CISSP第二章 信息安全治理与风险管理

主要内容

安全术语和原则，保护控制类型，安全框架、模型、标准和最佳时间，安全企业架构，风险管理，安全文档，信息分类和保护，安全意识培训，安全治理

2.1 安全基本原则

AIC三元组：可用性，完整性，机密性

2.1.1 可用性availability

• 确保授权的用户能够对数据和资源进行及时和可靠的访问
• 控制措施：廉价磁盘冗余阵列RAID，群集，负载均衡，冗余数据和电源线，软件和数据备份，磁盘映像，co-location和异地备用设备，回滚功能，故障切换配置

2.1.2 完整性integrity

• 保证信息和系统的准确性和可靠性，并禁止对数据的非授权更改
• 控制措施：散列（数据完整性），配置管理（系统完整性），变更控制（进程完整性），访问控制（物理和技术的），软件数字签名，传输CRC功能

2.1.3 机密性confidentiality

• 确保在数据处理的每一个交叉点上都实施了必要级别的安全保护并阻止未经授权的信息披露
• 控制措施：加密休息中的数据（整个磁盘，数据库加密），加密传输中的数据（IPSec，SSL，PPTP，SSH），访问控制（物理和技术的）
• 肩窥shoulder surfing：越过别人的肩膀未授权浏览信息
• 社会工程social engineering：欺骗他人共享敏感信息以获取未经授权的访问

2.2 安全定义

脆弱性，威胁，风险，暴露

• 脆弱性vulnerability：缺少安全措施或者采用的安全措施有缺陷。如未安装补丁的应用程序，没有限制的无线访问点
• 威胁threat：利用脆弱性而带来的潜在危险。某人或某个软件识别出脆