1.安全管理基礎概念
1.標識組織的所有資訊資產
2.分析安全風險
3.定義安全的重要性,隨時有警覺的心
4.對安全管理有實施的計畫
2. 安全所要具備的要素
1、cia
c 機密性 避免資產被未經過授權的人訪問包括授權的和非授權的
a 可用性 及時而穩定的獲取資源
i 完整性 避免未經授權的人做修改和經授權的人做未經允許的修改
3.it安全需要
1.功能面(防火牆的功能就是過濾)
2.確保功能可以達到(通過log file也確定是否正確)
3.首先定義安全策略()
4.安全考量
1.技術面
2.組織架構
3.公司文化
4.管理
5.業務運營
6.風險
5.安全政策成功因素
1.最重要的是高層主管支援
2.與工作相融合不能有衝突的部分
3.思考以下部分(業務流程、技術流程呢個、管理流程)
4.具體的實現(隱私權()、身份管理(對主管進行調查確信可信任)、應用程式、基礎架構、管理)
6.安全問題解決思考
1.不同的需求都考慮在範圍內
2.erp->vpn->crm(客戶關係管理)->erp
3.必須要求一致性
7.實施安全政策
1.軟硬體配置標準(例如防毒、防火牆)
2.變更(例如檔案的銷毀,使用者的註冊等等)
3.基線(最小的安全等級和一致性、例如windows 2003必須打哪些補丁)
以上三個都有強制性
4.可有可無的標準(tcsec和itsec規劃等等他們的差別是tcsec主要是系統、itsec加入網路)
8.如何做好安全管理
1.定義角色和責任
1.一起定義角色和責任(最高層主管、資訊保安專家、owners(擁有者)、管理員、使用者)
2.僱傭人員事要注意(驗證員工的工作履歷、驗證員工學歷、簽署合約、對高層進行背景調查)
3.離職慎重處理(有兩種情況第乙個是自願離職可以給一定緩衝時間、第二個是公司開除不要留任何緩衝時間)
4.工作方面的事項(重要的工作專案要分工(避免私下串通)、定期工作輪換(舞弊的安全問題)、強制性休假)
5.確保公司一定程度的安全(內部和外部的審計、高層做不定期的抽查以及安全措施和改進的地方、滲透測試、安全意識宣傳(讓公司了解安全重要)、技能培訓、更深入的培訓(讓他們知道什麼是密碼學))
2. 分級制度
1.重要性(標識重要資產、等級高的進行保護、增加企業的優勢、保**律訴訟檔案、根據等級來進行優先恢復減小公司損失)
2.方向(公務類別、競爭對手有關的類別、公司財務有關的類別)
3.誰來實施分級(擁有者來進行分級:足夠的知識、要了解法律要求、講求一直性、分級標準定義、加密和解密還有過期性(銷毀程式等))
4.注意事項(貼上警告標籤、定期嚴查重要的資料例如備份、資料刪除的時候要注意是否被徹底刪除乾淨、遵循適當的刪除策略)
3.風險管理和分析
1.風險管理目的(找出威脅**,讓風險做到可以接受的)
2.風險如何形成(威脅和弱點共同存在)例如公司沒有安裝防火牆就屬於公司的弱點,網路上的黑客就是對公司的威脅,如果黑客利用公司的弱點進行攻擊成功,那麼就有乙個風險
3.風險分析重要性(在企業內部標識風險,及時做好防禦措施、考慮法律法規)
4.新的威脅的產生(新的技術、文化的改變、新產品的出現)
5.成功關鍵要素(1.高層主管的支援、2.成立風險評估小組、3.尋找人員加入小組)
6.公司現有狀況可以做到的程度
7.風險分析型別(定量(數位化)、定性(情景以高中低來進行劃分))
CISSP學習筆記之安全管理基礎
1.安全管理基礎概念 1.標識組織的所有資訊資產 2.分析安全風險 3.定義安全的重要性,隨時有警覺的心 4.對安全管理有實施的計畫 2.安全所要具備的要素 1 cia c 機密性 避免資產被未經過授權的人訪問包括授權的和非授權的 a 可用性 及時而穩定的獲取資源 i 完整性 避免未經授權的人做修改...
cissp筆記 實施身份管理之kerberos
關於kerberos,不是很懂,看到csdn上有個大神,深入淺出的講解了一下,沒有看完,但是感覺應該有了這個文章,足夠解決kerberos的問題了。位址如下 但是就cissp來說,kerberos只是實施身份管理中的一小部分知識,研究的也不是很深入。下面來介紹一下kerberos kerberos ...
CISSP備考系列之物理安全 10 29
cissp是小眾,與mcse,ccna一類的不同,資料很少。本人在準備cissp考試。總結一些考點,供大家參考 內容主要是 cissp認證考試權威指南 第4版 的讀書筆記,感謝作者和譯者,替他們宣傳一下。物理安全 1,最重要,因為如果能夠物理地接觸到你的裝置,訪問者將無所不能。2,關鍵路徑分析 cr...