【CISSP是小众,与MCSE,CCNA一类的不同,资料很少。本人在准备CISSP考试。总结一些考点,供大家参考(内容主要是《CISSP认证考试权威指南(第4版)》的读书笔记,感谢作者和译者,替他们宣传一下。)】
CIA=私密性(Confidentiality),完整性(Integrity),可用性(Availability)
私密性防护手段:
加密,流量填充,访问控制,身份验证,数据分类,人员培训。
私密性依赖完整性。
完整性要求:
1,禁止未授权主体访问资源
2,禁止授权主体执行未授权操作
3,保持数据一致性
CIA优先顺序
1,政府和军队机密性优先
2,私人公司则是可用性优先。
可用性手段:
1,正确设计传输系统
2,使用访问控制
3,对性能和网络进行监控
4,使用防火墙和路由器阻止攻击
5,冗余。
其他安全概念
1,隐私性(Privacy)保护个人隐私信息。
2,身份标识(Identification)为安全主体分配唯一的标识。
3,身份验证(Authentication)提供身份标识并证实的过程。
4,授权(Authorization)为主体指派权力和特权。
5,审计(Auditing)记录授权行为和非授权行为。
6,可问责制(Accountability)检验身份并跟踪活动。
7,不可否认性(Nonrepudiation)靠数字签名,会话标识,事务日志等机制实现。
保护机制
1,层次法(Layering)多层安全,以线性方式被执行,单个安全控制的失效不会导致整个解决方案失效。
2,抽象(Abstraction)
3,数据隐藏(Data Hiding)
4,加密(Encryption)
政府和军队的数据分类
1,绝密(Top Secret)泄密将导致灾难性的后果,导致对国家安全的毁灭性破坏。
2,机密(Secret)泄密将导致严重后果,对国家安全造成重大破坏。
3,秘密(Confidential)泄密将导致严重后果,对国家安全造成严重破坏。
4,敏感(Sensitive but Unclassified)敏感或私有数据,泄露不会造成重大损失。
5,非秘密(Unclassified)不敏感无需分类,泄露不会造成明显损失。
商业企业的分类级别
1,秘密(Confidential)也称为专有的(Proprietary),多用于公司数据。
2,隐私(Private)多用于个人数据。
3,敏感(Sensitive)泄露会造成负面影响。
4,公开(Public)泄露无明显影响。
信息及相关技术控制目标(Control Objectives for Information and Related Technology, CobiT)是IT最佳安全实践文档集。包括:
1,计划与组织(Planning and Organization)
2,获得与实现(Acquisition and Implementation)
3,交付与支持(Delivery and Support)
4,监控(Monitoring)
【本单元结束】
本文出自 “西蒙[爱生活,爱学习]” 博客,谢绝转载!