王嘟嘟的博客

三保分别是，分保，等保，关保。分保就是指涉密信息系统的建设使用单位根据分级保护管理办法和有关标准，对涉密信息系统分等级实施保护，简称涉密信息系统分级保护等保就是指网络安全等级保护，是指国家通过制定统一的安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护。根据《信息安全技术 网络安全等级保护基本要求》，等保定级分为5级。常听到的就是一级不用保，五级保不了。关保是指：国家通过制定统一的关税保护管理规范和法规，对跨境贸易进行监管和保护。

对于企业内部的安全培训而言，针对的人群也不一样，也和整个企业的安全方针策略有关系，提高整体的安全水平，那肯定是做安全意识宣贯会好一点，如果是提高运维相关的安全，肯定是安全基线配置，扫描，检测会好一点，如果是对于研发而言，肯定是安全编码规范来的好一些，如果是高管等，肯定是商业秘密保护等来的更加贴近一些。

在进行安全建设的时候，务必了解适用于企业和自身的规则，并谨慎地遵守。

整个流程就是7个大项，17个基本点简单的说一下每一个基本点的所有内容，然后再细分文章进行分析和理解。

ackson Wynn等人于2011年在MITRE公司开发了“威胁评估和补救分析(Threat Assessment and Remediation Analysis，TARA。TARA相对于PASTA来说，会更加关注风险修复结果，并且接入了威胁库，对威胁进行了更加详细的评定。在TARA分析的底层实际上依旧采用的是STRIDE分析方式。TARA的目标是抵御受国家级支持的中高层敌人，维持它收到攻击的系统的任务保证。

专门拎出来一片来学习威胁建模的详细内容，主要是关注不同的威胁建模方法以及威胁建模实际落地的情况。这里特指的软件安全流程。本篇只针对STRIDE以及它的一个补充进行描述。

在设计这一模块，主要是针对之前的安全需求，提前设计好软件产品的安全度以及是否满足隐私和合规。

本文中的合规指的是在符合法律法规的情况下开展的安全活动。

企业安全风险管理企业安全风险管理—风险评估企业安全风险管理—应对风险企业安全风险管理—检测风险企业安全—供应链风险管理企业安全—业务持续。

本文仅仅是TOGAF学习和理解，不以考证和落地实施为目的。The Open Group 于 1995 年开发了 TOGAF，到 2016 年，80% 的全球 50 强公司和 60% 的财富 500 强公司使用了该框架。TOGAF 可供组织内部免费使用，但不能用于商业目的。

Zachman框架起源于John Zachman 1987年完成的那篇著名的信息系统架构论文（《A framework for information systems architecture》 ）