CISSP备考系列之安全管理的概念与原则[10-45]
2010-05-20 13:56
309 查看
【CISSP是小众,与MCSE,CCNA一类的不同,资料很少。本人在准备CISSP考试。总结一些考点,供大家参考(内容主要是《CISSP认证考试权威指南(第4版)》的读书笔记,感谢作者和译者,替他们宣传一下。)】
CIA=私密性(Confidentiality),完整性(Integrity),可用性(Availability)
私密性防护手段:
加密,流量填充,访问控制,身份验证,数据分类,人员培训。
私密性依赖完整性。
完整性要求:
1,禁止未授权主体访问资源
2,禁止授权主体执行未授权操作
3,保持数据一致性
CIA优先顺序
1,政府和军队机密性优先
2,私人公司则是可用性优先。
可用性手段:
1,正确设计传输系统
2,使用访问控制
3,对性能和网络进行监控
4,使用防火墙和路由器阻止攻击
5,冗余。
其他安全概念
1,隐私性(Privacy)保护个人隐私信息。
2,身份标识(Identification)为安全主体分配唯一的标识。
3,身份验证(Authentication)提供身份标识并证实的过程。
4,授权(Authorization)为主体指派权力和特权。
5,审计(Auditing)记录授权行为和非授权行为。
6,可问责制(Accountability)检验身份并跟踪活动。
7,不可否认性(Nonrepudiation)靠数字签名,会话标识,事务日志等机制实现。
保护机制
1,层次法(Layering)多层安全,以线性方式被执行,单个安全控制的失效不会导致整个解决方案失效。
2,抽象(Abstraction)
3,数据隐藏(Data Hiding)
4,加密(Encryption)
政府和军队的数据分类
1,绝密(Top Secret)泄密将导致灾难性的后果,导致对国家安全的毁灭性破坏。
2,机密(Secret)泄密将导致严重后果,对国家安全造成重大破坏。
3,秘密(Confidential)泄密将导致严重后果,对国家安全造成严重破坏。
4,敏感(Sensitive but Unclassified)敏感或私有数据,泄露不会造成重大损失。
5,非秘密(Unclassified)不敏感无需分类,泄露不会造成明显损失。
商业企业的分类级别
1,秘密(Confidential)也称为专有的(Proprietary),多用于公司数据。
2,隐私(Private)多用于个人数据。
3,敏感(Sensitive)泄露会造成负面影响。
4,公开(Public)泄露无明显影响。
信息及相关技术控制目标(Control Objectives for Information and Related Technology, CobiT)是IT最佳安全实践文档集。包括:
1,计划与组织(Planning and Organization)
2,获得与实现(Acquisition and Implementation)
3,交付与支持(Delivery and Support)
4,监控(Monitoring)
【本单元结束】
CIA=私密性(Confidentiality),完整性(Integrity),可用性(Availability)
私密性防护手段:
加密,流量填充,访问控制,身份验证,数据分类,人员培训。
私密性依赖完整性。
完整性要求:
1,禁止未授权主体访问资源
2,禁止授权主体执行未授权操作
3,保持数据一致性
CIA优先顺序
1,政府和军队机密性优先
2,私人公司则是可用性优先。
可用性手段:
1,正确设计传输系统
2,使用访问控制
3,对性能和网络进行监控
4,使用防火墙和路由器阻止攻击
5,冗余。
其他安全概念
1,隐私性(Privacy)保护个人隐私信息。
2,身份标识(Identification)为安全主体分配唯一的标识。
3,身份验证(Authentication)提供身份标识并证实的过程。
4,授权(Authorization)为主体指派权力和特权。
5,审计(Auditing)记录授权行为和非授权行为。
6,可问责制(Accountability)检验身份并跟踪活动。
7,不可否认性(Nonrepudiation)靠数字签名,会话标识,事务日志等机制实现。
保护机制
1,层次法(Layering)多层安全,以线性方式被执行,单个安全控制的失效不会导致整个解决方案失效。
2,抽象(Abstraction)
3,数据隐藏(Data Hiding)
4,加密(Encryption)
政府和军队的数据分类
1,绝密(Top Secret)泄密将导致灾难性的后果,导致对国家安全的毁灭性破坏。
2,机密(Secret)泄密将导致严重后果,对国家安全造成重大破坏。
3,秘密(Confidential)泄密将导致严重后果,对国家安全造成严重破坏。
4,敏感(Sensitive but Unclassified)敏感或私有数据,泄露不会造成重大损失。
5,非秘密(Unclassified)不敏感无需分类,泄露不会造成明显损失。
商业企业的分类级别
1,秘密(Confidential)也称为专有的(Proprietary),多用于公司数据。
2,隐私(Private)多用于个人数据。
3,敏感(Sensitive)泄露会造成负面影响。
4,公开(Public)泄露无明显影响。
信息及相关技术控制目标(Control Objectives for Information and Related Technology, CobiT)是IT最佳安全实践文档集。包括:
1,计划与组织(Planning and Organization)
2,获得与实现(Acquisition and Implementation)
3,交付与支持(Delivery and Support)
4,监控(Monitoring)
【本单元结束】
相关文章推荐
- CISSP备考系列之数据与应用程序安全[10-42]
- Web服务器管理系列:10、文件夹安全设置
- CISSP备考系列之安全模型的原则[10-38]
- CISSP备考系列之物理安全[10-29]
- CISSP备考系列之计算机设计原则[10-39]
- 原创:vsphere概念深入系列三:vSphere命令行管理
- .NET安全系列之三:用户与角色的概念/基于角色的安全
- Samba 系列(三):使用 Windows 10 的 RSAT 工具来管理 Samba4 活动目录架构
- 管理SQL Server数据库服务器的安全防范原则
- 安全管理最佳实践系列:给ECS实例配置RAM角色
- Web服务器管理系列:6、网络和共享中心的安全配置
- Atitit 依赖管理之道 1. 概念 依赖管理,是指在什么地方以什么形式引入外部代码。 1 1.1.1. 理解模块化和依赖管理: 1 1.2. 依赖管理,有三个层面。 单一职责原则,协议对象引用,
- .NET安全系列之三:用户与角色的概念/基于角色的安全
- mysql 开发进阶篇系列 53 权限与安全(账号管理的各种权限操作 上)
- Samba 系列(三):使用 Windows 10 的 RSAT 工具来管理 Samba4 活动目录架构
- SpringCloud系列四:Eureka 服务发现框架(定义 Eureka 服务端、Eureka 服务信息、Eureka 发现管理、Eureka 安全配置、Eureka-HA(高可用) 机制、Eureka 服务打包部署)
- 『mcse 2008 系统管理』Unit 10 Windows Server 2008安全策略
- java 安全管理概念,代码签名和安全设置