Security+ 学习笔记57 安全意识和培训

最新推荐文章于 2023-03-01 11:12:57 发布
最新推荐文章于 2023-03-01 11:12:57 发布
阅读量1.4k 收藏 1
点赞数 1
分类专栏: Security+学习笔记 文章标签: 网络安全 security+ 网络安全意识
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tushanpeipei/article/details/120628102
版权

一、安全教育

安全取决于个人的行为。一个用户有意或无意的失误可以完全破坏许多安全控制,使一个组织面临不可接受的风险。安全培训计划有助于保护组织免受这些风险。安全教育计划通常包括两个重要组成部分:

  1. 安全培训(Security Trainning) 为用户提供他们需要的详细信息,以保护组织的安全。安全培训需要投入大量的时间和注意力;
  2. 安全意识(Security Awareness) 目的为了提醒员工他们已经学过的安全课程。与安全培训不同的是,它不需要投入时间坐下来学习新的材料;相反,它使用海报、视频、电子邮件信息和类似的技术,让那些已经学会核心课程的人牢记安全。
    在这里插入图片描述

组织可以使用各种不同的方法来提供安全培训。这可能包括传统的课堂教学,提供专门的信息安全课程材料,或者将安全内容插入到现有的项目中,如由人力资源部门提供的新员工指导项目。学生也可以使用在线计算机培训机构来学习网络安全知识,或者参加供应商提供的课程。无论企业使用什么方法,目标都是传授安全知识,让员工能够在工作中付诸实践。

有很多可以帮助我们快速建立一个有效的安全培训和意识计划。关键是要使用多样化的培训技术来迎合不同的学习风格。这些可能包括网络钓鱼模拟(phishing simulation)、使学习变得有趣的游戏化(Gamification)技术,以及训练员工攻击技术的夺旗(Capture the flag)练习。虽然所有用户都应该接受某种程度的安全教育,但组织也应该定制培训(Customize training),以满足基于角色的特定要求。例如,人力资源团队成员应接受处理个人识别信息的培训。IT人员需要专业技能来实施安全控制。需要注意的是,培训应根据个人在组织中的角色进行定制。

关于安全教育计划的最后一点说明:负责提供安全培训的团队应定期审查材料,以确保内容保持相关性。安全环境和组织业务的变化可能需要更新材料,以保持其新鲜和相关。

二、员工习惯

安全教育计划应包括与员工习惯相关的各种主题。通过用强大的安全习惯来取代危险的习惯,企业可以减少用户账户被泄露的可能性。如下安全教育计划应该解决的一些习惯。

  1. 安全培训应包括对密码安全实践的覆盖。大多数组织已经有了一个密码安全政策,强制执行保证密码复杂性和加密等要求。安全培训计划应该提醒用户这些要求,并教育他们不能在技术上执行的要求的重要性。例如,用户应该知道,在网站和其他账户上重复使用他们的工作密码,在外部网站被破坏的情况下会危及安全。组织还应该在其安全培训计划中包括数据处理程序。员工必须知道存储、传输和销毁敏感信息的正确方法。这些计划也是一个很好的机会,提醒用户在入职过程中签署的保密协议(Nondisclosure agreements) 的条款,以及他们持续保护机密信息的义务。在这里插入图片描述
  2. 安全意识工作还应该包括物理安全控制。如果组织使用门禁卡或其他技术来控制门禁,员工应该了解防止尾随(tailgating)的重要性,并要求每个用户单独刷他们的门禁卡来开锁。员工还应该在安全教育计划中了解组织的自带设备政策。如果组织允许使用个人设备,培训计划应包括可接受的使用和安全要求的内容。如果组织不允许使用带有组织数据的个人设备,培训计划应该明确这一点。
  3. 在我们的安全培训中,需要提醒员工自己的组织的可接受使用政策的内容。员工应该知道哪些IT资源的使用是被允许的,哪些是被禁止的。例如,员工应该知道是否被允许从公司的电脑和网络上访问个人电子邮件账户、社交网站或文件共享网站。培训还应该包括如果员工违反了可接受使用政策,组织可能采取的惩罚。
  4. 最后,安全教育计划还应该包括说明对社交媒体和P2P网络的使用。员工应该了解他们在面向公众的网络上树立正确形象的责任,以及与未知的个人交换链接和文件所带来的安全风险。他们还应该知道组织采取了哪些措施来对社交媒体的使用进行分析。

三、职责分离(Separation of duties)

