数据安全实践指南-程序员宅基地

技术标签: 数据安全  java  网络  安全  大数据  

ec2bd509974a80493520bddb21cfa36b.gif

随着互联网、物联网、云计算等技术的快速发展,全球数据量出现爆炸式增长,我们已进入大数据时代。大数据不断向各个行业渗透,在深刻影响国家政治、经济、民生和国防的同时,也给国家安全、社会稳定和个人隐私等带来了潜在威胁与挑战。在此背景下,国内外数据安全相关法律法规相继出台,以完善大数据安全领域的防护和技术要求,助力大数据安全建设。

相较于传统网络安全,数据安全的标准化起步较晚,目前业内尚无完整、成熟的可借鉴技术落实方案,缺乏有效的数据安全视角下的实践指南,大量组织在数据安全建设方面仍然处于“摸着石头过河”的状态,这严重耗费了企业的人力、物力,以及本不富余的安全资源。

《数据安全实践指南》应运而生,本书是美创科技积极组织公司数据安全从业专家,结合公司多年来的数据安全治理经验,以《信息安全技术 数据安全能力成熟度模型》(GB/T 37988—2019)和《数据安全能力建设实施指南》为标准和依据,对数据安全全生命周期的过程域逐一进行解读并提供实践操作建议,尝试在目前业内暂无DSMM成熟实践的背景下,为数据安全组织提供实践指南

