1.信息安全标准

标准化组织：IETF——Internet工程任务组 RFC

中国国家标准化管理委员会

TC260（信安标委，全国信息安全标准化技术委员会）

WG3：密码技术标准工作组；WG8：数据安全标准工作组

2.等保

22240 等级指导

等级保护工作流程

1.国家网络空间安全战略

2.CISP职业道德准则：维护国家、社会和公众的信息安全；诚实守信、遵纪守法；努力工作，尽职尽责

1.网络安全监管（四法一条例）

2.网络安全日志不少于6个月

3.43697 数据分类分级

4.应急预案机制：在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并向有关主管部门报告。

5.关键基础设施保护

6.35273 个人信息安全规范

1.信息系统安全保障评估框架——标准：20274

安全评估对象：STOE评估——技术、管理、工程

ISPP（需求）；ISST（方案）

2.企业安全架构

SABSA 舍伍德：背景层-概念层-逻辑层-物理层-组件层-运营层

Zachman

TOGAF开放群组架构

1.信息安全保障技术框架 IATF

核心思想：深度防御

三个要素：人、技术、操作

四个焦点领域：保护网络和基础设施、保护区域边界、保护计算环境、支持性基础设施

物理位置

1.信息安全发展阶段：

2.计算机安全威胁：非法访问、恶意代码、脆弱口令等

3.我国信息安全保障工作 （27号文）纲领/方针

4.工业控制系统基本结构：DCS-和终端设备离得比较近/SCADA-采集监控，有一个HIMI大屏/PLC-在DCS和SCADA之间传输数据，硬件软件各种协议组成；安全威胁：可控性不高，缺乏足够安全防护，缺乏安全管理标准和技术 

5.云计算的安全风险：

数据管理和访问失控的风险：数据存储位置对用户失控、数据权限、授权访问

6.虚拟化安全：确保虚拟化多租户之间的有效隔离

7.PDR模型：防护、检测、响应——承认漏洞，正视威胁，采取适度防护、加强检测工作、落实响应、建立对威胁的防护来保障系统的安全

PPDR模型：更强调控制和对抗、考虑了管理的因素，强调安全管理的持续性、安全策略的动态性等

1.信息安全基本属性：CIA（保密性、完整性、可用性）；其他属性：真实性、可问责性、不可否认性、可靠性

2.《网络安全法》国家关键基础设施保护：公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务

3.合规性：法律法规的合规；标准的合规性

4.应对社会工程学最有效的方法是进行安全意识培训

信息有：1.价值；2.无形；3.生命周期

在信息的全生命周期要做一系列的措施构成信息安全管理体系

威胁情报需要注意：完整性、真实性、及时性

兼容  

监管 fan zhi

恢复 信誉 措施

避免过度

堆栈 函数

ji cheng 内聚 耦合

专业领域 

状态基  范畴 无干扰  

提示 故障 获取 授权

雪崩 扩散  办法 吊销 滞后