潇峰的博客

在这一级，组织已经将软件管理和工程两方面的过程文档化、标准化，并综合成该组织的标准软件过程。所有项目都使用经批准、剪裁的标准软件过程来开发和维护软件，软件产品的生产在整个软件过程是可见的。

输出控制，比如：确保打印的报告送达正确的用户，并在发放敏感文件前签署收据。欲使证据可被法庭接收，证据必须是相关的、充分的、可靠的。当公司搬回原来的场所或搬进一个新场所，公司进入再造阶段，直到公司在它原来的主站点的新设施内恢复运作，公司才脱离紧急状态。9、clearing 擦除后的信息遇到键盘攻击，是不可恢复的， purging 清除后的信息在对实验室攻击是不可恢复。基础场所（cold site）：只提供基本的工作环境（布线、空调、架空的地板、吊顶），通常是建筑框架，没有其他内容。一旦发生欺诈，必有共谋。

管理评审是高级组织领导层的正式会议，定期发生，并将审计结果作为关键的输入。

​ 访问控制是一种安全手段，它控制用户和系统如何与其他系统和资源进行通信和交互。​ 主体可以是通过访问客体以完成某种任务的用户、程序或进程。​ 客体是包含被访问信息或者所需功能的被动实体。

无线通信技术：信号频率越高，信号运载的数据越多，传输距离越短。拒绝服务攻击（DoS），本质是对安全三元组中的可用性进行破坏，导致服务或资源性能降低，或使合。移动无线通信：1G(FDMA)、2G(TDMA)、3G(CDMA)、4G(OFDM)​ 通信是数据在系统之间的电子传输，协议是归档计算机在网络上如何通信的一组规则。​ 基带：使用整个通信通道进行传输，一次只允许传输一个信号。​ 光缆，传输速率高，信号传送更远，更安全，价格昂贵。​ 双绞线，便宜，容易使用，最不安全的网络互联线缆。

密码系统至少包含以下组件：软件、协议、算法、密钥。kerckhoffs原则：加密方法的强度源自算法的复杂程度、密码的机密度、密钥的长度、初始化向量以及他们如何在密码系统内协同工作。密码系统的服务机密性：除了授权实体之外，其他实体无法理解提交的数据。完整性：数据从创建到传输、存储都不会被未授权更改。身份验证：对创建信息的用户或系统的身份进行验证授权：证明身份之后，向个体提供允许访问某些资源的密钥不可否认性：确保发送方无法否认发送过信息。

任何对组织有价值的东西都可成为资产，包括人员、合作伙伴、设备、设施、声誉和信息。

脆弱性（Vulnerability）：系统中允许威胁来破坏其安全性的缺陷威胁（Threat）：利用脆弱性而带来的任何潜在危险风险（Risk）：威胁源利用脆弱性的可能性以及相应的业务影响暴露（Exposure）：造成损失的实例控制（Control）或对策（countermeasure）：能够消除或降低潜在的风险各种安全组件之间的关系：正确使用了安全术语“漏洞”、“威胁”、“风险”和“对策”：可能存在威胁，但除非您的公司有相应的漏洞，否则公司不会暴露，也不是漏洞。