返回
cissp的成长之路(七):复习信息安全管理

cissp的成长之路(七):复习信息安全管理

ID:9647162

大小:50.50 KB

页数:3页

时间:2018-05-04

cissp的成长之路(七):复习信息安全管理_第1页
cissp的成长之路(七):复习信息安全管理_第2页
cissp的成长之路(七):复习信息安全管理_第3页
资源描述:

《cissp的成长之路(七):复习信息安全管理》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、CISSP的成长之路(七):复习信息安全管理  在51CTO安全频道特别策划的CISSP的成长之路系列的上一篇文章《复习流程和资源》里,J0ker给大家介绍了一般的复习流程和对复习比较有帮助的资源。从本文开始,J0ker将带大家进入CISSP考试的正式复习过程:2007年(ISC)2修改过CISSP考试的各CBK名称和内容,虽然新内容绝大部分和原来的CISSPCBK相同,但还是增加了一些新内容。J0ker手上只有比较老的CISSPOfficialGuide和CISSPAllinOne3rd(J0ker准备考试时也是用这两本资料,对增加新内容的考试还可以应付),所以在本系列文章中

2、依然沿用(ISC)2修改前的CBK名称和内容,J0ker会按照CISSPOfficialGuide的内容安排给大家介绍一下复习中的心得和要点,限于J0ker自己水平和各人的情况不同可能有所不足,请大家原谅。  CISSP复习的第一章InformationSecurityManagement  安全行业有句行话,三分技术,七分管理,意为安全技术应该从属于管理。不少安全厂商在推销自己的产品时,常常只顾鼓吹说自己的产品有多好,却没有向客户说明产品是否适用于目标企业的实际环境。CISSP需要明白,安全技术也好,安全产品也好,都是必须从属于安全管理,只能因管理而技术,从安全技术和产品的使

3、用去推导安全管理应该怎么做,就是本末倒置了。因此CISSPCBK中引入了InformationSecurityManagement这一概念,假如把企业的信息安全计划比作一艘船,信息安全管理就如同灯塔,指挥着船往哪里走,怎么走,如果舵手(CISSP)不按照灯塔(InformationSecurityManagement)的指示走,船就很可能触礁沉没(安全项目失败,或达不到想要的效果)  信息安全管理,或者说所有的信息安全项目,都是围绕着实现信息资产的A-I-C三角而设计和实施的。所谓的A-I-C三角,也即信息资产的三个重要属性:  Availability,可用性,保证信息资产对

4、授权的用户随时可用;  Integrity,完整性,保证信息资产不受有意或无意的未授权修改;  Confidentiality,保密性,保证信息资产不受未经授权的访问。  A-I-C三角也是贯穿整个CISSPCBK内容的宗旨。因此,对一个组织实体来说,信息安全管理的内容就是识别信息资产的类型价值,并通过开发、记录和实施安全策略(Policies)、标准(Standards)、流程(Procedures)和指导(Guidelines)来确保信息资产的A-I-C属性。在这个过程中,需要对信息资产进行识别和分级、识别可能威胁信息资产的威胁、并对可能存在的漏洞进行评估,我们可以使用数据

5、分级(Dataclassification)、安全意识教育(SecurityAent)和风险分析(RiskAnalysis)这些工具来完成。J0ker将在接下去的文章里面再给大家详细解释上面提到的各个名词。  在CISSPCBK中还可以看到一个和信息安全管理相似的名词风险管理(RiskManagement),信息安全管理是从管理流程的角度实现信息资产的保护,而风险管理则是从风险防范的角度出发,将风险对信息资产的损害降到最低。风险管理是识别、评估、控制和最小化风险或未确定因素对信息资产的损害的过程,它包括整体安全评估(OverallSecurityRevieentDecision

6、)、防御方案部署(SafeguardImplementation)和效能评估(EffectivenessRevieinistrativeControl,各种策略流程等管理措施)手段来保证可用性。  Integrity,是确保信息资产不被有意或无意的未授权修改的能力,完整性通常由访问控制(AccessControl,各种验证、授权手段)和安全程序(SecurityProgram,保证信息和处理流程按照设计好的来执行,并提供数据完整性检查能力)这两者提供。另外,完整性控制还有以下三个原则:  1、Needtoknow/LeastPrivilege,最低权限策略,用户应该只获得完成其

7、工作的最低限度的资源访问和操作权限。  2、SeparationofDuties,职权分离,确保较为重要的工作流程由多人完成,防止出现欺诈行为。比如常见的财务人员和审计人员分属于不同的部门便是职权分离的例子。  3、RotationofDuties,职务轮换,定期轮换重要职务上的人员,有助于防止出现欺诈,也可以在当前人员缺席的情况下很快使用其他人员替代。  Confidentiality,是确保信息资产不被未授权用户访问的能力,最近几年很受关注的身份管理和隐私问题也属于保密性这一范畴。常见的

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。