Security+ 9. 实现业务安全性

最新推荐文章于 2023-03-09 00:01:07 发布
最新推荐文章于 2023-03-09 00:01:07 发布
阅读量780 收藏 1
点赞数 1
分类专栏: Security+ 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/f_carey/article/details/108277474
版权

9. 实现业务安全性

9.1 评估安全框架和指导方针

9.1.1 安全框架(security framework)

  1. NIST 800s:美国国家标准与技术研究院(NIST) 800系列专注于计算机安全方面的内容
  2. COBIT 5 :信息和相关技术控制目标(COBIT) 第5版由ISACA创建,包含五项指导原则帮助组织实现IT管理目标。
  3. ITIL:信息技术基础设施库(ITIL)是一个全面的IT管理结构,在IT战略,设计,转型,运营和持续性服务改进方面有五种核心出版物。
  4. ISO/IEC 27001:ISO和IEC国际电工技术委员会联手为信息系统管理实践创造了一个标准模型。

9.1.2 安全配置指导

  1. 国防部提供的安全技术实施指南(STIG):为各种硬件解决方案提供强化指南
  2. NIST提供国家检查清单程序(NCP):为各种操作系统和应用程序提供核对清单和基准。
  3. 开放Web应用程序安全项目(OWASP)安全编码备忘单
  • 合规Compliance:指确保满足法律,法规,行业规范和标准以及组织标准等要求的做法。
  • 分层安全Layered security:包含多种不同防御途径的操作安全实现方法:策略意识–>物理–>周边安全–>网络安全–>主机安全–>应用程序安全–>数据安全
  • 纵深防御defense in depth:利用分层安全方法的策略,用于保护系统及其数据的工具、规划用户培训、策略采用、物理防护以及其他更全面的安全策略。

9.2 在操作中结合文档记录

  1. 安全策略Security policy:定义了如何在特定组织内实现安全性的一种正式声明。由多个单独安全策略组成。
  2. 标准standard:定义了如何衡量对策的遵从程度。
  3. 指导方针guideline:如何满足策略标准制定的建议,或最佳实践。
  4. 程序procedure:详细地逐步指导如何实施策略的各个组成部分,统称为标准操作程序standard operating procedure/SOP

9.2.1 常见安全策略的类型

  1. 可接受使用策略(acceptable use policy/AUP):人员的行为规范。策略就明确那些组织资产的使用是可接受的,那些是违反策略的行为,
  2. 隐私策略:定义向其他方泄露或个人信息的标准。
  3. 审计策略:详细说明组织信息和资源的风险评估和审计方面的要求和参数。
  4. 密码策略:定义了创建密码复杂度的标准。
  5. 无线标准策略:定义哪些无线设备可以连接到组织的网络以及如何以安全稳妥方式使用这些设备
  6. 社交媒体策略:定义组织及员工如何使用社交妈休网络和应用程序。

