CISSP學習筆記之安全管理基礎

2021-08-25 02:04:11 字數 1810 閱讀 1120

1.安全管理基礎概念

1.標識組織的所有資訊資產

2.分析安全風險

3.定義安全的重要性,隨時有警覺的心

4.對安全管理有實施的計畫

2. 安全所要具備的要素

1、cia

c 機密性 避免資產被未經過授權的人訪問包括授權的和非授權的

a 可用性 及時而穩定的獲取資源

i 完整性 避免未經授權的人做修改和經授權的人做未經允許的修改

3.it安全需要

1.功能面(防火牆的功能就是過濾)

2.確保功能可以達到(通過log file也確定是否正確)

3.首先定義安全策略()

4.安全考量

1.技術面

2.組織架構

3.公司文化

4.管理

5.業務運營

6.風險

5.安全政策成功因素

1.最重要的是高層主管支援

2.與工作相融合不能有衝突的部分

3.思考以下部分(業務流程、技術流程呢個、管理流程)

4.具體的實現(隱私權()、身份管理(對主管進行調查確信可信任)、應用程式、基礎架構、管理)

6.安全問題解決思考

1.不同的需求都考慮在範圍內

2.erp->vpn->crm(客戶關係管理)->erp

3.必須要求一致性

7.實施安全政策

1.軟硬體配置標準(例如防毒、防火牆)

2.變更(例如檔案的銷毀,使用者的註冊等等)

3.基線(最小的安全等級和一致性、例如windows 2003必須打哪些補丁)

以上三個都有強制性

4.可有可無的標準(tcsec和itsec規劃等等他們的差別是tcsec主要是系統、itsec加入網路)

8.如何做好安全管理

1.定義角色和責任

1.一起定義角色和責任(最高層主管、資訊保安專家、owners(擁有者)、管理員、使用者)

2.僱傭人員事要注意(驗證員工的工作履歷、驗證員工學歷、簽署合約、對高層進行背景調查)

3.離職慎重處理(有兩種情況第乙個是自願離職可以給一定緩衝時間、第二個是公司開除不要留任何緩衝時間)

4.工作方面的事項(重要的工作專案要分工(避免私下串通)、定期工作輪換(舞弊的安全問題)、強制性休假)

5.確保公司一定程度的安全(內部和外部的審計、高層做不定期的抽查以及安全措施和改進的地方、滲透測試、安全意識宣傳(讓公司了解安全重要)、技能培訓、更深入的培訓(讓他們知道什麼是密碼學))

2. 分級制度

1.重要性(標識重要資產、等級高的進行保護、增加企業的優勢、保**律訴訟檔案、根據等級來進行優先恢復減小公司損失)

2.方向(公務類別、競爭對手有關的類別、公司財務有關的類別)

3.誰來實施分級(擁有者來進行分級:足夠的知識、要了解法律要求、講求一直性、分級標準定義、加密和解密還有過期性(銷毀程式等))

4.注意事項(貼上警告標籤、定期嚴查重要的資料例如備份、資料刪除的時候要注意是否被徹底刪除乾淨、遵循適當的刪除策略)

3.風險管理和分析

1.風險管理目的(找出威脅**,讓風險做到可以接受的)

2.風險如何形成(威脅和弱點共同存在)例如公司沒有安裝防火牆就屬於公司的弱點,網路上的黑客就是對公司的威脅,如果黑客利用公司的弱點進行攻擊成功,那麼就有乙個風險

3.風險分析重要性(在企業內部標識風險,及時做好防禦措施、考慮法律法規)

4.新的威脅的產生(新的技術、文化的改變、新產品的出現)

5.成功關鍵要素(1.高層主管的支援、2.成立風險評估小組、3.尋找人員加入小組)

6.公司現有狀況可以做到的程度

7.風險分析型別(定量(數位化)、定性(情景以高中低來進行劃分))

CISSP學習筆記之安全管理基礎

1.安全管理基礎概念 1.標識組織的所有資訊資產 2.分析安全風險 3.定義安全的重要性,隨時有警覺的心 4.對安全管理有實施的計畫 2.安全所要具備的要素 1 cia c 機密性 避免資產被未經過授權的人訪問包括授權的和非授權的 a 可用性 及時而穩定的獲取資源 i 完整性 避免未經授權的人做修改...

cissp筆記 實施身份管理之kerberos

關於kerberos,不是很懂,看到csdn上有個大神,深入淺出的講解了一下,沒有看完,但是感覺應該有了這個文章,足夠解決kerberos的問題了。位址如下 但是就cissp來說,kerberos只是實施身份管理中的一小部分知識,研究的也不是很深入。下面來介紹一下kerberos kerberos ...

CISSP備考系列之物理安全 10 29

cissp是小眾,與mcse,ccna一類的不同,資料很少。本人在準備cissp考試。總結一些考點,供大家參考 內容主要是 cissp認證考試權威指南 第4版 的讀書筆記,感謝作者和譯者,替他們宣傳一下。物理安全 1,最重要,因為如果能夠物理地接觸到你的裝置,訪問者將無所不能。2,關鍵路徑分析 cr...