126427a357bc07b3d29335b1c0be3306.png13cd7f1b12a9b3f2881c62ed17a89feb.png

扫码了解 ↑

读者对象

  • 企业信息安全负责人。

  • 数据安全部门和数据管理部门的工作人员。

  • 安全风险管理人员。

  • 安全审计、监管人员。

  • 运维、技术支持人员。

  • 数据信息使用者。

目录

上拉下滑查看目录 ↓

推荐序

前 言

概念引入篇

第1章 活络之水:大数据时代的数据流动  2

1.1 数据流动时代  2

1.2 数据采集:四面八方皆来客,五湖四海齐聚首  4

1.2.1 系统日志采集  5

1.2.2 数据库采集  9

1.2.3 网络数据采集  10

1.2.4 传感器采集  12

1.3 数据分析:铅华褪尽留本色,大浪淘沙始见金  12

1.3.1 监督学习  13

1.3.2 无监督学习  13

1.3.3 半监督学习  15

1.4 数据关联:世事洞明皆学问,人情练达即文章  16

1.5 数据质量与数据价值  17

现状讨论篇

第2章 数据无罪:大数据时代的数据安全事件  22

2.1 国内外的数据安全事件  22

2.1.1 运营商  23

2.1.2 医疗体系  23

2.1.3 高校教育  24

2.1.4 金融体系  24

2.1.5 电子政务  25

2.1.6 社交网络  25

2.1.7 企业生产  26

2.2 数据无罪,治理之过  27

2.2.1 数据治理  27

2.2.2 数据安全治理  28

2.2.3 治理思路选型  32

2.2.4 信息安全、网络安全与数据安全的区别  33

治理选型篇

第3章 大数据时代的数据安全治理思路  38

3.1 以数据为中心  38

3.2 以组织为单位  39

3.3 以数据生命周期为要素  40

第4章 数据生命周期安全过程域  41

4.1 数据采集安全  41

4.1.1 数据的分类分级  41

4.1.2 数据采集安全管理  42

4.1.3 数据源鉴别及记录  43

4.1.4 数据质量管理  43

4.2 数据传输安全  44

4.2.1 数据传输加密  44

4.2.2 网络可用性管理  45

4.3 数据存储安全  45

4.3.1 存储介质安全  46

4.3.2 逻辑存储安全  46

4.3.3 数据备份和恢复  47

4.4 数据处理安全  48

4.4.1 数据脱敏  48

4.4.2 数据分析安全  49

4.4.3 数据的正当使用  50

4.4.4 数据处理环境安全  51

4.4.5 数据导入导出安全  52

4.5 数据交换安全  52

4.5.1 数据共享安全  53

4.5.2 数据发布安全  53

4.5.3 数据接口安全  54

4.6 数据销毁安全  55

4.6.1 数据销毁处理  55

4.6.2 介质销毁处理  56

4.7 通用安全过程  56

4.7.1 数据安全策略规划  56

4.7.2 组织和人员管理  57

4.7.3 合规管理  59

4.7.4 数据资产管理  60

4.7.5 数据供应链安全  60

4.7.6 元数据管理  61

4.7.7 终端数据安全  62

4.7.8 监控与审计  62

4.7.9 鉴别与访问控制  63

4.7.10 需求分析  64

4.7.11 安全事件应急  65

实践指南篇

第5章 数据采集安全实践  68

5.1 数据分类分级  68

5.1.1 建立负责数据分类分级的职能部门  68

5.1.2 明确数据分类分级岗位的能力要求  69

5.1.3 数据分类分级岗位的建设及人员能力的评估方法  69

5.1.4 明确数据分类分级的目的  71

5.1.5 确立数据分类分级的原则  71

5.1.6 制定数据分类分级的方法及细则  71

5.1.7 制定数据分类分级的安全策略  73

5.1.8 实施变更审核机制  73

5.1.9 使用技术工具  74

5.1.10 基于元数据类型的分类技术  74

5.1.11 基于实际应用场景的分类技术  74

5.1.12 技术工具的使用目标和工作流程  75

5.2 数据采集安全管理  76

5.2.1 建立负责数据采集安全的职能部门  77

5.2.2 明确数据采集安全岗位的能力要求  77

5.2.3 数据采集安全岗位的建设及人员能力的评估方法  77

5.2.4 明确数据采集的目的  78

5.2.5 确立数据采集的基本原则  79

5.2.6 基于大数据的采集来源  79

5.2.7 明确数据采集方式  80

5.2.8 确定数据采集周期  81

5.2.9 制定数据采集的安全策略  81

5.2.10 制定数据采集的风险评估流程  81

5.2.11 使用技术工具  82

5.2.12 基于数据库的采集技术  82

5.2.13 基于网络数据的采集技术  82

5.2.14 基于系统日志的采集技术  84

5.2.15 数据防泄露技术  85

5.2.16 技术工具的使用目标和工作流程  86

5.3 数据源鉴别及记录  87

5.3.1 建立负责数据源鉴别与记录的职能部门  87

5.3.2 明确数据源鉴别与记录岗位的能力要求  88

5.3.3 数据源鉴别与记录岗位的建设及人员能力的评估方法  88

5.3.4 明确数据源鉴别及记录的目的  89

5.3.5 制定数据采集来源的管理办法  89

5.3.6 数据溯源方法简介  91

5.3.7 数据溯源记录  91

5.3.8 制定数据源鉴别及记录的安全策略  91

5.3.9 使用技术工具  92

5.3.10 基于标注和反向查询的数据溯源技术  92

5.3.11 数据溯源中的安全防护  94

5.3.12 技术工具的使用目标和工作流程  95

5.4 数据质量管理  96

5.4.1 建立负责数据质量管理的职能部门  96

5.4.2 明确数据质量管理岗位的能力要求  96

5.4.3 数据质量管理岗位的建设及人员能力的评估方法  96

5.4.4 明确数据质量管理的目的  97

5.4.5 数据质量评估维度  97

5.4.6 实施数据质量校验  98

5.4.7 实施数据清洗  99

5.4.8 明确数据质量管理的规范  99

5.4.9 制定数据质量管理的实施流程  100

5.4.10 使用技术工具  100

5.4.11 数据清洗工具的原理  101

5.4.12 技术工具的使用目标和工作流程  101

第6章 数据传输安全实践  103

6.1 数据传输加密  103

6.1.1 建立负责数据传输加密的职能部门  103

6.1.2 明确数据传输加密岗位的能力要求  104

6.1.3 数据传输加密岗位的建设及人员能力的评估方法  104

6.1.4 明确数据传输加密的目的  105

6.1.5 制定数据传输安全管理规范  106

6.1.6 实施数据安全等级变更审核机制  106

6.1.7 建立密钥安全管理规范  106

6.1.8 使用技术工具  108

6.1.9 哈希算法与加密算法  108

6.1.10 加密传输密钥的认证管理  111

6.1.11 构建安全传输通道  112

6.1.12 技术工具的使用目标和工作流程  113

6.2 网络可用性管理  113

6.2.1 建立负责网络可用性管理的职能部门  114

6.2.2 明确网络可用性管理岗位的能力要求  114

6.2.3 网络可用性管理岗位的建设及人员能力的评估方法  114

6.2.4 明确网络可用性管理的目的  115

6.2.5 网络可用性管理指标  116

6.2.6 提高网络可用性的方法  116

6.2.7 确立网络服务配置原则  117

6.2.8 制定网络可用性管理规范  117

6.2.9 使用技术工具  117

6.2.10 网络可用性衡量指标  118

6.2.11 网络可用性管理之避错措施  118

6.2.12 网络可用性管理之容错措施  119

6.2.13 网络可用性管理之检错措施  123

6.2.14 网络可用性管理之排错措施  123

6.2.15 技术工具的使用目标和工作流程  123

第7章 数据存储安全实践  125

7.1 存储介质安全  125

7.1.1 建立负责存储介质安全的职能部门  125

7.1.2 明确存储介质安全岗位的能力要求  126

7.1.3 存储介质安全岗位的建设及人员能力的评估方法  126

7.1.4 明确存储介质安全管理的目的  127

7.1.5 存储介质的定义  127

7.1.6 存储介质采购规范  127

7.1.7 存储介质存放规范  127

7.1.8 存储介质运输规范  128

7.1.9 存储介质使用规范  128

7.1.10 存储介质维修规范  129

7.1.11 存储介质销毁规范  129

7.1.12 使用技术工具  130

7.1.13 存储介质的常见类型  130

7.1.14 存储介质的监控技术  130

7.1.15 基于数据擦除的介质净化技术  131

7.1.16 技术工具的使用目标和工作流程  132

7.2 逻辑存储安全  133

7.2.1 建立负责逻辑存储安全的职能部门  133

7.2.2 明确逻辑存储安全岗位的能力要求  133

7.2.3 逻辑存储安全岗位的建设及人员能力的评估方法  133

7.2.4 明确逻辑存储安全管理的目的  135

7.2.5 实施系统账号管理  135

7.2.6 实行认证鉴权  136

7.2.7 采取访问控制措施  136

7.2.8 基于逻辑存储系统的病毒和补丁管理  136

7.2.9 制定日志管理规范  136

7.2.10 定期检查存储  137

7.2.11 明确故障管理方法  137

7.2.12 制定逻辑存储安全配置规则  137

7.2.13 使用技术工具  138

7.2.14 安全基线核查技术  139

7.2.15 日志监控技术  140

7.2.16 安全基线核查流程和目标  144

7.2.17 日志监控流程和目标  145

7.3 数据备份和恢复  145

7.3.1 建立负责数据备份和恢复的职能部门  146

7.3.2 明确数据备份和恢复岗位的能力要求  146

7.3.3 数据备份和恢复岗位的建设与人员能力的评估方法  146

7.3.4 明确数据备份和恢复的目的  148

7.3.5 数据备份  148

