRR方法采取多重安全策略进行保护,实现纵深防御,从而更好地建立安全防护体系。 总的来说,本文通过介绍安全标准和框架的重要性和应用案例,为读者提供了对企业安全建设的指导思路和实践方法。同时,文章还强调了在实际建立安全体系的过程中,不仅要按照安全标准实施,还要主动学习其中的设计思路,以便更高效、更完善地建立公司自有的安全体系。 通过本文的阅读,读者可以对安全标准和框架有一个全面的了解,同时也能够学习到如何应用这些思想来推动公司的安全建设,为企业的安全保障提供有益的参考和指导。

仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《安全攻防技能 30 讲》新⼈⾸单¥59
立即购买
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
01 | 安全的本质:数据被窃取后,你能意识到问题来源吗?
02 | 安全原则:我们应该如何上手解决安全问题?
06 | XSS:当你“被发送”了一条微博时,到底发生了什么?
14 | 网络安全:和别人共用Wi-Fi时,你的信息会被窃取吗?
加餐4 | 个人成长:学习安全,哪些资源我必须要知道?
27 | 风控系统:如何从海量业务数据中,挖掘黑灰产?
登录 后留言

全部留言(12)

  • 最新
  • 精选
  • 大王叫我来巡山
    提起等保觉得就是个笑话,都是利益,一群不懂的人跟你说防护应该怎么做

    作者回复: 从制度上来说,确实有其局限性。个人认为等保的最大意义在于,推动一些中小企业去投入一定资源进行安全建设的。至于建设的效果,还是得看安全负责人如何利用等保去说服老板花钱。

    2020-02-29
    4
    8
  • leslie
    先祝老师新年快乐,然后指出文章中老师的一处笔误,这是我在学习中做笔记中发现的。"ISO27001 是国内比较流行的安全评估认证之一。它提出了 11 个不同的安全方向",应当是14个方向;因为老师在下面的列举中写了14项。 体系架构这块正是我学习的目的:记得吴翰清曾经说过“云计算如果最后还剩下一个属性那就是安全”。安全体系是架构设计中的一部分,这是我整体架构设计中最后的一块未知区域;软件架构、数据架构、运维架构、网络架构我都设计过,安全最为这个时代当下最新且最典型的问题;合理的把其思想贯穿到整个软硬件体系中才是关键问题。

    作者回复: 感谢,已修改。

    2020-02-07
    2
    6
  • hello
    老师,新年快乐!我想请教您,在做威胁评估时是否有可参考借鉴的模板

    作者回复: 就是就是先识别出数据,然后关联可能的攻击方式,然后推测可能利用的安全漏洞。比如,账号数据,可能就是盗号或者直接拖库。然后盘点一下,想要盗号或者拖库,黑客会利用哪些安全漏洞来进行。最后一步识别漏洞会需要比较全面的安全基础才能联想出来,有条件的话可以参考ATT&CK框架,进行全面的梳理。

    2020-01-24
    1
  • escray
    最近刚刚了解了一下等保和国密,所以就跳到这一篇,先学习一下。 看到留言里面说,老师是从等保 2.0 开始讲起的,但是我似乎没有看到啊,之前在知乎看到一篇关于等保 2.0 的文章,等保 2.0 在 1.0 标准的基础上,注重主动防御,从被动防御到事前、事中、事后全流程的安全可信、动态感知和全面审计…… 五个级别是从 1.0 延续下来的,并且规定动作(定级、备案、建设整改、等级测评、监督检查)和主题责任都没有改变。 https://www.zhihu.com/question/51443853 我也看到留言里面又说等保不尽如人意,不过我觉得有这样一个标准总归是好事情,而且现在如果投标项目,对等保还是有要求的。如果出了安全故障,然后被追责,企业也会慢慢重视起来。 可能所有的认证,不论是面向企业还是个人的,都会面临类似的问题。 本篇最有价值的应该是借鉴的部分,从等保中借鉴安全体系建设要区分技术和管理;从 ISO270001 中借鉴 PDCA 流程规划,从 NIST 借鉴 IPDRR 框架(Identify、Protect、Detect、Respond、Recover)
    2021-02-07
    4
  • 路人丁
    等保啊,目前的现状是,绝对的中国特色。一帮关系户开个公司做等保,几个不懂 IT 系统人和政府人员指导别人怎么搞系统,到最后才明白,钱不能少,其他都可以商量。三级开始,年年交钱。
    2021-04-05
    3
  • 人心向善
    老师从等保2.0的内容概括说起,点赞!说起等保突然想起一句话:安全的防御最终是防人,🈶️太多的重大安全事件都是因为内部人员出了问题。
    2020-08-05
    2
  • 大将
    感觉通过等保等框架实际能达到的增加安全效果,减轻管理责任,增加企业信心的效果
    2023-12-01归属地:北京
  • 亚林
    被等保友商好好教育了一番
    2021-07-06
  • 追风筝的人
    Radius AAA协议 ,IDAP认证协议
    2020-03-16
  • 夜空中最亮的星
    新年快乐,注意防护
    2020-02-01
收起评论
显示
设置
留言
12
收藏
沉浸
阅读
分享
手机端
快捷键
回顶部