帮人做网站要怎么赚钱如何宣传推广自己的产品
0x00 前言
已经知道要面临的所有的风险时,我们就需要去应对风险
0x01 应对风险
处置风险时可以采用四种基本方式:转移风险,规避风险,缓解或降低风险,接受风险。
1.转移风险
就是将风险转移给别人,比如给保险公司,或者担保公司
2.规避风险
在得知此产品可能存在风险,那么就不去使用,比如知道fastjson问题多,那我就用jackson。
3.缓解风险
将风险降低至业务运营可以接受的水平,比如必须要使用某些可能存在风险的东西,那么就只能使用IDS或者IPS或者其他防护产品来做外层防护。
- 控制选择
- 实现
- 持续检测
4.接受风险
当解决安全问题会付出比业务更大的代价的时候,就会考虑接受此风险,比如一些http头配置,没有什么危害,但是如果要修复,得做很多适配,消耗资源。
接受风险的因素:
- 潜在损失是否低于安全对策的成本
- 组织是否能够接受这种风险所带来的痛苦
- 这种风险是否会导致出现更多的风险。
0x02 总体风险与残余风险的对比
组织实施安全对策的原因是为了将风险整体降低至可接受水平。不可能存在一个100%安全的系统。那么除开可控风险外,其余的就是残余风险。
1.总体风险
组织选择不实施任何类型的保护措施时面临的所有风险。
2.公式
威胁x漏洞x资产价值=总体风险
(威胁x漏洞x资产价值)x控制措施差距=残余风险
总体风险-安全对策=残余风险
0x03 安全对策选择与实施
安全对策可将特定的风险降至可接受的水平。
1.选择控制措施
ALE:成本/效益分析
实现保护措施前的ALE-实施保护后的ALE-每年的成本=对组织的价值
2.费用评审因素
- 产品成本
- 设计/规划成本
- 实施成本
- 环境整改成本
- 与其他安全对策的兼容性
- 维护要求
- 测试需求
- 维修、更换或更新成本
- 运营和支持成本
- 对业务生产效率的影响
- 服务订购费用
- 用于持续检测和响应警报的额外人力
0x04 控制措施类型
1.安全控制策略分类
安全控制策略分为:
- 行政性控制措施(软性控制措施)
- 安全文档
- 风险管理
- 人员安全和培训
- 技术性控制措施(逻辑性控制措施)
- 防火墙
- 入侵检测
- 加密技术
- 身份识别
- 身份验证
- 物理性控制措施
- 警卫
- 锁
- 围墙
2.不同的安全策略控制
- 预防性控制措施:避免意外事故发生
- 检测性控制措施:帮助识别意外活动和潜在入侵方
- 纠正性控制措施:意外事故发生后修正组件或系统
- 威慑性控制措施:威慑潜在的攻击方
- 恢复性控制措施:帮助环境恢复到正常操作状态
- 补偿性控制措施:提供可替代的控制措施方法
2.1 预防性控制措施
- 策略和工作程序
- 有效的招聘实践
- 聘用前的背调
- 受控的解聘流程
- 数据分类分级和标签
- 安全意识宣贯
2.2 预防性物理控制
- 工作证
- 警卫
- 围墙,锁
2.3 预防性技术控制措施
- 口令,生物识别和智能卡
- 加密技术、安全协议、回拨系统、数据局试图和受限用户界面
- 防恶意代码软件、访问控制列表、防火墙和入侵防护系统
2.4 评估安全控制措施时需要考虑的特性
| 特征 | 描述 |
|---|---|
| 模块化 | 在不影响其他安全机制的情况下从环境中安装或删除控件 |
| 提供统一的保护 | 对所有设计用于保护的机制,标准化方式应使用相同的安全等级 |
| 提供重写功能 | 必要情况下管理员可重写限制 |
| 默认为最小权限 | 安装之后的默认权限应为最低权限,并非每个人都拥有完全控制权限 |
| 控制措施及其保护的资产的独立性 | 特定的控制措施可以用于保护多个资产,特定的资产可由多个控制措施保护 |
| 灵活性和安全性 | 控制措施提供的安全性越多越好,功能应该具有灵活性,从而可提供不同的功能选择 |
| 易用性 | 控制措施不会不必要地干扰用户的工作 |
| 资产保护 | 需要重新设置安全对策,资产也仍然收到保护 |
| 易于升级 | 软件总是不断发展的,所以需要方便升级 |
| 审计功能 | 控制措施应该包含各种不同详细程度的审计功能机制 |
| 最小化对其他组件的依赖性 | 保护措施应该具有灵活性,不应该对自己的安装环境有严格的要求 |
| 应以可用和可理解的格式生成输出 | 控制措施应该以一种便于人们理解的格式呈现重要信息,并用于趋势分析 |
| 可测试 | 安全控制措施应该在不同环境、不同情况下测试 |
| 不引入其他危害 | 控制措施不应该提供任何隐蔽通道或后门 |
| 系统和用户性能 | 系统和用户的性能不应该收到控制措施带来的巨大影响 |
| 恰当的报警 | 控制措施应该设定一个阈值,确定什么时候警告相关人员发生了违反安全的行为,这种警告是可接受的 |
| 不影响资产 | 环境中的资产不应该受到控制措施的不利影响。 |
0x05 控制措施评估
控制措施评估是对一项或者多项控制措施的评价,确定其正确实施。按预期运行和产生预期结果的程度。
针对两个方面:确认和验证
确认是去确认是否实施了,验证是实施的对不对。
1.安全和隐私
安全控制措施是不能违反隐私政策和法规