9.2.2 人事管理personnel management

确保所有组织内部或外部

最低0.47元/天 解锁文章
f_carey
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
业务安全-P2P-security
Coisini的博客
05-28 141
使用Jetpack Security为数据加密
移动端开发干货分享
03-12 1348
Jetpack Security 是什么? Jetpack Security 是 Google I/O 2019 发布的安全组件库。Security构成简单,主要包含EncryptedFile和EncryptedSharedPreferences两个类,分别用来对File和SharedPreferences的读写进行加密解密处理。Security要求min SDK version 23。 E...
渗透系列之业务安全场景
Websec
12-13 592
1、思维导图如下:
AndroidPhone 相关模块的分析
02-15
AndroidPhone 分析文档
Spring Boot实战(九)9.1安全控制Spring Security
qq_40929047的博客
04-24 370
9.1.1 Spring Security 快速入门 1.什么是Spring Security Spring Security是专门针对基于Spring 的项目的安全框架,充分利用了依赖注入和AOP来实现安全功能。 在早期的Spring Security版本,使用Spring Security需要使用大量的XML配置,而本节将全部基于Java配置来实现Spring Security的功能。 安全框...
SpringBoot+Vue.js项目中使用Spring Security+JWT实现登录权限控制
Alan-zzx的博客
07-09 6867
目标和需求 我们的目的是在 SpringBoot+Vue.js 这样的前后端分离的项目中增加一个登录权限控制模块。这个模块的需求如下: 包含多个角色,每个角色所具有的权限不同(可以看到不同的菜单和页面) 对整个系统做登录控制,即未登录强制跳转到登录页面 登出功能 实现方案: 登录控制使用 Spring Security 框架,登录控制使用 JWT 实现,登录成功后使用 JWT 生成 token...
SpringBoot+SpringSecurity+JWT实现认证和授权
热门推荐
oyc的博客
01-17 5万+
一、背景: 在 B/S 系统中,登录功基本都是依靠 Cookie 来实现的,用户登录成功之后主要需要客户端和服务端完成以下两项工作: (1)服务端将登录状态记录到 Session 中,或者签发Token; (2)客户端利用Cookie保存于服务端对应的 Session ID 或 Token。之后每次请求都会带上Cookie信息(包含Session ID或者Token),当服务端收到请求后,通过验证 Cookie 中的信息来判断用户是否登录 。 单点登录:单点登录(Single Sign On, S.
【前后端分离】Spring Security + Redis + JWT 实现动态权限管理
人生何事不浮云
10-24 4325
项目环境 本篇文章环境:Spring Boot + Mybatis + Spring Security + Redis + JWT 预期成果:实现具有验证码校验、RBAC 权限控制的前后端分离项目 注意:为什么要使用 Json Web Token(JWT)?这是因为前后端分离项目中,前端与后端之间的通信采用 RESTFul API 的交互方式进行交互。这种前后端分离的交互是无状态的交互方式,所以,每次交互都必须进行身份验证。而传统方案是根据用户信息生成token,将token 存入浏览器 cookie(或存
SpringBoot+SpringSecurity+mysql实现认证与授权
oyc的博客
01-29 1万+
一、Spring Security框架 1. 框架简介 官方介绍:Spring Security是一个功能强大且可高度自定义的身份验证和访问控制框架。它是保护基于Spring的应用程序的事实标准。 Spring Security是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring Security的真正强大之处在于它可以轻松扩展以满足...
springSecurity+jwt实现分布式鉴权和认证
qq_37824570的博客
03-09 3392
springSecurity+jwt实现分布式鉴权和认证
Springboot+Security+webSocket+POI+VUE.rar
11-15
在"Springboot2.0+vue的前后端分离系统权限架构"中,SpringSecurity负责用户的登录认证和资源访问权限控制,确保系统安全性和数据的隐私性。它可以通过自定义拦截器、访问决策管理器等方式灵活地定制安全策略。 ...
Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager.zip
11-17
在现代Web开发中,安全性和高效的数据管理是不可或缺的重要组成部分。本项目“Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager”整合了Spring Boot、Spring Security、Spring Session、Redis、...
脚手架工程(springboot + springsecurity + mybatis + redis + swag.zip
02-03
这是一个基于Spring Boot、Spring Security、MyBatis、Redis和Swag的综合开发...这样的组合有利于开发人员快速搭建功能齐全的Web应用,并确保系统的安全性和可维护性。在实际项目中,可以根据需求进一步扩展和定制。
基于 Java 17 + Spring Boot 3 + Spring Security 6 + Vue 3 + E.zip
最新发布
03-23
开发过程中,开发者可以利用Spring Boot的自动配置和Spring Security的灵活性来实现复杂的业务逻辑和权限控制,同时Vue 3的组件化特性简化了前端开发。 在实际项目中,开发者还需要考虑数据库(如MySQL、PostgreSQL...
SpringBoot+SpringMVC+SrpingSecurity+SSM整合.zip
02-13
掌握这些知识点,你将能够有效地构建出一个集成了SpringBoot、SpringMVC、SpringSecurity和MyBatis的Java Web应用,同时具备良好的可扩展性和安全性。在实际项目中,你还可以结合其他技术如Redis缓存、WebSocket通信...
Spring Boot+Spring Security+CAS实现单点登录
轻松的小希
01-23 4246
目录第一章 CAS的概述1.1、SSO1.2、CAS第二章 CAS的流程2.1、CAS服务端2.2、CAS客户端2.3、CAS流程图第三章 CAS的部署3.1、源码下载3.2、源码打包3.3、部署运行第四章 CAS的定制4.1、定制数据源4.2、兼容 HTTP4.3、定制登录页第五章 CAS的集成5.1、工程创建5.2、导入依赖5.3、修改包名5.4、编写配置文件5.5、编写角色授权5.6、编写配置对象5.7、编写控制器类5.8、启动项目测试 配套资料,免费下载 链接:https://pan.baidu.
Security+ 3. 确定安全威胁
f_carey的博客
07-29 1116
3. 确定安全威胁3.1 威胁执行者(Threat actor)3.2 社交工程3.2.1 网络钓鱼(Phishing)3.2.2 物理利用3.2.3 水坑式攻击(Watering hole attack)3.3 确定恶意软件3.4 基于软件的威胁3.4.1 密码攻击类型3.4.2 应用程序攻击(Application attack)3.4.3 权限扩大(Privilege escalation)3.5 基于网络的攻击3.5.1 欺骗攻击(Spooging)3.5.2 端口扫描攻击3.5.3 劫持攻击(Hi
Security+ 5. 实现主机/软件安全性
f_carey的博客
08-05 673
5. 实现主机/软件安全性5.1 加固(Hardening)5.2 可信计算基础(trusted computing base/TCB)5.2.1 硬件和固件安全5.2.2 软件安全5.2.2.1 软件更新5.2.2.2 应用程序黑名单与白名单5.2.2.3 防恶意软件(Anti-malware software)5.2.2.4 硬件外围设备的安全5.2.3 嵌入式系统(Embedded system)5.2.4 保护主机准则5.3 云和虚拟化安全5.3.1 虚拟化的安全性5.3.2 云计算Cloud co
Web服务实现安全性分析.doc
11-17
"本篇硕士学位论文《Web服务实现安全性分析》由新疆大学的硕士研究生陈撰写,指导教师为张文东,专注于计算机技术领域,具体聚焦于2014级信息科学与工程学院的研究项目。随着互联网技术的发展和企业对在线业务的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值