7.3.6 明确数据备份安全管理规范  148

7.3.7 数据恢复  149

7.3.8 明确数据恢复安全管理规范  150

7.3.9 使用技术工具  151

7.3.10 不同网络架构下的备份技术  151

7.3.11 数据恢复技术与安全管理  153

7.3.12 技术工具的使用目标和工作流程  154

第8章 数据处理安全实践  155

8.1 数据脱敏  155

8.1.1 建立负责数据脱敏的职能部门  155

8.1.2 明确数据脱敏岗位的能力要求  156

8.1.3 数据脱敏岗位的建设及人员能力的评估方法  156

8.1.4 明确数据脱敏的目的  158

8.1.5 确立数据脱敏原则  158

8.1.6 数据脱敏安全管理内容  158

8.1.7 敏感数据识别  158

8.1.8 确定脱敏方法  159

8.1.9 制定脱敏策略  160

8.1.10 执行脱敏操作  160

8.1.11 脱敏操作的审计及溯源  160

8.1.12 使用技术工具  161

8.1.13 静态脱敏技术  161

8.1.14 动态脱敏技术  163

8.1.15 数据脱敏技术的安全性对比  165

8.1.16 技术工具的使用目标和工作流程  165

8.2 数据分析安全  166

8.2.1 建立负责数据分析安全的职能部门  166

8.2.2 明确数据分析安全岗位的能力要求  167

8.2.3 数据分析安全岗位的建设与人员能力的评估方法  167

8.2.4 明确数据分析安全管理的目的  169

8.2.5 数据分析安全管理的内容  169

8.2.6 明确数据分析需求  169

8.2.7 收集数据  169

8.2.8 建立数据分析模型  169

8.2.9 评估数据分析模型  170

8.2.10 实施数据分析  170

8.2.11 评估数据分析结果  170

8.2.12 使用技术工具  170

8.2.13 语法隐私保护技术  171

8.2.14 语义隐私保护技术  173

8.2.15 技术工具的使用目标和工作流程  174

8.3 数据的正当使用  174

8.3.1 建立负责数据正当使用管理的职能部门  174

8.3.2 明确数据正当使用管理岗位的能力要求  175

8.3.3 数据正当使用管理岗位的建设与人员能力的评估方法  175

8.3.4 明确数据正当使用管理的目的  177

8.3.5 数据正当使用安全管理的内容  177

8.3.6 提交数据使用申请  177

8.3.7 评估数据使用范围及内容  178

8.3.8 针对数据使用范围及内容的审批  178

8.3.9 针对数据使用范围及内容的授权  178

8.3.10 记录存档  178

8.3.11 使用技术工具  179

8.3.12 单点登录技术  179

8.3.13 访问控制技术  179

8.3.14 基于统一认证授权的IAM技术  182

8.3.15 技术工具的使用目标和工作流程  183

8.4 数据处理环境安全  185

8.4.1 建立负责数据处理环境安全的职能部门  185

8.4.2 明确数据处理环境安全岗位的能力要求  186

8.4.3 数据处理环境安全岗位的建设及人员能力的评估方法  186

8.4.4 明确数据处理环境安全管理的目的  188

8.4.5 分布式处理节点安全  188

8.4.6 采取网络访问控制措施  188

8.4.7 账号管理和身份认证制度要求  189

8.4.8 访问资源授权  189

8.4.9 制定加解密处理策略  189

8.4.10 数据处理监控  189

8.4.11 审计与溯源制度要求  190

8.4.12 使用技术工具  190

8.4.13 账号管理和身份认证实现模式  191

8.4.14 网络访问控制  193

8.4.15 授权管理  194

8.4.16 监控系统与审计系统  195

8.4.17 技术工具的使用目标和工作流程  195

8.5 数据导入导出安全  196

8.5.1 建立负责数据导入导出安全的职能部门  196

8.5.2 明确数据导入导出安全岗位的能力要求  196

8.5.3 数据导入导出安全岗位的建设及人员能力的评估方法  197

8.5.4 明确数据导入导出安全管理的目的  198

8.5.5 数据导入导出安全管理的内容  198

8.5.6 明确导入导出的数据内容  199

8.5.7 提交数据导入导出的申请  199

8.5.8 评估数据导入导出的范围及内容  199

8.5.9 针对数据导入导出范围及内容的授权审批  199

8.5.10 制定数据导入导出规范  200

8.5.11 明确导出数据存储介质的安全要求  200

8.5.12 审计与溯源  200

8.5.13 使用技术工具  200

8.5.14 多因素认证技术  201

8.5.15 访问控制技术  201

8.5.16 数据预处理技术  202

8.5.17 技术工具的使用目标和工作流程  203

第9章 数据交换安全实践  204

9.1 数据共享安全  204

9.1.1 建立负责数据共享安全的职能部门  204

9.1.2 明确数据共享安全岗位的能力要求  205

