早年刚参加信息安全工作更多的学点皮毛技术,到处找安全工具,跟踪poc,拿到一个就全网扫一遍,从来没有想过,系统化的安全工作应该怎样搞?我做的工作在安全体系中处于哪个阶段?
后来有机会做企业安全建设,才发现整体的安全观,安全体系建设知识针对是少之又少,总在头疼医头,脚痛医脚,没有办法帮助服务的公司,做整体的、全面的提升。
最近因为杨过,才来思考怎样帮助我们公司全面提升安全防御能力,查找了大量的信息安全资料,发现非常不系统,没有全面的介绍材料,最后请教朋友,给我发了一份材料 信息安全国家标准列表思维导图
如下图所示
我觉得这是我正在寻找的,是每个信息安全从业人员都应该看看的,这是一份被我们忽略的宝藏。
我写一下我的读后感,主要从信息安全国家标准非常重要、我们国家都有哪些信息安全标准、哪里可以订阅到信息安全国家标准
中华人民共和国国家标准,简称国家标准,是包括语编码系统的国家标准码,由在国际标准化组织(ISO)和国际电工委员会(或称国际电工协会,IEC)代表中华人民共和国的会员机构:国家标准化管理委员会发布。在1994年及之前发布的标准,以2位数字代表年份。由1995年开始发布的标准,标准编号后的年份,才改以4个数字代表。
国家标准化管理委员会发布 是咱们国家的标准管理机构,其下设置了很多技术委员会,每个行业基本上都有专门的技术委员会负责本行业标准的编写。
咱们国家的信息安全行业是由国家标准化管理委员会筹建的全国信息安全标准化技术委员会编号TC260 负责编写。
标准是一个行业的统一规范,是实践参考标准。同样,信息安全标准是信息安全专家智慧的结晶,是安全最佳实践的概括总结,是非常好的入门/参考手册,是信息安全建设的理论基础和行动指南。
咱们国家是由全国信息安全标准化技术委员会编号TC260 ,这个机构由包括秘书长和联系人在内的100位信息安全行业专家组成(队伍非常的大),大部分专家都是各方向的领军人物。
标准的编写除TC260委员专家外,每个标准还会公开邀请相关行业专家参与编写,大部分都是各大安全公司的专家,基本都是业内人士。
行业专家编写的标准,编写组委会都是经过多次修改,最终形成征求意见稿,然后面向社会发布征求意见稿,积极听取任何人对新标准的建议,然后进行修改,最终形成终稿,送审。
那么我们国家都有哪些信息安全标准,从信息安全国家标准列表思维导图上看,咱们国家每个安全方向都有相关的国家标准,主要包括 术语/导则 、关键信息基础设施、等级保护、风险评估、应急响应、业务连续性 灾难恢复、系统安全工程、电子政务、风险管理、信息安全管理体系、安全保障评估、应用系统安全、数据中心、可信计算、IT服务 安全服务 运维、信息技术安全性评估、 漏洞管理、渗透测试 、云计算安全、数据安全、工业控制安全、物联网安全、车联网安全、智慧城市安全、移动安全、个人信息安全、商用密码等方向
其实很难找到比较全的信息安全标准,这也是为什么大部分从业人员不太了解我国的标准主要原因,目前找到比较好的是这份信息安全标准列表,是比较全的,而且作者还在不断的更新和维护。
好了今天就写道这里,总结一下:
信息安全行业从业人员要重视国家发布的相关标准
一份比较便于查找的和检索的信息安全标准列表http://ab.github5.com大家可以从这个网站上查看
大约一年前,我决定确保每个包含非唯一文本的Flash通知都将从模块中的方法中获取文本。我这样做的最初原因是为了避免一遍又一遍地输入相同的字符串。如果我想更改措辞,我可以在一个地方轻松完成,而且一遍又一遍地重复同一件事而出现拼写错误的可能性也会降低。我最终得到的是这样的:moduleMessagesdefformat_error_messages(errors)errors.map{|attribute,message|"Error:#{attribute.to_s.titleize}#{message}."}enddeferror_message_could_not_find(obje
我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i
我正在编写一个小脚本来定位aws存储桶中的特定文件,并创建一个临时验证的url以发送给同事。(理想情况下,这将创建类似于在控制台上右键单击存储桶中的文件并复制链接地址的结果)。我研究过回形针,它似乎不符合这个标准,但我可能只是不知道它的全部功能。我尝试了以下方法:defauthenticated_url(file_name,bucket)AWS::S3::S3Object.url_for(file_name,bucket,:secure=>true,:expires=>20*60)end产生这种类型的结果:...-1.amazonaws.com/file_path/file.zip.A
在Ruby中是否有Gem或安全删除文件的方法?我想避免系统上可能不存在的外部程序。“安全删除”指的是覆盖文件内容。 最佳答案 如果您使用的是*nix,一个很好的方法是使用exec/open3/open4调用shred:`shred-fxuz#{filename}`http://www.gnu.org/s/coreutils/manual/html_node/shred-invocation.html检查这个类似的帖子:Writingafileshredderinpythonorruby?
