一、理解和应用机密性、完整性和可用性
机密性、完整性和可用性是网络安全的最基本的法则,简称CIA(Confidentiality、Integrity、Avialablity);
机密性:指数据在存储、传输、访问、处理过程中的必须受到保护,从而不会出现未授权的访问、使用或暴露;对应安全加密存储,安全通道传输,访问权限控制,分权分域的原则,和安全的处理方式(包括对数据的存储时间限制)
完整性:只能被授权的主体进行有意的修改,需要对数据、客体和资源的访问进行适当控制,防止未授权的主体进行修改或者已授权的主体进行误操作。比如操作日志记录、数字签名校验、防止反编译、防止串改软件包等都属于保障安全的完整性;
可用性:经过授权的主体被及时准许和不间断的访问客体,实时支持基础服务(包括网络服务、通信和访问控制机制)的正常运作;例如:防止Dos攻击、防止任意的破坏事件(意外的删除文件,过度的使用硬件资源)、部署系统冗余备份数据、部署防火墙和路由器防止外部的恶意攻击。
AAA(Authentication、Authorization、Accounting)服务
二、应用安全治理原则
三、开发和文档化安全策略
四、理解和应用威胁建模
五、把安全风险考虑到收购策略和实践中