组织实施职责分离和双人控制政策(Separation of duties and Two-person control policies),以减少单个人可以执行有害行动的风险。

  1. 职责分离原则说明,任何一个人都不应该拥有两个权限,而这两个权限结合在一起,允许他们独自执行一个敏感操作。相反,这些权限应该被分开,由两组不同的人持有。帐户审查和审计应检查权限,以确保职责分离得到正确执行。在这里插入图片描述
  2. 双人控制政策,也被称为双重控制(Dual control)。这种策略不是将敏感的行动彼此分开,而是要求两个人的授权来执行一个行动。在IT界,信息安全专业人员有时会对特别敏感的行动实施双人控制。例如,我们授予系统管理员通常不拥有的特权去紧急访问程序,但可能要求两个不同的管理员进行认证以执行该行动。

职责分离和两人控制是为了限制欺诈和滥用的可能性,要求两个人同意执行敏感的行动和行动组合。

整理资料来源:
https://www.linkedin.com/learning/paths/become-a-comptia-security-plus-certified-security-professional-sy0-601

格洛米爱学习
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CompTIA security+ 飘过
shyeric000的博客
11-16 1440
CompTIA security+ 飘过前言备考经历考试经历 前言 今年一直在备考CISSP,那本AIO已经看了两遍了,知识梳理的还行,预约了年底考试,这等待的日子里无意间看到CompTIA Security+这个证书,感觉性价比很高,属于入门级安全认证。我从报名培训班到考出证书历时大约20天左右,对于我来说CISSP的知识点已经完全覆盖了Security+,认真理解每个知识域中的各个要点,通过基...
开发转安全的Security+备考之路
edu_aqniu的博客
07-10 546
前言 我是计算机软件专业毕业的,工作后做了几年J2EE开发,刚开始做全栈,后来也专门做了一段时间的前端开发,然而客户需求的不断更改让我心力交瘁,企业信息管理系统的开发本身也让我感觉十分的枯燥,最后更换了行业从事管理工作。近年来随着信息化发展的日益迅猛,加上自身对未来职业规划以及兴趣导向的综合思考后,决定以后从事信息安全方面的工作。在信安行业朋友(他是CISP,也是谷安的老学员)的推荐下选择了Security+作为我入门的一个认证。 学习及备考阶段 学习 ...
Security+培训全套PPT汇总.zip
08-19
Security+培训全套PPT和知识点分享,供大家学习参考。 1、Security+培训-课程大纲(1) 2、Security+培训-安全基本概念(1.1) 3、Security+培训-网络安全(1.1) 4、Security+培训-合规与运维安全(1.1) 5、Security+培训-安全威胁与漏洞(1.1) 6、Security+培训-数据、应用与系统安全(1.1) 7、Security+培训-访问控制与身份管理(1.1) 8、Security+培训-密码学(1.1) 1、Security+ 知识点整理 2、Security+ 笔记分享 3、professor-messer-comptia-sy0-401-security-plus-study-guide-v5
我的Security+不完全备考指南报班
anquanniu的博客
09-03 315
报班日期:7月14日 考试日期:8月22日 考试分数:830分 备考策略 因为从事信息安全相关工作,一直想要考个证书,经过多方考虑选择了Security+认证。通过Security+学习了解了很多新的知识点,还是非常有益处的。我的经验是一定要认真的听谷安老师的课程,课后看录播复习,完整看一遍巨厚的官方教材以及看两遍PPT,练习题刷一遍,老师给的题库好好多刷两遍! 谷安的培训都是晚上上课,也不用请假,还有一个班级微信群,沟通交流很方便,课后不懂可以群里提问,对于我这种平时工作比较忙的人来说很适合。 考试心路历
CompTIA Security+ SY0-601 PDF V21.75
08-29
CompTIA Security+ SY0-601 PDF V21.75,考過PASS 應該與當時題目差不多,希望有幫到你們
Security+ 认证学习资料.zip
08-17
自己手里的资料 视频文档整理的,在刷题的过程中我也准备了一本笔记本,就是专门记录那些错题的知识点和那些自己不熟练的知识点,在这个过程中一定要多翻翻教材,多翻翻教材,多翻翻教材(重要的事情说三遍)!...
CompTIA Security+ 学习指南
01-24
professor-messer-comptia-sy0-401-security-plus-study-guide-v5
HCIA security 网络安全学习笔记
06-26
HCIA-Security 网络安全学习笔记
HCIP-Security 网络安全 上课笔记
06-26
