尽管纵深防御是一个强有力的安全原则，但它不是 "隐私设计" 的组成部分。以下是隐设计模型的七个原则：1. 主动而非被动；预防而非补救 2. 隐私默认 3. 隐私嵌入设计 4. 完全功能 -- 正和而非零和 5. 端到端生命周期保护 6. 可见性和透明性 7. 尊重用户隐私。

AES（Advanced Encryption Standard，高级加密标准）是一种广泛使用的对称加密算法，被全球认可为替代 DES 的新一代加密标准，主要用于数据的加密和解密。

核心特点

• 对称加密：加密和解密使用同一把密钥，密钥长度可选择 128 位、192 位或 256 位（位数越长，加密强度越高，目前 256 位是主流安全选择）。
• 高效性：算法设计简洁，在硬件和软件环境中都能快速运行，适合处理大量数据（如文件加密、网络传输加密等）。
• 安全性：至今未被发现有效的攻击方法，能有效抵御暴力破解等常见攻击，是目前最安全的加密算法之一。

应用场景

• 网络通信：TLS/SSL 协议中常用 AES 加密传输数据（如 HTTPS 连接）。
• 数据存储：用于加密本地文件、数据库内容、移动设备数据等。
• 身份认证：在部分身份验证流程中保护敏感信息。

AES 因其安全性高、效率好，成为全球广泛采用的加密标准，覆盖了从个人设备到企业级系统的多种安全需求。

 

• （永久许可证）：主要聚焦软件 “永久使用权限”，不侧重定制化使用条款和谈判折扣，不符合题意。
• （订阅许可证）：核心是 “按周期付费使用” 模式，和定制条款、谈判折扣关联弱，不匹配。
• （企业许可证协议）：常用于企业采购场景，支持根据企业需求定制使用条款（如功能权限、部署规则），也可通过谈判确定折扣价格（如按企业规模、用户数量议价 ），与题目中 “定制使用条款 + 谈判折扣” 的需求完全契合。
• （最终用户许可证协议）：是面向普通用户的 “标准化协议”，条款固定、难定制，无法承载题目里的谈判内容，排除。

美国个人身份信息，大多数州的数据泄露通知法都以加利福尼亚州的数据泄露通知法为模型，涵盖了社会保障号码、驾驶执照号码、身份证号码、信用 / 借记卡号码和银行账户号码（结合 PIN 或密码）。这些法律与隐私法律不同，例如《加利福尼亚消费者隐私法案》（CCPA），该法案更广泛地规范了个人信息的处理。 
 

【美国各种法律、规定、标准】

《格拉姆 - 里奇 - 布莱利法案》(GLBA) 包含规范客户财务信息隐私的条款。它专门适用于金融机构。萨班斯 - 奥克斯利法案 (SOX) 则规范公开交易公司的财务报告活动。
《健康保险可携性和责任法案》(HIPAA) 规范受保护的健康信息 (PHI) 的处理。HIPAA 规范了三类实体 -- 医疗服务提供者、健康信息交换中心和健康保险计划 -- 以及任何这些覆盖实体的业务合作伙伴。
《家庭教育权利和隐私法案》(FERPA) 则规范学生教育记录的处理。
《经济间谍美法》对被发现盗取美国公司商业秘密的任何人处以罚款和监禁，它为商业秘密所有者的知识产权提供了真正的保护。
《格拉斯 - 斯蒂格尔法案》是一部银行改革法案。
《兰哈姆法案》适用于商标保护案件。
《PCI DSS》 是由支付卡行业安全标准委员会
(PCISSC) 发布的标准，但通过商家与其银行之间的合同关系强制执行。因此，银行将是根据 PCIDSS 启动调查的适当实体。如果情况需要，地方和联邦执法机构 (如 FBI) 可能会决定进行刑事调查，但它们无权强制执行 PCIDSS 要求。
《儿童在线隐私保护法案》(COPPA)  要求网站在收集 13 岁以下儿童的个人信息之前获得父母的提前同意。
《联邦道德规范》 (或更正式地称为《政府服务道德规范》) 不适用于非营利组织，因为它仅适
用于联邦员工。
RFC 1087 确实为互联网提供了道德规范，但它对任何个人都没有约束力。

美国出口管制，美国出口管制法律规定了对某些国家出口加密软件的限
制。内存芯片、办公生产力应用程序和硬盘驱动器不太可能受到这些法规的约束，除非它们包含专门用于加密的硬件。

签署竞业禁止协议 (NCAA) 或保密协议 (NDA) 通常在雇用时进行。离职面谈、回收组织财产和账户终止是离职过程中的常见元素。在离职面谈期间，团队可以选择审查仍然有效的雇佣协议和政策，例如竟业禁止协议或保密协议。

安全冠军（Security champion）是指企业或组织中，由对安全感兴趣的非安全部门员工担任的角色，也被称为 “安全卫士”。他们主要负责促进开发和安全团队之间的合作，传播安全意识，推动组织内的安全工作。例如 MongoDB 公司的安全冠军计划，招募了来自不同部门的员工作为安全冠军，让他们参与安全相关活动，影响未来的安全路线图，帮助安全团队确定工作优先级，在组织中扩大安全团队的影响力，营造积极的安全文化。

业务连续性计划项目范围和规划阶段包括四项行动：组织的结构化分析、创建 BCP 团队、评估可用资源以及分析法律和监管环境。

1.能力表

1、biba完整性模型

2、EAL1评估保证水平

3、强制访问控制系统

清理指就是重写介质，在介质全部写上未分类的数据；

删除是删除文件或介质

14、客户可见是公共的；内部业务数据 敏感的；商业秘密是专有。

38、企业秘密分级分类：

62、美国企业分类低-高   机密 秘密 绝密。

64、linux系统中使用bcrypt来加密，bcrypt基于什么加密方案：Blowfish。

67、清扫是用来解决  数据残留磁性

清扫 是从系统或介质中移除数据的一系列过程，从而确保数据无法通过任何手段恢复出来。

69、nist SP800-60

87、88、91

1、业务连续性文档通常宝库连续性计划目标、重要性说明、优先性声明、组织职责说明、紧急和时间表、风险评估、风险接受和环节文档、关键记录计划、紧急情况响应指南和用于维护和测试计划的文档。不包括账户说明。

2、NST风险管理框架--

3、萨班斯法案--管理上市公司公开的财务报告。

4、熟悉美国的地图--

5、组织实施关键记录管理计划：首先发现所有记录重要业务的文件。