我想使用spawn(针对多个并发子进程)在Ruby中执行一个外部进程,并将标准输出或标准错误收集到一个字符串中,其方式类似于使用Python的子进程Popen.communicate()可以完成的操作。我尝试将:out/:err重定向到一个新的StringIO对象,但这会生成一个ArgumentError,并且临时重新定义$stdxxx会混淆子进程的输出。 最佳答案 如果你不喜欢popen,这是我的方法:r,w=IO.pipepid=Process.spawn(command,:out=>w,:err=>[:child,:out])
我正在尝试找到一种方法来规范化字符串以将其作为文件名传递。到目前为止我有这个:my_string.mb_chars.normalize(:kd).gsub(/[^\x00-\x7F]/n,'').downcase.gsub(/[^a-z]/,'_')但第一个问题:-字符。我猜这个方法还有更多问题。我不控制名称,名称字符串可以有重音符、空格和特殊字符。我想删除所有这些,用相应的字母('é'=>'e')替换重音符号,并将其余的替换为'_'字符。名字是这样的:“Prélèvements-常规”“健康证”...我希望它们像一个没有空格/特殊字符的文件名:“prelevements_routin
在应用开发中,有时候我们需要获取系统的设备信息,用于数据上报和行为分析。那在鸿蒙系统中,我们应该怎么去获取设备的系统信息呢,比如说获取手机的系统版本号、手机的制造商、手机型号等数据。1、获取方式这里分为两种情况,一种是设备信息的获取,一种是系统信息的获取。1.1、获取设备信息获取设备信息,鸿蒙的SDK包为我们提供了DeviceInfo类,通过该类的一些静态方法,可以获取设备信息,DeviceInfo类的包路径为:ohos.system.DeviceInfo.具体的方法如下:ModifierandTypeMethodDescriptionstatic StringgetAbiList()Obt
我正在使用ruby2.1.0我有一个json文件。例如:test.json{"item":[{"apple":1},{"banana":2}]}用YAML.load加载这个文件安全吗?YAML.load(File.read('test.json'))我正在尝试加载一个json或yaml格式的文件。 最佳答案 YAML可以加载JSONYAML.load('{"something":"test","other":4}')=>{"something"=>"test","other"=>4}JSON将无法加载YAML。JSON.load("
您认为可以作为插件很好地存在于您的Rails应用程序中必须实现的哪些行为?您过去曾搜索过哪些插件功能但找不到?哪些现有的Rails插件可以改进或扩展,如何改进或扩展? 最佳答案 我希望在管理界面中看到一个引擎插件,它提供了应用程序中所有模型的仪表板摘要,以及可配置的事件图表。 关于ruby-on-rails-您希望看到哪些Rails插件?,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.com/questio
我遇到了这个奇怪的错误.../Users/gideon/Documents/ca_ruby/rubytactoe/lib/player.rb:13:in`gets':Isadirectory-spec(Errno::EISDIR)player_spec.rb:require_relative'../spec_helper'#theuniverseisvastandinfinite...itcontainsagame....butnoplayersdescribe"tictactoegame"docontext"theplayerclass"doit"musthaveahumanplay