9.1.3 数据共享安全岗位的建设与人员能力的评估方法  205

9.1.4 明确数据共享安全管理的目的  207

9.1.5 数据共享安全管理的内容  207

9.1.6 提交数据共享申请  207

9.1.7 评估数据共享的范围及内容  207

9.1.8 针对数据共享范围及内容的授权审批  208

9.1.9 实施数据共享  208

9.1.10 审计与溯源  208

9.1.11 使用技术工具  209

9.1.12 基于物理存储介质的摆渡交换技术  210

9.1.13 基于电路开关的交换技术  210

9.1.14 基于内容过滤的交换技术  211

9.1.15 基于协议隔离的交换技术  212

9.1.16 基于物理单向传输的交换技术  213

9.1.17 基于密码的交换技术  213

9.1.18 技术工具的使用目标和工作流程  213

9.2 数据发布安全  214

9.2.1 建立负责数据发布安全的职能部门  215

9.2.2 明确数据发布安全岗位的能力要求  215

9.2.3 数据发布安全岗位的建设及人员能力的评估方法  215

9.2.4 明确数据发布安全管理的目的  217

9.2.5 数据发布安全管理的内容  217

9.2.6 制定数据发布审核制度  217

9.2.7 明确数据发布监管要求  218

9.2.8 制定数据发布事件应急处理流程  218

9.2.9 使用技术工具  219

9.2.10 隐私保护数据发布  219

9.2.11 基于匿名的隐私保护数据发布技术  220

9.2.12 基于加密的隐私保护数据发布技术  221

9.2.13 基于失真的隐私保护数据发布技术  221

9.2.14 技术工具的使用目标和工作流程  221

9.3 数据接口安全  222

9.3.1 建立负责数据接口安全的职能部门  222

9.3.2 明确数据接口安全岗位的能力要求  222

9.3.3 数据接口安全岗位的建设及人员能力的评估方法  223

9.3.4 明确数据接口安全管理的目的  225

9.3.5 制定数据接口开发规范  225

9.3.6 针对数据接口的管理和审核  225

9.3.7 审计与溯源  226

9.3.8 使用技术工具  226

9.3.9 不安全参数限制机制  227

9.3.10 时间戳超时机制  227

9.3.11 令牌授权机制  227

9.3.12 签名机制  228

9.3.13 技术工具的使用目标和工作流程  228

第10章 数据销毁安全实践  229

10.1 数据销毁处理  229

10.1.1 建立负责数据销毁处理的职能部门  229

10.1.2 明确数据销毁处理岗位的能力要求  230

10.1.3 数据销毁处理岗位的建设及人员能力的评估方法  230

10.1.4 明确数据销毁安全管理的目的  232

10.1.5 数据销毁安全管理的内容  232

10.1.6 明确数据销毁审批流程  232

10.1.7 制定数据销毁监督流程  233

10.1.8 使用技术工具  233

10.1.9 本地数据销毁技术  233

10.1.10 网络数据销毁技术  234

10.1.11 技术工具的使用目标和工作流程  236

10.2 介质销毁处理  237

10.2.1 建立负责介质销毁处理的职能部门  237

10.2.2 明确介质销毁处理岗位的能力要求  237

10.2.3 介质销毁处理岗位的建设及人员能力的评估方法  238

10.2.4 明确介质销毁安全管理的目的  239

10.2.5 明确介质销毁审批流程  239

10.2.6 制定介质销毁监督流程  240

10.2.7 使用技术工具  240

10.2.8 物理销毁  240

10.2.9 化学销毁  241

10.2.10 技术工具的使用目标和工作流程  241

第11章 通用安全实践  242

11.1 数据安全策略规划  242

11.1.1 建立负责数据安全策略规划的职能部门  242

11.1.2 明确数据安全策略规划岗位的能力要求  243

11.1.3 数据安全策略规划岗位的建设及人员能力的评估方法  243

11.1.4 明确数据安全策略规划的目的  244

11.1.5 制定数据安全方针政策与管理目标  244

11.1.6 确立数据安全的基本原则  244

11.1.7 监管合规?:数据源合规  246

11.1.8 监管合规?:数据使用合规  246

11.1.9 监管合规?:数据共享合规  247

11.1.10 第三方委托处理合规  247

11.1.11 数据资产管理  248

11.1.12 数据分类分级和数据安全违规处分  249

11.1.13 使用技术工具  249

11.1.14 办公自动化系统  249

11.1.15 企业内部门户  250

11.1.16 企业邮箱  251

11.1.17 企业内部群组  251

11.2 组织和人员管理  251

11.2.1 建立负责组织和人员管理的职能部门  252

11.2.2 明确组织和人员管理岗位的能力要求  252

11.2.3 组织和人员管理岗位的建设及人员能力的评估方法  253

11.2.4 明确组织和人员流程管理的目的  253

