信息安全技术基础学习指导

参考书：

china-pub上有这本书，30元，如果以后觉得信息安全的知识很要得的话，可以买，还行。《信息安全基础  》

这本书有电子版，不过我这里只有英文版，下载地址：

Wiley.The.CISSP.Prep.Guide.Gold.Edition.zip.002

Wiley.The.CISSP.Prep.Guide.Gold.Edition.zip.003

Wiley.The.CISSP.Prep.Guide.Gold.Edition.zip.exe

合并后，解压缩得到

《The CISSP Prep Guide Gold Edition》

学习计划：

overview:

charpter 1 to charpter 10

detail:

Charpter 1:

安全管理实践

概要
 
安全管理承担组织信息资产的识别，以及那些确保机密性、完整性和可用性的政策，标准，规程和方针的开发，
文档化和实现。使用管理工具 (如数据分级，风险评估和风险分析)
来识别威胁，分级资产，鉴定脆弱性的等级以实现有效的安全控制。 
风险管理是对不确定事件和风险相关损失的识别，度量，控制和最小化。它包括全面的
安全评审，风险分析；安全措施的选择和评估，费用收获分析，管理决策，安全措施实现和
有效性评审。 
能理解在识别和安全组织的信息资产中的计划，组织和个人的角色；陈述管理
人员在特定课题上的观点和位置的政策的开发和使用，以及用以支持这些政策的方针、标准
和规程的使用；安全意识培训以使雇员懂得信息安全的重要性，它的意义与它们的职位相关
以及用于识别，评估，降低对特定资源的风险的风险管理实践和工具。
 

charpter 2

访问控制系统

概要
 
 
访问控制是一些机制的集合，这些机制允许系统的管理者们对系统的行为、使用和内容行使指导和限制等影响。它允许管理人员指定用户可以做什么，他们可以访问什么资源和他们可以在系统上执行什么操作。 
应该完全理解访问控制的概念，方法论以及它在跨越企业计算机系统的集中和分散式环境中的实现。应当研究访问控制技术，侦测和纠正方法以了解潜在的风险，脆弱性和暴露。
 

 

coming soon.......

 

 

ps:

   CISSP是Certification for Information System Security Professional（认证的信息系统安全专家）的缩写，

一种反映信息系统安全从业人员水平的证书。CISSP认证由International Information Systems Security Certification Consortium（国际信息系统安全认证联盟）--(ISC)2组织与管理。CISSP可以证明证书持有者具备了符合国际标准要求的信息安全知识水平和经验能力，提升其专业可信度，并为企业和组织提供寻找专业人员的凭证依据，目前已经得到了全世界广泛的认可，在很多跨国公司的职位说明书上已经明确要求应聘者需要具备CISSP等相关资质。

　　 公共知识体系－CBK（Common Body of Knowledge）是对信息安全范畴所有相关主题精炼整理后得到的
一个标准化的知识体系，包括10个知识范畴（Domain）：
　　* 安全管理实务（Security Management Practices）
　　* 安全结构和模型（Security Architecture and Models）
　　* 访问控制系统和方法（Access Control System and Methodology）
　　* 应用开发安全（Application Development Security）
　　* 操作安全（Operations Security）
　　* 物理安全（Physical Security）
　　* 密码学（Cryptography）
　　* 电信、网络和互联网安全（Telecommunications, Network, and Internet Security）
　　* 商务连续性计划（Business Continuity Planning）
　　* 法律、调查和道德（Law, Investigations, and Ethics）