第14飞扬架构评估方法论数据安全学习预览

架构设 安全 课程目uuuu为后续云架构、技术选型、运维、质量保证设计做好铺课程导航（上uuu分析物理安全，探究人员安全、控制和检u课程导航（下u分析通信安全，探究网络设备安全、网络和防u分析安全，实现认证、和控u分析软件安全，探究操作系统、数据库和Webu安全框本章概uWhatuWhyuHow：理论结合案例，点出安全架构的整体思安安2.67安全那点安全基本原数据高可 容DDoS防 可用数字签 完整

物 控安全相关的架构an如哪何目业什资谁客为 技 系统计 对 信 时间SabsaSabsa如谁何什上下 业何概逻物组国际安全架构IPDRRIPDRRIATFIATFuuuCGSCGS框u治理：使命的u保u检u响应IACDIACD自自适应安全框安全从控制做安安全控COBITCOBIT元素周NIST标准控安全流程管基础架构SIEMSIEM六六西格玛精益管定量–SMART安全法律合法法欧欧盟：从安全港到PCI支付卡安全标u基础架构： u数据：、传输、数据、物理、认证、监u软件：防、杀毒、安全程序、测案例分析-互联网票务安全u网络协议：只允许TCP/UDP/ICMP/IPSecuu网络接入：负载均衡和NAT服服务资uu：MFA多因素认证+ uuuu管管理流uu框架：自适应u架构师岗面试面试题uuu加分项：能结合实际案例，讲述任意一种架构：Zaan、面试题uu题眼：安全控 u加分项：能结合实际案例，讲述任意法论：COBIT、面试题uuu加分项：能结合实际案例，讲 PCIDSS支付卡安全标准的要 细QQu故事：一个曾经参加过的安全合规、流程控制、安全课程小结与作安全评估方本章概uWhat：应用风险评估、安全测试、渗透测试、模uWhyuHow安全评估方u安全测试：SAST静态测试、IAST u渗透测试：红蓝对抗、黑上层应用风险应用风险分析uu建模：风险分析过程、资产脆弱性评估、失效模 财大特声户用渗透测试+架构评 模 应用安全测安全测应用安全测uSAST静态应用安全测试-代码扫描 、uSAST静态应用安全测试– 库扫描：NexusIQ、uIAST交互式应用安全测试：Synopsys SAST静 模型（上）-树分u一骗（电 u窃密（信息披露）瘫痪（DOS）提权限（权限提升u脆弱->--资产-脆弱性u资产识别：CEO的邮u信 u端点识别：、笔记本、POP3/IMAP、内部邮件系统、CEO邮件管理系统管理笔记增删增删删内部邮件系删邮件服务删树树分CEO的邮模型（下）-DREAD风险DREAD分u破坏性（Damage）：的潜在破坏u可重复性 u可利用性 DREAD分u影响面（AffectedUsers）u可发现性（Discoverability）：发现多方u单项：低风险-1分、中风险-2分、高风险-3渗透测渗透测试基本u合法：免死金u控制影响 u攻为了防： 渗透测试基本u信息收集：社会工程 u后渗 轩辕剑轩辕剑-Rapid7太太阿剑–Burp中间蜘蛛爬重干将莫邪–干将莫邪–鱼肠鱼肠 SQL注联合注布尔注时间注堆叠注案例实战–慕课网模型搭建与评信任讲讲师可以通过账/令牌获取自己的课 学 学生可以通过账 /令牌获取 的课程内教学教学指导可以通过账/令牌上传所管理的课编编辑可以通过账/令牌修改所有数据库管理处理任意课 资产名 资产描 信 课程慕课资 讲师、学生、教学指导、频编辑、 图文 课程配套内 讲师、学生、教学指导 元数 课程和关联信 教学指导、编辑、 数据库连接 数据库连接信 课程用户关 和用户、订单联信

端口端口信HTTPS课讲师、学生HTTPS课程教学指导、编SSH协登陆数据库服务数据库TCP登陆数据课讲学教学编HTTPS查查查HTTPS增增删SSH协增删数据库TCP增删树破坏可重复可利用影响可发现1.盗取课1.1.数据1.1.1.SQL注331311.1.2.服务器攻33131。。。。。2.TCP-13232架构师岗面试面试题uu题眼：SAST静态测试、IASTu加分项：能结合实际工具（如 Seeker等）讲述清楚代码扫描、第库扫描、交互式测试的详面试题uu题眼：风险评估、渗透测试、架构评审、模型、安全测u加分项：能结合实际案例，讲述任意一种风险分析和评估建模方 面试题u题目：对于 uu加分项：能结合实际案例，讲述企业内如何进行渗透测试、红蓝QQu故事：一个曾经参加过的安全评估项目？你当时采用了什么方法？如果采用课程中介绍的安全测试、模型和渗课程小结与作物理安安安全五芒物理安软件安数据安安通信安本章概uWhat：人员安全 uWhyuHow：理论结合案例，点出物理安全 物物理安控检人员安人员安员工管uuu强制休假：有人996uuu数据中心安数据中心整体安安防主要思u震u延u检案例分析–各大数据中心架构师岗面试面试题uu题眼：物理的控制和检u加分项：能结合实际案例，讲述开发测试中心和生产中心的面试题uuu加分项：了解权责分离、岗位轮换、强制休假等人员安全； QQu故事：一下贵公司的数据中心的物理安全情况？有什课程小结与作数据安本章概uWhatuWhy：除首恶（OWASP十大恶人之首）uHow数据安全–三大元素数据高可 容可用数字签 完整

安全级别分数数据安全分–门个人隐私–刹帝内部敏感–吠舍对外公开–首陀数据控u数据金字塔：CIO、CISO、CPOuDLP数据保护：清点、归档 u数据原则：责任分层、最数据加密（上）-对称加学学那点u扰乱u扩散：一u初始向量：掷替换分DESDES加密ECB电本年轻分年轻CFB密文反年轻天天向 不OFB输出反耗子CTR计数AESAES更难数据加密（下）-Diffie-man算 == ECCECC对对称-非对对称加密的差非对称加密加密完整验存储加通信加密名不可数字签名和验HMACHMAC–对称密钥消RSA+MACRSA+MAC–非对称密钥签名消加密RSA+MACRSA+MAC–非对称密钥验加密消消PKI公钥基础架驾照那点

驾照

吊销CRLApacheApacheTomcatTomcat驾照那点 CA主链状：公签加密和数据保护的思加密决策是否可散 完整性 对称加

小文件自己人

数字签 非对称加 对称加云平台信封加密案例实战–JWTtoken数字数据逻辑保逻辑保护技备 快 CDP连续数据保快Local快Local备份和恢备份策全量备备份策增量备备份策差量备数据高可数据库数据库OSOSSANSAN层层RPOvs数据容灾级 恢复时间目DRP规划

11风险分2345管理流系统建设应用级容系统建设T18管案例实战–容灾规划和切换

资源匹

系统数网络环基础环

特征分运维管少小离家回->常回家看AA CAB离

ABC回 A BC离

CAB离 ABC回 CBA离A

不停一键离 容灾演u纸上谈兵：核查性测试（看文档）、结构化的排练（读文档u大事化小：模拟测试（非生产）、并试（生产u搞大了：全中断测试（切换和回切架构师岗面试面试题u题目：如何实现不同数据生命周期