CISSP
Heuristic_7
这个作者很懒,什么都没留下…
展开
-
D1-员工审查
在员工的整个雇佣期内,经理应定期审查或审核每位员工的工作描述、工作任务、特权和责任。工作任务和权限随时间推移而变化是很常见的。工作职责的转移或特权的蠕变也会导致安全违规。员工拥有的过多特权会增加组织的风险。该风险包括:在员工实际责任范围之外,错误破坏资产机密性、完整性和可用性(CIA)的可能性更大,不满意的员工故意造成伤害的能力更强,以及接管员工账户造成伤害的攻击能力更强。审查并调整用户能力,以符合最小权限原则,这是一种风险降低策略。对于一些组织,主要是金融行业的组织,审查过程的一个关键部分是强制休假。原创 2021-08-17 14:47:26 · 495 阅读 · 0 评论 -
D1-安全边界
安全边界是具有不同安全要求或需求的任意两个区域、子网或环境之间的交叉线。安全边界存在于高安全性区域和低安全性区域之间,例如LAN和internet之间。识别网络和物理世界中的安全边界非常重要。一旦确定了安全边界,就必须部署机制来控制跨越该边界的信息流。安全区域之间的划分可以采取多种形式。例如,对象可能具有不同的分类。每个分类定义了哪些主体可以在哪些对象上执行哪些功能,分类之间的区别是一个安全边界。物理环境和逻辑环境之间也存在安全边界。要提供逻辑安全性,必须提供不同于用于提供物理安全性的安全机制。两者原创 2021-08-17 14:33:18 · 3683 阅读 · 0 评论 -
密码学基础-OSG8
密码用于:静态、动态、使用中的信息目标:保密性:加密算法实现完整性:加密的信息摘要实现,数字签名身份验证:挑战-应答不可否认性:无冒充的发送者,防止接受者声称没有接到消息,非对称实现布尔数学:1 0逻辑运算:^ 与 AND 有0则0V 或 OR 有1则1~ 非 NOT 取反O+ 异或 XOR 仅有1为1,都1为0模运算: % 求余数单向函数:逆向破解困难Nonce:加密过程中增加随...原创 2021-02-02 13:21:37 · 332 阅读 · 0 评论