zd454909951的博客

转载【CISSP备考笔记】第7章：安全运营 - Bypass - 博客园7.1 运营部门的角色​ prudent man、due care（按要求执行）VS due diligence（承担管理者责任）​ 应尽关注：执行了负责任的动作降低了风险。​ 应尽职责：采取了所有必要的安全步骤以了解公司或个人的实际风险。​ 运营安全是保持环境运行在一个必要的安全级别中的持续维护行为。运营安全涉及配置、性能、容错、安全性以及问责和验证管理，其目的在于确保适当的操作标准与合规性要求得到满足。

控制访问信息资源如何被利用，来防止资源未授权修改或泄露。实现方法：技术性（逻辑性）、物理性、行政性访问控制需要采用分层纵深防御的方式5.1 访问控制概述访问控制是一种手段，控制用户和系统如何与其他系统和资源进行通信和交互。主体可以是通过访问客体以完成某种任务的用户、程序或进程。客体是包含被访问信息或者所需功能的被动实体，客体可以是计算机、数据库、文件、计算机程序、目录或数据库中某个表包含的字段。访问控制是防范计算机系统和资源被未授权访问的第一道防线。5.2 安全原

定期进行6.1 审计策略审计，对信息系统内部安全控制的系统性评估信息系统的安全审计时对特定范围的人、计算机、过程和信息的各种安全控制所实施的一个系统性评估监管或合规要求，信息系统架构的重大变化，或者是组织面临威胁的新发展等方面都会驱动审计的发生审计的范围应与业务经理协调后确定信息系统的安全审计流程：确定目标、让合适的业务部门领导参与、确定范围、选择审计团队、计划审计、执行审计、记录结果、将结果传达给合适的领导任何审计的最终期望状态：审计结果有效地传达给目标受众内部

通信是数据在系统之间的电子传输，采用模拟、数字或无线传输类型。数据沿着铜线、同轴电缆、光纤、空气、电话公司的公共交换电话网PSTN或服务供应商的光缆、交换机和路由器流动国际通信协会ITU国际标准化组织ISO4.2 开放系统互联参考模型网络协议是决定系统如何在网络中通信的规则标准集计算机通信方式 物理通道（电信号通过线缆从一台计算机传递到另一台计算机）；逻辑通道（封装）对每层内的功能进行模块化的好处在于：不同的技术、协议和服务能够相互交互，并且提供支持.

3.1 系统架构系统架构：描述了系统的主要组件，以及系统组件之间、系统与用户之间以及系统与其他系统之间如何相互交互安全架构设计原则ISO/IEC 19249，描述的五个框架原则：域隔离、分层、封装、冗余、虚拟化五个设计原则：最小特权、攻击面最小化、集中参数验证、集中通用安全服务、为错误和异常处理做准备术语开发是指系统的整个生命周期，包括规划、分析、设计、构建、测试、部署、维护和退役八个阶段3.2 计算机架构中央处理单元CPU程序计数器寄存器保存需要提取的下

2.1 信息生命周期（1）获取（2）使用须确保内部一致性（3）存档需保留多长时间（4）处置数据真正被销毁及其被正确销毁2.2 数据分类商业公司的信息敏感级别：机密confidential、隐私、敏感、公开军事机构的信息敏感级别：绝密、秘密secret、机密、敏感但未分类、未分类术语未分类、秘密和绝密通常与政府组织相关联，术语隐私、专有权、敏感通常与非政府组织相关联2.3 责任分层高级管理层持续对组织负有最终责任首席隐私官：负责确保客户、

安全和风险1.1 安全基本原则核心目标是为关键资产提供可用性、完整性和机密性（1）可用性：确保授权用户能够对数据和资源进行及时和可靠的访问独立磁盘冗余阵列RAID、群集、负载平衡、冗余数据的电源线、软件和数据备份、磁盘映像、异地备用设施、回滚功能、故障切换配置（2）完整性：保证信息和系统的准确性和可靠性，并禁止对数据的非授权更改。散列（数据完整性）、配置管理（系统完整性）、变更控制（进程完整性）、访问控制、软件数字签名、循环冗余校验码CRC（3）机密性：确保在数据处理