CISSP备考系列之安全管理的概念与原则[10-45]

【CISSP是小众，与MCSE，CCNA一类的不同，资料很少。本人在准备CISSP考试。总结一些考点，供大家参考（内容主要是《CISSP认证考试权威指南（第4版）》的读书笔记，感谢作者和译者，替他们宣传一下。）】

CIA=私密性（Confidentiality），完整性（Integrity），可用性（Availability）

私密性防护手段：
加密，流量填充，访问控制，身份验证，数据分类，人员培训。
私密性依赖完整性。

完整性要求:
1，禁止未授权主体访问资源
2，禁止授权主体执行未授权操作
3，保持数据一致性

CIA优先顺序
1，政府和军队机密性优先
2，私人公司则是可用性优先。

可用性手段：
1，正确设计传输系统
2，使用访问控制
3，对性能和网络进行监控
4，使用防火墙和路由器阻止攻击
5，冗余。

其他安全概念
1，隐私性（Privacy）保护个人隐私信息。
2，身份标识（Identification）为安全主体分配唯一的标识。
3，身份验证（Authentication）提供身份标识并证实的过程。
4，授权（Authorization）为主体指派权力和特权。
5，审计（Auditing）记录授权行为和非授权行为。
6，可问责制（Accountability）检验身份并跟踪活动。
7，不可否认性（Nonrepudiation）靠数字签名，会话标识，事务日志等机制实现。

保护机制
1，层次法（Layering）多层安全，以线性方式被执行，单个安全控制的失效不会导致整个解决方案失效。
2，抽象（Abstraction）
3，数据隐藏（Data Hiding）
4，加密（Encryption）

政府和军队的数据分类
1，绝密（Top Secret）泄密将导致灾难性的后果，导致对国家安全的毁灭性破坏。
2，机密（Secret）泄密将导致严重后果，对国家安全造成重大破坏。
3，秘密（Confidential）泄密将导致严重后果，对国家安全造成严重破坏。
4，敏感（Sensitive but Unclassified）敏感或私有数据，泄露不会造成重大损失。
5，非秘密（Unclassified）不敏感无需分类，泄露不会造成明显损失。

商业企业的分类级别
1，秘密（Confidential）也称为专有的（Proprietary），多用于公司数据。
2，隐私（Private）多用于个人数据。
3，敏感（Sensitive）泄露会造成负面影响。
4，公开（Public）泄露无明显影响。

信息及相关技术控制目标（Control Objectives for Information and Related Technology, CobiT）是IT最佳安全实践文档集。包括：
1，计划与组织（Planning and Organization）
2，获得与实现（Acquisition and Implementation）
3，交付与支持（Delivery and Support）
4，监控（Monitoring）

【本单元结束】