域1：安全与风险管理 章节要点

---包括OSG 1、2、3、4 章---

第1章、实现安全治理的原则和策略

1、由保密性、完整性和可用性组成的 CIA 三元组。

保密性原则是指客体不会被泄露给 未经授权的主体。完整性原则是指客体保持真实性且只被经过授权的主体进行有目的的修改。 可用性原则指被授权的主体能实时和不间断地访问客体。

2、了解 AAA 服务的要素。

AAA 由标识、身份认证、授权、审计和记账（或问责制）构成。

3、身份标识是如何工作的。

身份标识是一个主体声明身份并开始承担责任的过程。主体必须为系统提供标识，以便启动身份认证、授权和问责制的过程。

4、身份认证过程。

身份认证是验证或测试声称的身份是否有效的过程。身份认证需要 来自主体的信息，这些信息必须与指示的身份完全一致。

5、授权如何用于安全计划。

一旦对主体进行了身份认证，就必须对其访问进行授权。 鉴于已通过验证的身份被赋予的权利和特权，授权过程确保被请求的活动或对客体的访问是可以实现的。

6、审计过程。

审计是一种程序化的过程：通过文档或者主体活动记录，在验证过 的系统中让主体为其行为负责。

7、问责制的重要性。

只有在主体对他们的行为负责时，才能保持安全性。有效的问责制依赖千检验主体身份及追踪其活动的能力。

8、不可否认性。

不可否认性确保活动或事件的主体不能否认事件的发牛。它防止主体声称没有发送过消息、没有执行过动作或没有导致事件的发生。

9、纵深防御。

纵深防御，也叫分层防御，指简单使用一系列控制中的多个控制。多层防护解决方案允许使用许多不同的控制措施来抵御随时都可能出现的威胁。

10、抽象的概念。

抽象用于将相似的元素放入组、类或角色中，这些组、类或角色作为集合被指派安全控制、限制或许可。抽象提高了安全计划的实施效率。

11、理解数据隐藏。

数据隐藏旨在防止数据被主体发现或者访问。数据隐藏通常 是安全控制和编程中的关键元素。

12、安全边界。

安全边界是具有不同安全要求或需求的任意两个区域、子网或环境之间的交界线

13、安全治理。

安全治理是与支持、定义和指导组织安全工作相关的实践集合。

14、第三方治理。

第三方治理是可能由法律、法规、行业标准、合同义务或许可要求强 制执行的外部实体监督系统。实际的治理方法可能各有不同，但通常包括外部调查员或审计员。

15、文件审查。

文件审查是查看交换材料并根据标准和期望对其进行验证的过程。文件审查通常发生在现场检查之前。许多情况下，特别是与政府或军事机构或承包商相关的情况 下，如果未能提供足够的文件以满足第三方治理的要求，可能导致操作授权(ATO) 的丢失或失效

16、业务战略、目标、使命和宗旨相一致的安全功能。

安全管理计划确保正确地创建、 执行和实施安全策略。安全管理计划使安全功能与业务战略、目标、使命和宗旨相一致。这包括基于业务场景、预算限制或资源稀缺性来设计和实现安全。

17、业务场景。

业务场景通常是文档化的参数或声明的立场，用千定义做出决策或采取某类行为的需求。创建新的业务场景是指演示特定业务需求，以修改现有流程或选择完成业 务任务的方法。业务场景常被用来证明新项目（特别是与安全相关的项目）的启动是合理的

18、理解安全管理计划。

安全管理基于三种类型的计划：战略计划、战术计划和操作计划。 战略计划是相对稳定的长期计划，它定义了组织的目标、使命和宗旨。战术计划是中期计划， 为战略计划中设定的目标提供更多细节。操仵计划是在战略计划和战术计划的基础上制订的 短期、高度详细的计划

19、规范化安全策略结构的组成要素。

要创建一个全面的安全计划，需要具备以下内容： 安全策略、标准、基线、指南和程序。

20、组织的流程。

安全治理需要关注组织的方方面面。这包括收购、资产剥离和治理委员会的组织流程。

21、关键的安全角色。

主要的安全角色有高级管理者、安全专业人员、用户、资产所有 者、托管员和审计人员。

22、COBIT 的基础知识。

COBIT 是一种安全控制框架，用于为企业制订综合的安全解决方案。

23、 应尽关心和尽职审查。---这里错误

应尽关心是指制订计划、策略和流程以保护组织的利益。尽职审查指的是实践那些维持应尽关心工作的活动。应尽关心是知道应该做什么并为此制订计划，尽职审查是在正确的时间采取正确的行动。

24、 威胁建模的基础知识。

威胁建模是识别、分类和分析潜在威胁的安全过程。威胁建模可被当成设计和开发期间的一种主动措施来执行，也可作为产品部署后的一种被动措施来 执行。关键概念包括资产月文击者／软件、 STRIDE、PASTA、VAST、图表、简化／分解和 DREAD

25、 供应链风险管理概念。

供应链风险管理(SCRM) 旨在确保供应链中的所有供应商或环节都是可靠的、值得信赖的、信誉良好的组织，这些组织向业务伙伴（尽管不一定向公众） 披露他们的实践和安全需求。 SCRM 包括评估与硬件、软件和服务相关的风险，进行第三方评估和监控，设立最低安全要求和强制执行服务级别需求。