安全责任与意识
- ★★☆☆☆ 安全心智的目标是什么?
提示:避免低级问题、避免问题重复出现、纠正错误观念(理解自己的责任和义务)、了解安全团队工作,打造团队形象等。
- ★★☆☆☆ 如何系统性提升员工安全意识?
- ★★☆☆☆ 如何做到针对性的安全意识提升?
- ★★★★☆ 如何衡量员工安全意识?
- ★★★★☆ 什么是安全责任制?如何落地安全责任制?
数据采集使用
- ★★☆☆☆ 数字水印的类型和应用领域?
- ★★★☆☆ 隐藏水印有哪些实现方式?
- ★★★★☆ 如何对无显著特征的数据进行分类分级?
- ★★★★☆ 如何避免员工因非工作需要查询用户数据?
- ★★★★☆ 如何避免未经用户授权收集用户数据?
- ★★★★☆ 如何避免用户数据被超范围使用?
- ★★★☆☆ 何时应该进行用户数据销毁?
- ★★★☆☆ 更换机房时如何清除原机房机器数据?
- ★★★★☆ 如何让每一次后台查询数据都得到用户授权?or 如何收敛管理后台可查询任意敏感信息功能?
- ★★★☆☆ 如何在不拿到明文数据的前提下,还能通过数据进行一些计算行为?如何实现合作伙伴原始数据不共享但能达成业务诉求?
权限
- ★★☆☆☆ DAC(Discretionary Access Control)自主访问控制 和 MAC(Mandatory Access Control)强制访问控制 优劣势?
- ★★★☆☆ ABAC(Attribute Base Access Control)基于属性的权限控制 的特点?
提示:ABAC:集中化管理;可以按需实现不同颗粒度的权限控制;不需要预定义判断逻辑,减轻了权限系统的维护成本,特别是在需求经常变化的系统中;定义权限时,不能直观看出用户和对象间的关系;规则如果稍微复杂一点,或者设计混乱,会给管理者维护和追查带来麻烦;权限判断需要实时执行,规则过多会导致性能问题;
- ★★★☆☆ 为什么ABAC没有RBAC(Role Base Access Control)基于角色的权限控制流行?
- ★★★☆☆ 如何避免审批工单无脑通过?
- ★★★☆☆ 高危害影响权限如何避免滥用?
- ★★★☆☆ 如何技术手段规避未进行权限检查?
- ★★★☆☆ 大数据平台的权限管控体系中最重要的是什么?
密码学-加解密相关
- ★☆☆☆☆ 常见加解密分类和算法有哪些?
| 类型 | 国际算法 | 国密算法 |
| 对称算法 | AES、DES | SM4 |
| 非对称算法 | RSA、ECDSA、ECDH | SM2 |
| 消息摘要算法 | SHA256、MD5 | SM3 |
| 传输层安全协议 | TLS、SSL | TLS1.3+国密单证书 |
| 国密证书 | sha*WithRsaEncryption | SM2-with-SM3 |
- ★★☆☆☆ 哪些Hash和加密算法不建议使用?
提示:不安全:DES、RC4、MD5。不够安全:3DES。另外AES、RSA秘钥长度对安全性影响也较大。
- ★★★☆☆ 对称加密和非对称加密的区别及优缺点
提示:加密速度、密钥传输保存、被加密的数据长度等角度展开
- ★★★★☆ 硬编码秘钥如何解决?
- ★★☆☆☆ PKI原理
- ★★☆☆☆ 国密的底层原理?
- ★★☆☆☆ 密码如何保存在数据库?
- ★★★☆☆ 如何让密码轮转?
- ★★☆☆☆ 内网传输是否需要加密?为什么?
- ★★☆☆☆ 可以在哪些层次对文件进行加密?
- ★★☆☆☆ 如何技术手段实现全站HTTPS
数据安全综合
- ★★★★☆ 数据安全治理可以用什么思路做?