11.2.5 明确在职人员的工作职责与权限管控  254

11.2.6 制定人力资源全流程制度规范  255

11.2.7 使用技术工具  257

11.2.8 人力资源系统  257

11.2.9 人员访问控制技术  258

11.2.10 办公自动化系统和企业内部门户网站  259

11.3 合规管理  259

11.3.1 建立负责合规管理的职能部门  259

11.3.2 明确合规管理岗位的能力要求  259

11.3.3 合规管理岗位的建设及人员能力的评估方法  260

11.3.4 明确合规管理的目的  261

11.3.5 明确合规覆盖范围  261

11.3.6 构建检查清单  261

11.3.7 定期评估与变更控制管理  263

11.3.8 跨境数据安全管控  263

11.3.9 明确考核规范  264

11.3.10 使用技术工具  264

11.3.11 知识库系统  264

11.3.12 数据脱敏技术  267

11.3.13 制度检查流程跟踪系统  268

11.4 数据资产管理  268

11.4.1 建立负责数据资产管理的职能部门  268

11.4.2 明确数据资产管理岗位的能力要求  268

11.4.3 数据资产管理岗位的建设及人员能力的评估方法  269

11.4.4 制定数据资产管理制度  269

11.4.5 实施数据资产登记机制  270

11.4.6 明确数据资产变更审批流程  271

11.4.7 使用技术工具  271

11.4.8 数据资产自动化梳理技术  272

11.4.9 数据资产管理技术  272

11.4.10 密钥管理系统  275

11.5 数据供应链安全  277

11.5.1 建立负责数据供应链安全的职能部门  277

11.5.2 明确数据供应链安全岗位的能力要求  278

11.5.3 数据供应链安全岗位的建设及人员能力的评估方法  278

11.5.4 明确数据供应链安全管理的内容  279

11.5.5 使用技术工具  280

11.5.6 元数据管理技术  281

11.5.7 数据流入流出控制技术  281

11.5.8 技术工具的使用目标和工作流程  283

11.6 元数据管理  283

11.6.1 建立负责元数据管理的职能部门  284

11.6.2 明确元数据管理岗位的能力要求  284

11.6.3 元数据管理岗位的建设及人员能力的评估方法  284

11.6.4 明确元数据管理的目的和内容  286

11.6.5 明确元数据访问控制要求  286

11.6.6 制定元数据变更管理流程  287

11.6.7 元数据变更和访问操作审计记录  287

11.6.8 使用技术工具  288

11.6.9 元数据自动获取技术  289

11.6.10 元数据访问接口技术  290

11.6.11 技术工具的使用目标和工作流程  291

11.7 终端数据安全  293

11.7.1 建立负责终端数据安全的职能部门  293

11.7.2 明确终端数据安全岗位的能力要求  293

11.7.3 终端数据安全岗位的建设及人员能力的评估方法  294

11.7.4 明确终端数据安全管理的目的和内容  296

11.7.5 建立终端安全管控规范  296

11.7.6 制定员工终端行为管理规范  296

11.7.7 部署数据防泄露平台  297

11.7.8 终端数据安全监督与检查  297

11.7.9 建立审计机制与应急处置流程  297

11.7.10 使用技术工具  297

11.7.11 终端安全管理技术  298

11.7.12 数据防泄露技术  300

11.7.13 移动安全管理技术  301

11.7.14 技术工具的使用目标和工作流程  303

11.8 监控与审计  304

11.8.1 建立负责监控与审计的职能部门  305

11.8.2 明确数据安全监控与审计岗位的能力要求  305

11.8.3 监控与审计岗位的建设及人员能力的评估方法  306

11.8.4 明确监控与审计管理的内容  307

11.8.5 明确安全监控要求  307

11.8.6 明确日志记录要求  307

11.8.7 明确安全审计要求  308

11.8.8 使用技术工具  310

11.8.9 数据采集  311

11.8.10 数据整合  311

11.8.11 数据分析  312

11.8.12 技术工具的使用目标和工作流程  312

11.9 鉴别与访问控制  313

11.9.1 建立负责鉴别与访问控制的职能部门  313

11.9.2 明确鉴别与访问控制岗位的能力要求  313

11.9.3 鉴别与访问控制岗位的建设及人员能力的评估方法  314

11.9.4 明确鉴别与访问控制管理的目的和内容  315

11.9.5 制定身份鉴别措施  315

11.9.6 明确数据权限授权审批流程  316

11.9.7 实施访问控制管理  317

11.9.8 建立安全审计机制  317

11.9.9 使用技术工具  317

11.9.10 身份标识与鉴别技术  318

11.9.11 访问控制技术  320

11.9.12 技术工具的使用目标和工作流程  321

