渗透测试Penetration Testing,结果交给管理层的报告(必须含建议点),高级管理层充分授权。
规划阶段--收集和发现阶段--攻击阶段--报告阶段
红队,攻击者。蓝队,防御者。白队,观察员和裁判。紫队,分享战术和经验教训的信息。
CISSP国际信息系统安全专家认证培训课程
兼修技术与管理,CISSP帮你成为一名名副其实、可信赖的“安全专家”
价格
¥ 5000.00
学习有效期
360 天(随到随学)
音频听课
手机端支持一键听课
(试一试)
该课程属于 CISSP信息系统安全专业 认证备考班
请加入后再学习
SSAE 18 提供一项通用标准,审计员使用该标准对服务组织进行评估
SOC 服务组织控制。SOC2,安全性、保密性、完整性、可用性、隐私。审计结果是保密的。
非对称密钥提供完整性、身份认证、不可否认性、机密性。
量子力学非常奇怪,但会导致共享密钥的无条件安全。
数字签名3大特点:完整性、身份认证、不可否认性。
Iaas 基础架构即服务,操作系统以上用户负责
Pass 平台即服务,应用和数据用户负责
Saas 软件即服务--用户数据
CPU引起的
终止流程:账号删除,权限撤销,资产归还。
政策:1. 所有的政策高级管理层意图2. 都需要他们批准3. 带有强制性,需要全员遵守。
流程问题管理,做根本原因分析,防止类似问题再次发生。
GDPR通用数据保护条例 ,通知泄露主体72小时内
General, Data, Protection,Regulation
安全责任不能转移
SOC1:财务相关
SOC2:AICPA 隐私、安全、可用性、完整性、机密性。监管机构和客户
SOC3:面向公众的,删除敏感信息。
SOC报告类型:Type 1 时间点,Type 2 时间段,不少于6个月,控制测试。
可用性=可访问性
BCP:Business continuity planning当有冲突时,以NIST为准。
NIST SP-800
BIA,一个是等级划分标准,一个是等级分析
BIA分析的结果是制定恢复战略的依据
BCP即预案
预案非常的关键和重要,
认知和培训
维护及演练测试
数据泄露法,72小时通知可能手泄露影响的主体。安全责任是不能被委托的,不能转移,不能外包的。
企业最重要的是业务,治理是为业务服务。
组织过程:收购资产也是收购了它的风险。剥离:如资产出售要把信息清除等;治理委员会:
ISO、NIST、COBIT、Sherwood、PCI、FedRAMP
内部治理:政策(策略)
外部治理:法律法规和行业标准,外部是强制性的,是第一位的。
治理有两个目标,一个是绩效,一个是合规,绩效和合规是相辅相成的。安全管理计划(Program)。安全管理是上层管理人员的责任,不是IT人员的责任。
战略:3-5年,战术:1年;操作计划是短期的。
资产剥离要对资产进行净化(sanitized)以防止数据泄露。应移除(removed)和销毁(destroyed)存储介质。
删除、格式化、复写(over writing)、清除purge(采用专门的工具对电脑当中的数据进行清除,难以恢复;介质可二次利用);消磁,针对HDD硬盘。
安全治理委员会:高级管理层--对组织的维护安全负有最终责任;安全专业人员--执行高级管理层的指令,是实施者;资产所有者--负责对信息进行分类和保护的人员,通常是高级管理人员,最终负责资产保护。
托管人:为CIA Triad数据提供充分的保护;
用户:遵守所有的组织政策;
ISO 27000包含一系列国际标准,
NIST 800-53--NIST.org
NIST的答案为准。
COBIT为审核依据;鼓励将IT安全思路映射到业务目标。
管理分战略、战术和运营层面。CEGIT
ITIL是IT服务管理最佳实践的事实标准。
可用性=可访问性
维护可用性:冗余强调组件层级的冗余。如双电源等;容错(tolerance)强调系统层级的,目的是消除单点故障,如cluster等
CIA的对立面是DAD,Disclosure泄露,Alteration修改,Destruction破坏
认证:采用多因素认证
授权:最小权限,职责分离
身份认证和身份识别同时发生
审计Auditing:通过日志进行追溯,主体所有动作是否合法,日志文件最重要,日志完整性很重要。企业通常会有独立的中央日志服务器。重要日志存储在一次性介质。
职业道德,至少1道题
以下内容记住、顺序、理解
s
变更管理
数据分类:
- Public
- Internal
- Confidential
- Restriced Use
分类步骤:
- 确定管理人员井定义他们的职责
- 指定如何对信息进行分类和标记的评估标准。
- 为每个资源进行分类和添加标签(所有者主导这个步骤,但是必须有监督人员进行检查)。
- 記录发现的的分类策略的所有例外,井且将这些例外集成到评估标准中
- 选择应用于每个公类级别的安全控制,从而提供必要的保护级别。
- 指定解除资源分类的过程以及将资源的保管权转移给外部实体的过程。
- 创建一份整个组织范围内都知晓的计划,从而指导所有人员对分类系统的使用。
安全角色和责任
- 高级管理者
- 安全专家
- 数据所有者
- 数据管理员
- 用户
- 审计人员
控制架构COBIT
应尽关注Due Care (管理层)
- 安全政策
- 标准
- 基线
- 指导方针和程序
应尽职责Due Diligence(落地)
机密性
完整性
可用性
IAAAA
- Identification
- Authentication
- Autoriaztion
- Auditing
- Accounting
不可否认行
norepudiation
数据所有者:数据最终负责人
系统所有者:拥有含机密数据的系统的人
业务/任务所有者:项目经理或者信息系统所有者
数据处理者:是用来加工数据的任意系统(包含法人,自然人)