HCIP-Security 网络安全 上课笔记 本文档主要讲解HCIP-Security网络安全上课笔记,涵盖了Eth-trunk的配置、LACP模式、链路健康检查等网络安全知识点。 1. Eth-trunk配置 Eth-trunk是将多个物理接口捆绑成一个逻辑...
网络安全 Security+(SY0-601)学习笔记
tushanpeipei的博客
09-17 4729
一、威胁,攻击和漏洞: 1.恶意软件:https://blog.csdn.net/tushanpeipei/article/details/120245151?spm=1001.2014.3001.5502 2.认识网络攻击:https://blog.csdn.net/tushanpeipei/article/details/120252183?spm=1001.2014.3001.5502 3.威胁情报:https://blog.csdn.net/tushanpeipei/article/details/
secplus601:包含主要来自梅塞尔教授的COMPTIA Security +(SY0-601)注释
03-13
secplus601:包含主要来自梅塞尔教授的COMPTIA Security +(SY0-601)注释
信息安全入门Security+认证新版601听说要出中文考试了
edu_aqniu的博客
02-22 1003
CompTIA Security+ SY0-501中文版在今年1月底下线了,有消息说601中文版将于6月上线
Security+认证SY0-501与SY0-601的区别
edu_aqniu的博客
10-13 1461
Security+ 认证是一种中立第三方认证,其发证机构为美国计算机行业协会CompTIA ,是和CISSP、ITIL 等共同包含在内的国际 IT 业十大热门认证之一,和CISSP偏重信息安全管理相比,Security+ 认证更偏重信息安全技术和操作,属于信息安全技术类的首选认证。 自 2011 年 1 月 1 日以来,已超过 230 万人通过考试,而根据美国Global knowledge 发布的《2021年薪酬最高的15个IT认证》榜单中,Security+专业人员榜上有名,平均工资为 110,974
Security+认证学习/备考经验
tushanpeipei的博客
03-22 5847
Security+认证学习资料/备考经验
CISSP学习-安全运营(OSG安全运营管理)
最新发布
qq_42947816的博客
03-01 1391
安全运营实践的主要目的是保护资产,包括信息、系统、设备和设施,有助于识别威胁和漏洞,并实施控制来降低组织资产的整体风险。
安利一个刚考过的信息安全认证Security+
anquanniu的博客
01-24 2750
在目前的信息安全大潮之下,人才是信息安全发展的关键。而目前国内的信息安全人才是非常匮乏的,拥有国际信息安全认证的人才,在未来职业发展、升职加薪的道路上必将优于普通的信息安全从业者。 果哥今天推荐2018年度最火的新贵零门槛认证,希望可以给您的未来职场路添砖加瓦。 推荐01. 国际十大IT认证之一:Security+ 国内的信息安全相关的权威认证基本上都是针对具备数年工作经验从业者,偏理论、偏框架、...
Security+认证考过经验总结,812分考过(6月16日)
anquanniu的博客
06-21 3390
6月16日通过考试,5月6日开始参加安全牛课堂的13期Security+的远程直播培训,算起来前前后后有一个多月的学习,把自己的经历简单分享下。 接触Security+也是偶然的机会,网上查了查信息安全的证书,有一篇《你值得拥有的四大信息安全认证》,包括了CISP、CISSP、CISA、Security+。让我了解了Security+这个安全认证,据说有一定的认可度,于是考虑是否考一个,希望能给自...
Security+ 学习笔记6 了解漏洞的类型
tushanpeipei的博客
09-16 1420
一、漏洞带来的影响 1.CIA: 基础设施、系统和应用程序中的漏洞使我们的组织面临着安全漏洞的风险。当想到信息安全的目标时,我们经常使用一个被称为CIA三元组的模型,如图所示: CIA三部曲强调了信息安全在企业中执行的三个最重要的功能:保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)。 保密性确保只有被授权的个人才能访问信息和资源,让秘密远离窥探者。数据泄露指的是,在未经所有者同意的情况下,将敏感信息提供给个人或普通公众,或者指的是组织的系统和网
【CISSP备考笔记】第1章:安全与风险管理
11-19 968
第一章:安全与风险管理 1.1 安全基本原则(CIA) 机密性(Confidentiality):确保信息在存储、使用、传输过程中不会泄露给非授权用户或实体。 - 加密静止数据(整个磁盘、数据库加密) - 加密传输(IPSec、SSL、PPTP、SSH)中的数据 - 访问控制(物理和技术的) 完整性(Integrity):确保信息在存储、使用、传输过程中不会被非授权篡改,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

格洛米爱学习

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值