15年网络和信息安全领域从业经验,具有较强的网络安全管理、建设和维护、管理咨询和技术评估实战项目经验,曾就职于联通、绿盟,以及自主创业。现主要担任CISSP(国际注册信息系统安全专家认证)、CISP(国家注册信息安全人员认证)、信息安全管理、渗透测试、等级保护、网络安全防护体系等
内容概述:云安全运行。本模块涵盖评估、选择和管理云计算提供商时的关键注意事项。我们还会讨论服务提供商的安全角色以及对云应急响应的影响。
内容概述:保护云应用和用户。该模块涵盖了云部署的身份管理和应用程序安全。主题包括结成同盟身份和不同的IAM应用程序、安全开发以及管理云中的应用程序安全。
内容概述:云计算中的数据安全。云安全中最大的问题之一是数据保护。该模块涵盖了云的信息生命周期管理以及如何应用安全控制,重点关注公共云。主题包括数据安全生命周期、云存储模型、不同交付模型的数据安全问题以及管理云中的加密,包括客户托管的密码(BYOK)。
内容概述:管理云计算安全性和风险。本模块涵盖了管理云计算安全的重要注意事项。它从风险评估和管理开始,然后涵盖法律和合规问题,例如云中的发现需求。它也涵盖了重要的CSA风险工具,包括CAIQ,CCM和STAR注册表。
内容概述:云计算基础设施安全。本模块深入探讨保护云计算核心基础架构的细节,包括云组件、网络、管理接口和管理员证书。它深入研究了虚拟网络和工作负载安全,包括容器和无服务器的基础知识。
内容概述:本单元涵盖了云计算的基础知识,包括定义、构架和虚拟化的角色。主要议题包括云计算服务模型,部署模型和基本特征。它还介绍了共享责任模型和接近云安全的框架。
资产安全知识域涵盖信息和信息资产在其生命周期中的安全保护,包括恰当的收集、分类、处置以及控制措施的选择和使用。本知识域的重要概念包括数据的所有权、隐私、数据安全控制和相关密码学的应用。安全和风险管理知识域包含了许多基本的信息安全概念、原则以及信息安全管理相关活动和方法。
安全和风险管理知识域包含了许多基本的信息安全概念、原则以及信息安全管理相关活动和方法。该知识域涵盖了在企业信息安全中相关的基本概念和原则,包括:机密性、完整性和可用性等;还涵盖了信息安全治理的主要概念和方法,包括安全治理的概念、企业中安全相关的组织角色和责任、安全管理计划编制以及安全策略结构;信息安全专业人员需要参与到相关的安全管理活动中,主要包括制定和实施相关的策略来支持风险管理活动,最终符合法律、法规等要求,以及在出现不可预见的灾难情况下确保企业业务的连续运营。
网络安全涉及的范围非常的广泛,涉及了IT领域中操作系统、网络、数据库、应用、开发等众多方面,因此在学习网络安全技术知识前,就需要我们掌握一定的基础IT技术知识。但掌握多少、掌握多深,成为了很多同学的难点。前面我们给大家对Linux、网络基础技术进行了介绍,接下来是数据库基础技术。
网络安全涉及的范围非常的广泛,涉及了IT领域中操作系统、网络、数据库、应用、开发等众多方面,因此在学习网络安全技术知识前,就需要我们掌握一定的基础IT技术知识。但掌握多少、掌握多深,成为了很多同学的难点。前面我们给大家对Linux基础技术进行了介绍,接下来是网络基础技术。
网络安全涉及的范围非常的广泛,涉及了IT领域中操作系统、网络、数据库、应用、开发等众多方面,因此在学习网络安全技术知识前,就需要我们掌握一定的基础IT技术知识。但掌握多少、掌握多深,成为了很多同学的难点。接下来将由唐老师给大家进行相关的介绍,首先是Linux基础技术。
基于SonarQube的自动化代码缺陷检测:WebGoat实战(一) 前面已经利用开源软件搭建,在阿里云环境下搭建一套基于SonarQube的自动化安全代码检测平台,具体可参见:http://www.freebuf.com/articles/security-management/160897.html 接下来,我们可以利用该平台对WebGoat源码进行分析。
本文目的主要是提供一种思路和方法,让软件开发者像测试软件功能一样,测试软件安全缺陷,并且能够融入到整个的软件开发过程中。
信息安全的主要目标是保护系统和应用程序的基本数据。随着企业向云计算过渡,传统的数据安全方法受到基于云架构的挑战。弹性、多租户、新的物理和逻辑架构和被分离的控制,需要新的数据安全策略。在众多云部署中,用户甚至将数据转移到外部环境甚至公共环境中,这是几年前不可想象的。
当组织将其业务从传统数据中心迁移至云计算数据中心之时就将面临新的安全挑战。其中最大的挑战之一即遵从众多监管条例对交付、度量和通信的合规约束。
本域着重介绍由云计算所引起的一些法律方面的问题,提供了法律要求方面的一般性背景,包括将数据迁移到云上可能引发法律问题、在云服务协议中要考虑的一些问题,以及在诉讼体系内电子举证所要求的特殊问题。
治理与企业风险管理都是被广泛涉及的主题。本指南集中讨论它们在云计算环境下的不同之处。而不是也不应被看做是与云计算无关的环境下的应用探讨。
本域为云计算安全指南的其它所有部分介绍一个概念性的框架。它描述和定义了云计算,设置了我们的基本术语,并详细描述了文档其余部分中使用的总体逻辑和架构框架。
今天开始深入学习和理解CSA云安全指南,第一天先把大概架构了解一遍,做了一张思维图: