信息保障技术框架（IATF）-美国国家安全局（NSA）制定

核心思想：深度防御

三个要素：人（核心） 技术（手段） 操作

动态的技术体系：防护、检测、响应、恢复

四个焦点领域

printf   gets(SQL语句，现在不让用，有危险性)

敏捷模型

内聚、耦合，

高内聚，低耦合

千行代码缺陷率，普通公司4~40

高管理软件公司2~4

美国NASA软件0.1

30 20 10年

绝密，机密，保密

内部评审，ISMS小组内部

管理评审，

coso做内部控制内部控制整合框架关于财务的

ARP和RARP属于转换关系

网络安全宣传日4.29

理解信息安全保障技术框架（IATF）的“深度防御”核心思想、三个核心要素

1.信息资产是有价值的：软件 硬件 声誉 名誉 人员（最重要），因此采取分级保护

2.信息是无形的，需要载体：脑子、纸、磁盘；载体越复杂，信息价值越高。

3.XX是有生命周期：价值为0时，周期结束。每个 生命周期内（比如：创建、使用、存储、传递、更改、销毁）都要有防护管理措施，因此形成信息安全管理体系（动态的）。

创建：自建，copy。

数据销毁：真正销毁：不可恢复；正确销毁：遵循企业的废弃策略。

安全根本目的：保证组织业务可持续运行。

安全部门是成本。自上而下运行。

决策层：只有董事会成员才算。

信息安全问题的根源 ·内因:（漏洞）信息系统复杂性导致漏洞的存在不可避免；

外因（威胁）:环境因素、人为因素 ·

信息安全一定是外因成功利用内因，才会有信息安全风险。

信息安全的特征（了解就行）： 系统性 动态性 无边界 非传统。

威胁情报（理解）：真实性、及时性、相关性、完整性，后建立数据搜集，分析、评估，形成库。

动态感知（理解）：建立在威胁情报的基础上，进行预判调整安全策略。

舍伍德六个层次

背景层

概念层

逻辑层

物理层

组件层

运营层

ciso   管理

cise 技术

缓存区溢出攻击

精确控制跳转地址：

启动应用 ，恶意代码通过入口地址攻击

1.信息安全标准

标准化组织：IETF——Internet工程任务组 RFC

中国国家标准化管理委员会

TC260（信安标委，全国信息安全标准化技术委员会）

WG3：密码技术标准工作组；WG8：数据安全标准工作组

2.等保

22240 等级指导

等级保护工作流程

1.国家网络空间安全战略

2.CISP职业道德准则：维护国家、社会和公众的信息安全；诚实守信、遵纪守法；努力工作，尽职尽责

1.网络安全监管（四法一条例）

2.网络安全日志不少于6个月

3.43697 数据分类分级

4.应急预案机制：在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并向有关主管部门报告。

5.关键基础设施保护

6.35273 个人信息安全规范

1.信息系统安全保障评估框架——标准：20274

安全评估对象：STOE评估——技术、管理、工程

ISPP（需求）；ISST（方案）

2.企业安全架构

SABSA 舍伍德：背景层-概念层-逻辑层-物理层-组件层-运营层

Zachman

TOGAF开放群组架构

1.信息安全保障技术框架 IATF

核心思想：深度防御

三个要素：人、技术、操作

四个焦点领域：保护网络和基础设施、保护区域边界、保护计算环境、支持性基础设施

物理位置