职业道德,至少1道题
以下内容记住、顺序、理解
兼修技术与管理,CISSP帮你成为一名名副其实、可信赖的“安全专家”
职业道德,至少1道题
以下内容记住、顺序、理解
s
变更管理
数据分类:
分类步骤:
安全角色和责任
控制架构COBIT
应尽关注Due Care (管理层)
应尽职责Due Diligence(落地)
机密性
完整性
可用性
IAAAA
不可否认行
norepudiation
数据所有者:数据最终负责人
系统所有者:拥有含机密数据的系统的人
业务/任务所有者:项目经理或者信息系统所有者
数据处理者:是用来加工数据的任意系统(包含法人,自然人)
变更管理---正常变更/紧急变更/标准变更
两个原则:
变更和配置的关系:所有的变更是针对配置项的变更
CMDB:配置管理数据库,用于记录所有配置项的变更信息
变更要包含正式的测试过程,所有的变更都要可撤销
数据分配是为了通过成本效益的方式对数据提供保护,是根据数据的秘密性,敏感性和机密性来保护数据的主要方式
高级管理层必须对所有策略问题签字
数据所有者对所属的数据有管理权和负责
管理和减少安全风险:机密性/完整性/可用性
机密性:避免未授权泄漏
机密性--对立面--泄露
机密性的被破坏:受到未经授权的访问/泄露
机密性的保护措施:加密禁止数据,加密传输,访问控制
加密属于预防性控制措施,属于事前措施。
完整性:未经授权的主题不允许修改
完整性--对立面--修改/篡改
散列验证(哈希验证)--md5验证
CRC:传输循环冗余校验
可用性:经过授权的主体呗及时准许和不间断的访问客体
CIA,机密性、完整性、可用性。
IAAAA,识别、认证、授权、审计、 可问责(不可抵赖)、不可否认。
系统操作日志的重要性。日志非常重要。
安全培训的先决条件是意识
必须让员工知道违反信息安全的后果是什么
1、物理安全:阻拦。拒绝 检测 延缓
2、
1、CBC初始向量 确保完整性 CFB初始向量异常重要 加密效率低
2、计数器模式,
3、RSA 与ECC的比较。ECC更快。消耗资源少
4、IPsec 链路加密,
1、应用白名单
2、BYOD 签署AuP 和数据所有权
1、SAML 网络认证标准。基于web的单点登录解决方案
2、
1、可信平台,对主板上加密处理芯片的描述 TPM芯片。用于存储和管理加密密钥。
2、
1、橘
1、擦除(Erasing),删除
2、消除,clean 复写
3、清除,Purging,介质清除工具
4、净化,Sanitization,物理损坏,介质清除工具
5、消磁
6、销毁,物理销毁
7、公有云,加密
8、
将基于风险的管理概念运用到供应链
1、变更,审批,分级分类分层
2、紧急变更,必须得到授权,在测试环境测试完成后上生产,尤其是打补丁
3、标准变更,高频率,预授权,低风险
4、原则,a、未经授权的变更零容忍。b、没有回退方案的变更是不允许通过的
5、配置,所有的变更是针对于配置项的变更
6、cmdb,配置管理服务器
7、数据分类,按照成本效益方式对数据进行合理的保护
8、数据分类,商业分类/政府分类
9、
1、加密是一种预防性控制措施
2、机密性是防止数据未经授权的泄漏
3、完整性,没有被未经授权的篡改
4、可用性建立在完整性之上
5、银行的完整性最重要
6、磁盘阵列
7、故障切换配置,cluster,
8、最不安全的就是账号密码验证
9、