- 博客(5)
- 收藏
- 关注
RSS订阅原创 CISA注册信息系统审计师学习笔记:第五章——信息资产的保护
通常认为,恢复被AES加密的数据在计算机上是不可能的,因此AES是加密最敏感数据的最佳选择,AES是一种公共算法,支持大小介于128位到256位的密钥,它不仅可以提供良好的安全性,而且能保证各种计算机平台的运行效率和多功能行。接收者执行相同的流程,在使用自己的私钥将数据解密后,将收到的哈希值与使用收到的数据计算出的哈希值进行比较,如果哈希值相同,则结论是接收到的数据具有完整性,且来源通过验证。数字签名可以提供消息的完整性和不可否认性,但是,由于使用发送者的公钥进行数字签名解密的,机密性无法保证。
2024-06-03 01:06:14
796
原创 CISA注册信息系统审计师学习笔记:第四章——信息系统运维和业务恢复能力
任何存储设备都可以是让其他计算机感染恶意软件的载体。灾难恢复计划包括了一个离主数据中心足够远的支持在灾难发生时恢复的热站,热站的位置与主设备的距离应该大于500米,热站通常使用在低恢复时间目标(但是没有冗余站点快)的关键应用系统上,磁盘空间不充足非常危险。对于容许有较长恢复期的高回复时间目标的敏感系统在可接受的成本上可以通过人工方式执行恢复,对于这样的系统冷站(不提供组件)提供了成本效益最佳的解决方案。虽然一个暖站(可以进行简单操作)可以提供较好地解决方案,但它不是更适当的,因为与冷站相比更昂贵。热、冷、暖
2024-06-03 01:03:36
368
原创 CISA注册信息系统审计师学习笔记:第三章——信息系统采购、开发和实施
写程序来测试授权中的冲突是一个检测职责分离的可行的方案。双路市电是解决电力中断的预防措施。当传输数据时,将一个序列号及/或时间戳加入消息中来使其(该消息)变得具有唯一性,从而使得接受者能够确定消息在传输工程中没有被拦截和重放。这既是公认的重放预防(Replay Protection),可以用来确认一个支付指令不是被复制的。使用密码学的哈希算法来处理整个消息可以确保(传输过程中的)数据完整性。使用发送者的密钥来加密消息摘要,即对(收到的)消息时,这保证了该消息只能来自于对应的发送者。这个对发送者进行认证的过程
2024-06-03 01:01:11
723
原创 CISA注册信息系统审计师学习笔记:第二章——信息技术的治理和管理
RTO(恢复时间,比如业务处理连续性)是一个在业务连续管理过程中用于建立计划次序重要的参数,来自于业务影响性分析的结果,恢复目标时间用于决定最优恢复次序,一个较低信息保密级别系统可以拥有比较紧迫的恢复时间需求,当多个应用程序运行在同一个服务器上时,服务器的RTO必须采用最关键的应用程序所需的RTO而决定,即最短的RTO。实施风险管理,作为有效的信息安全治理成果之一,对需要保护的资产进行鉴定,接着需要对组织的威胁,脆弱性和风险状况有全面的了解。降低是一种提供对控制的定义和实施了解决所描述的风险的策略。
2024-06-03 00:57:15
677
原创 CISA注册信息系统审计师学习笔记:第一章——信息系统审计程序
持续性审计,主动发现风险,可以通过自动化报告流程向管理层提供信息,适合交易量庞大的零售企业。整合性测试(ITF)之所以被认为是一种有效的审计工具是因为它可以使用相同的程序来比较处理输出结果和独立计算出的数据,ITF通过在数据库中创建一个虚拟的实体,并通过数据的实时录入用来处理交易测试。它的优势在于周期性的测试不需要独立的测试过程。审计钩技术包括了为了检查特定的交易内嵌在应用程序中的代码,以帮助审计员在错误或违规失控之前采取行动。集成的测试工具在测试数据不现实的情况下使用。IT司法审计的目的在于收集证据。
2024-06-03 00:54:29
207
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人