1. 术语

网络安全

保护组织资产免受威胁并保护其机密性、完整性和可用性，即 CIA 三元组

安全目标

保护对组织有价值的目标

资产分类

• 信息资产：数据库、文件、知识产权
• 硬件资产：服务器、网络设备、终端设备
• 软件资产：操作系统、应用程序、中间件
• 人员资产：员工、合作伙伴、用户

漏洞缺陷

• 零日漏洞：尚未公开或未被厂商修复的漏洞
• 未修复漏洞：已知但未及时打补丁的漏洞
• 配置缺陷：错误配置或默认配置带来的风险

安全防护

• 防火墙：网络边界防护
• IDS/IPS：入侵检测与防御系统
• 端点防护：EDR、防病毒软件
• 加密：数据传输加密（TLS）、存储加密（AES）

2. 框架

NIST CSF 安全框架 v2.0

• 核心层：管理、识别、保护、检测、响应、恢复
• 实施层：资产管理、风险评估、改进
• 配置文件：根据组织风险偏好定制安全目标

ICE/ISO 27000

• ISO 27001：信息安全管理体系（ISMS）要求
• ISO 27002：信息安全控制实践指南

SOC 报告

国际注册会计师协会 AICPA 创建 SOC：

• SOC1：财务报告内部控制
• SOC2：安全性、可用性、完整性、机密性、隐私
• SOC3：公开可用的 SOC2 摘要报告

安全治理

• 安全管理的管理：策略、组织、监督

• 合规性要求

  • PCI DSS（信用卡行业）：支付卡行业数据安全标准
  • HIPAA（医疗保健行业）：健康保险可携性和责任法案

GDPR

欧盟数据保护法，涉及个人数据处理与隐私权

3. 安全控制

管理控制

• 策略：安全策略、可接受使用策略
• 流程：变更管理、事件响应流程
• 培训：安全意识培训、角色专项培训

技术控制

• 访问控制：身份认证、权限管理、多因素认证
• 审计：日志记录、审计追踪、SIEM
• 加密：静态加密、传输加密、密钥管理

物理控制

• 门禁：刷卡、生物识别、访客登记
• 监控：摄像头、入侵检测传感器
• 环境控制：温湿度、UPS、消防系统

4. 网络安全角色和职业

• CISO（首席信息安全官）：安全战略、治理与合规
• 安全分析师：安全事件监控、分析与响应
• 渗透测试员：模拟攻击发现漏洞
• SOC 分析师：安全运营中心日常监控与响应
• 安全架构师：设计安全系统与网络架构
• 安全工程师：部署与维护安全工具
• 合规与审计员：确保满足法规与标准

5. 威胁类型

• 恶意软件：病毒、蠕虫、勒索软件、特洛伊木马
• 钓鱼：社交工程、鱼叉式钓鱼、克隆网站
• DDoS（分布式拒绝服务）：流量攻击、应用层攻击
• 内部威胁：恶意员工、疏忽员工、被利用的账户
• APT（高级持续性威胁）：国家级攻击、长期潜伏、定向攻击

6. 安全评估方法

• 渗透测试：模拟攻击者，发现可利用漏洞
• 漏洞扫描：自动化扫描已知漏洞清单
• 安全审计：检查策略、配置、流程的合规性
• 红蓝对抗：红队攻击、蓝队防御，实战演练