CISSP重点知识总结1

VIP文章 ^(*￣(oo)￣)^小猪

已于 2022-05-01 10:57:59 修改

阅读量2.3k

点赞数 6

文章标签：网络安全安全架构

于 2022-05-01 10:54:08 首次发布

本文链接：https://blog.csdn.net/weixin_43500133/article/details/124524017

版权

CISSP 重点知识点总结-1-安全和风险管理

安全和风险管理

第 1 章实现安全治理的原则和策略

1.1 基本概念

机密性, 完整性, 可用性

1. 机密性 Confidentiality

确保信息在存储，使用，传输过程中不会泄漏给非授权用户或实体
相反的为: 泄漏 Disclosure

2. 完整性 Integrity

防止 非授权 篡改
防止 授权用户不恰当 修改信息
保持信息内部一致性和外部一致性

内部一致性存储在系统里的冗余信息要保持一致

外部一致性存储在系统里的信息和外部真实情况要保持一致

相反的为: 篡改 Alteration

3. 可用性 Availability

确保授权用户或实体对信息及资源的正常使用不会被异常拒绝，允许其可靠而及时地访问信息

相反为 : 破坏 Destruction
4. 保护机制 CIA 的相关技术

机密性
- 数据加密 (整个磁盘，数据库加密)
- 传输数据加密 (IPSec, SSL, TLS, SSH)
- 访问控制 (物理和技术控制)
完整性
- 哈希 (数据完整)
- 配置管理 (系统完整)
- 变更控制 (过程完整)
- 访问控制 (物理和技术控制)
- 软件数字签名 代码签名 (主要作用是保护代码完整性, 不是抗抵赖)
- 传输CRC检验功能 (可以用于网络传输的多个层)
可用性
- 冗余磁盘阵列 (RAID)
- 集群
- 负载均衡
- 冗余的数据和电源线路
- 软件和数据备份
- 磁盘映像
- 位置和场外设施
- 回滚功能
- 故障转移配置

安全分层 使用 纵深防御 多种控制手段结合，一个控制失效不会导致系统或数据暴露

1.2 安全治理原则

战略一致性
业务战略驱动安全战略和IT战略

安全管理计划: 组织的信息安全建设应该按计划行事，安全管理计划应该 自上而下

职责:
- 高层定义: 组织安全方针
- 中层将: 安全策略完成标准、基线、指南和程序，并监控执行
- 业务经理和安全专家负责实施安全文件中的制定配置
- 最终用户负责遵守组织的所有安全策略
类型:
- 战略计划: 长期计划，例如5年, 相对稳定，定义了组织的目标和使命
- 战术计划: 中期计划，例如1年, 对实现战略计划中既定目标的任务和进度的细节描
  述，例如雇佣计划，预算计划等
- 运营计划: 短期的高度细化的计划，经常更新, 每月或每季度更新，例如培训计划, 系统部署计划等
数据分级:

目的：说明需要为每种数据集设定的机密性、完整性和可用性 保护等级, 确保信息受到适当的保护，指明安全保护的优先顺序（同时 避免过度保护）
组织角色与职责

高级管理层/执行管理层/（CEO、CFO、COO）: 全面负责信息安全，是信息安全的最终负责人
安全管控参考框架
- COBIT 关于 IT 治理和 IT 管理相关控制流程框架
- CMM 软件开发成熟度模型
  - 1. 初始级
  - 1. 可重复
  - 1. 已定义
  - 1. 已管理可衡量才可管理
  - 1. 优化持续改进
- CMMI 软件开发成熟度模型集成
  - 1. 初始级
  - 1. 已管理
  - 1. 已定义
  - 1. 量化已管理
  - 1. 优化持续改进
- IT 服务管理 ITIL
- 信息安全管理
  
  信息安全成败的两个因素: 技术与管理
  
  ISO 27001 信息安全管理体系的标准
  
  ISO 27004 信息安全绩效
  ISO 27005 信息安全风险管理
应尽关心/应尽勤勉

适度谨慎 due care

Due Care (DC，应尽的关心、谨慎考虑、应尽关注、尽职关注、适度关注、适度审慎, 如果一个公司没有充分的安全策略、必要的应对措施以及适当的安全意识宣贯，就没有实践适度关注。
适度勤勉 due diligence

适度勤勉是收集必要信息以便进行最佳决策活动的行为
信息安全方面、应该进行类似的数据收集，在接受风险前，应该充分了解风险
建议选 DD (Due diligence) 情况
- 识别风险
- 收集信息做出正常决策
- 外包决策、对供应商做评估
- 检查该做的事情有没有做

1.3 安全文档

策略/政策/方针(policy)

方针的变化频率较低，程序的变化频率较高

三类方针
- 监管性/合规性方针 (Regulatory)
- 建议性方针 (Advisory)
- 信息性/指示性方针 (informative)
信息安全最一般性的声明
最高管理层对信息安全承担责任的一种承诺
说明要保护的对象和目标

标准(standard)
建立方针执行的强制机制
安全基线(baseline)
满足方针要求的最低级别的安全要求
指南/准则(guideline)
类似于标准，加强系统安全的方法，是建议性的
程序/步骤/规程(procedure)
- 执行特定任务的详细步骤（specific）
- 程序则是对执行保护任务时具体步骤的详细描述（HOW）

1.4 安全文档

1. 威胁建模
威胁建模具有一种结构化的方法，对最可能影响系统的威胁进行系统地识别和评价。看看谁最有可能想要攻击我们，可以先头脑风暴式地设想他们如何能够完成攻击目的，然后提出对策来阻止这类的攻击行为, 不是独立的事件，系统设计过程早期就可以开始威胁建模，并持续贯穿于整个系统生命周期，支持SD3+C

Seccurity by Design
Secuirty by Default
Security in Development and Communication

主动式 : 发生在系统开发的早期阶段,(特别是初始设计和规范建立阶段)
被动式 : 发生在产品创建和部署后
威胁建模步骤

最低0.47元/天解锁文章

^(*￣(oo)￣)^小猪

关注

6
点赞
踩
15

收藏

觉得还不错? 一键收藏
0
评论
CISSP重点知识总结1

CISSP 重点知识点总结-1-安全和风险管理安全和风险管理第 1 章实现安全治理的原则和策略1.1 基本概念机密性, 完整性, 可用性1. 机密性 Confidentiality确保信息在存储，使用，传输过程中不会泄漏给非授权用户或实体相反的为: 泄漏 Disclosure2. 完整性 Integrity防止非授权篡改防止授权用户不恰当修改信息保持信息内部一致性和外部一致性内部一致性存储在系统里的冗余信息要保持一致外部一致性存储在系统里的信息和外部
复制链接

扫一扫