11.10 需求分析  322

11.10.1 建立负责需求分析的职能部门  322

11.10.2 明确需求分析岗位的能力要求  323

11.10.3 需求分析岗位的建设及人员能力的评估方法  323

11.10.4 明确需求分析的目的和内容  325

11.10.5 制定安全需求分析流程  325

11.10.6 建立安全审计机制  326

11.10.7 使用技术工具  326

11.10.8 技术工具的使用目标和工作流程  328

11.11 安全事件应急  328

11.11.1 建立负责安全事件应急的职能部门  328

11.11.2 明确安全事件应急岗位的能力要求  328

11.11.3 安全事件应急岗位的建设及人员能力的评估方法  329

11.11.4 制定应急预案与处理流程  330

11.11.5 应急预案应符合政策要求  331

11.11.6 使用技术工具  331

11.11.7 PDCERF模型  331

11.11.8 态势感知技术  332

11.11.9 技术工具的使用目标和工作流程  334

自测参考篇

第12章 风险评估与自评参考  336

12.1 组织建设、人员能力控制点与自评要求  336

12.2 制度流程控制点与自评指标  350

12.3 技术工具控制点与自评指标  354

6f9f6e140af90d7e4f4c1c663b13ee26.png

fa5b4a8ecb3204c88428de9dd9084530.gif

更多精彩回顾

书讯 | 4月书讯(下)| 上新了,华章

书讯 | 4月书讯(上)| 上新了,华章

资讯 | AI 是否拥有意识?从意识的定义说起

书单 | 金三银四求职季,十道腾讯算法真题解析!

干货 | 场景拆解六步设计法,手把手教你细化场景

收藏 | 赵宏田:用户画像场景与技术实现

上新 | Web渗透测试实战:基于Metasploit 5.0

书评 | 数据分析即未来

0f9e16ccb09205e0b24eb40bbc86af2e.gif

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hzbooks/article/details/124010359

智能推荐

傻瓜攻略(三)——MATLAB实现BP神经网络预测_matlab神经网络预测-程序员宅基地

文章浏览阅读1.4w次,点赞22次,收藏389次。BP神经网络作为人工神经网络中的元老,其应用广泛程度已经不言而喻。本文主要对其具体应用要点进行总结。数据数据采用2020年第十届MathorCup高校数学建模挑战赛A题相关数据,原始数据含有60多个因素。经过筛选和量化,最终得到19个因素。将其中的调价比例作为被预测值,即网络的输出值,其余的18个因素作为网络的输入值。如图所示,本文建立的BP神经网络具有三层,由于输入值有18个,被预测值有1个。因此输入神经元的个数取为18,输出神经元的个数取为1。中间隐含层神经元的个数,BP网络需要根据经验取定,暂时_matlab神经网络预测

java中的结构化数据—JSON-程序员宅基地

文章浏览阅读1.1k次。什么是JSON?JSON是”“的缩写,JSON是一种基于文本的格式,可以把它理解为是一个结构化的数据,这个结构化数据中可以包含键值映射、嵌套对象以及数组等信息。{"array"[1,2,3],"boolean"true,"color""gold","null"null,"number"123,"object"{"a""b","c""d"},"string"}Jackson默认使用Jackson进行JSON处理。Streaming在模块。在在和。...

如何成为一名合格的(Java)程序员_一名合格java-程序员宅基地

文章浏览阅读311次。如何成为一名合格的(Java)程序员.txt主流编程工具1 构建工具:Maven或Gradle。2 SCM:Git(不是GitHub。大不相同)。3 构建自动化:Jenkins。4 IDE:Netbeans或Eclipse——不仅用于编写代码,而且还从IDE中重构和调试代码。我遇到了很多没有如何从他们最喜欢的IDE调试的开发人员。5 Bug跟踪:Bugzilla或Jira。主流编程框架1 S_一名合格java

spring事务管理PlatformTransactionManager及transactionTemplate_org.springframework.transaction.platformtransactio-程序员宅基地

文章浏览阅读2.2k次。事务三大接口 org.springframework.transaction.PlatformTransactionManager 事务管理器 org.springframework.transaction.TransactionDefinition 事务的一些基础信息,如超时时间、隔离级别、传播属性等 org.springframework.transaction.TransactionStatus 事务的一些状态信息,如是否一个新的事务、是否已被标记为回滚PlatformTransact_org.springframework.transaction.platformtransactionmanager

Python中使用Plotly画图输出html,但是不在本地浏览器打开html文件_plotly html-程序员宅基地

文章浏览阅读5.2k次,点赞13次,收藏20次。Python中使用Plotly画图输出html,但是不在本地浏览器打开html文件_plotly html

phpmyadmin配置文件config.default.php部分配置选项说明_linux phpmyadmin 修改数据库地址 config.default.php-程序员宅基地

文章浏览阅读8.8k次。phpmyadmin的配置文件是由config.default.php 修改而来的,修改成 config.inc.php里面参数众多.列出一些需要自己修改的,以便以后查找修改 $cfg['PmaAbsoluteUri']:主要用来以URL的方式配置phpmyadmin的安装目录,比如http://localhost/path-to-your-phpmyadmin-d_linux phpmyadmin 修改数据库地址 config.default.php

随便推点

Flex4 新特性_flex新特性-程序员宅基地

文章浏览阅读1.5k次。原文地址: http://www.ibm.com/developerworks/cn/web/1103_mars_flex4/index.html?ca=drs-Flex4 新特性概述Adobe Flex 最初是由 Macromedia 公司发布的,自 2005 年 10 月 Flex 被 Adobe 以 Flex SDK 2.0 发布之后,Flex SDK 已是一个开_flex新特性

对sklearn文件pyd文件进行修改的方法_如何修改pyd-程序员宅基地

文章浏览阅读896次。首先声明这篇文章没有原理解释,只有遇到的各种问题和个人解决方案。为什么要修改pyd文件,因为我想要修改sklearn里随机森林的决策树构建算法,这部分的关键代码为了提高运行效率被放到了pyd文件中。pyd文件本质是一种python的dll文件,所以无法直接编写。解决方案就是通过setuptools从.pyx文件中生成pyd。平台:windows10python版本:python3.7以下是打包用到的setup.py文件from setuptools import setupf..._如何修改pyd

解决H5页面在部分android版本中line-height不兼容问题_h5页面在不同安卓版本-程序员宅基地

文章浏览阅读2.6k次。在部分android的手机中会出现使用line-height文字偏上的问题,可利用padding来实现文字垂直居中, 若元素高30pxelement{  font-size: 13px;  line-height:0;  padding: 15px 0;//相当于line-height 30px}_h5页面在不同安卓版本

python进阶—matplotlib教程_python matplotlib bins = np.linspace-程序员宅基地

文章浏览阅读304次。简介:matplotlib是python著名的绘图库,它提供了一整套和matlab相似的API,十分适合交互式进行制图。作为一套面向对象的会图库,它所绘画的图表中的每个绘图元素,都会在内存中有一个对象与之对应,我们只需要调用pyplot绘图模块就能快速实现绘图和设置图表的各种细节。1、简单绘制(折线图)import matplotlib.pyplot as pltimport nump..._python matplotlib bins = np.linspace

springboot项目创建过程+maven+mybatis-plus+swagger+security_springboot+ springsecurity + mybaties+ swagger + j-程序员宅基地

文章浏览阅读338次,点赞2次,收藏3次。springboot项目分步创建过程一.基础项目搭建springboot+maven(已完成)二.加入一些必要的jar包(已完成)三.springboot数据化持久操作 加入mybatis-plus(未完成)四.Springboot中加入swagger(未完成)五.springboot项目引入jsp页面编写(未完成)六.springboot项目加入security+jwt安全控件(未完成)七.springboot项目用户角色权限完善(未完成)八.springboot项目打wa_springboot+ springsecurity + mybaties+ swagger + jwt

Java40万年薪所需技术_40万年薪java-程序员宅基地

文章浏览阅读125次。对于一个年薪 40W 的 Java 开发人员来说,需要掌握哪些知识点呢?经过我自己的总结,我列出了下面的思维导图:从上面的图片我们可以看出大致分为三个部分:JDK 源码、JVM 原理、框架源码。一、JDK源码JDK 源码是一切的基础,许多框架都参考了 JDK 源码的实现思路,因此弄懂 JDK 源码是一件非常重要的事情。而 JDK 源码又可以分为下面 5 大块:集合源码 并..._40万年薪java

推荐文章

热门文章

相关标签