CISSP复习笔记

1.安全管理基础概念。

1.标识组织的所有信息资产。

2.分析安全风险。

3.定义安全的重要性，随时有警觉的心。

4.对安全管理有实施的计划。

2. 安全所要具备的要素。

1、ciac 机密性避免资产被未经过授权的人存取包括授权的和非授权的。

a 可用性及时而稳定的获取资源。

i 完整性避免未经授权的人做修改和经授权的人做未经允许的修改。

安全需要。1.功能面(防火墙的功能就是过滤)

2.确保功能可以达到(通过log file也确定是否正确)

3.首先定义安全策略()

4.安全考量。

1.技术面。

2.组织架构。

3.公司文化。

4.管理。5.业务运营。

6.风险。5.安全政策成功因素。

1.最重要的是高层主管支持。

2.与工作相融合不能有冲突的部分。

3.思考以下部分(业务流程、技术流程呢个、管理流程)

4.具体的实现(隐私权()、身份管理(对主管进行调查确信可信任)、应用程序、基础架构、管理)

6.安全问题解决思考。

1.不同的需求都考虑在范围内。

vpn->crm(客户关系管理)->erp

3.必须要求一致性。

7.实施安全政策。

1.软硬件配置标准(例如防毒、防火墙)

2.变更(例如文件的销毁，用户的注册等等)

3.基线(最小的安全等级和一致性、例如windows 2003必须打哪些补丁)

以上三个都有强制性。

4.可有可无的标准(tcsec和itsec规划等等他们的差别是tcsec主要是系统、itsec加入网络)

8.如何做好安全管理。

1.定义角色和责任。

1.一起定义角色和责任(最高层主管、信息安全专家、owners(拥有者)、管理员、用户)

2.雇佣人员事要注意(验证员工的工作履历、验证员工学历、签署合约、对高层进行背景调查)

3.离职慎重处理(有两种情况第一个是自愿离职可以给一定缓冲时间、第二个是公司开除不要留任何缓冲时间)

4.工作方面的事项(重要的工作项目要分工(避免私下串通)、定期工作轮换(舞弊的安全问题)、强制性休假)

5.确保公司一定程度的安全(内部和外部的审计、高层做不定期的抽查以及安全措施和改进的地方、渗透测试、安全意识宣传(让公司了解安全重要)、技能培训、更深入的培训(让他们知道什么是密码学))

2. 分级制度。

1.重要性(标识重要资产、等级高的进行保护、增加企业的优势、保**律诉讼文件、根据等级来进行优先恢复减小公司损失)

2.方向(公务类别、竞争对手有关的类别、公司财务有关的类别)

3.谁来实施分级(拥有者来进行分级：足够的知识、要了解法律要求、讲求一直性、分级标准定义、加密和解密还有过期性(销毁程序等))

4.注意事项(贴上警告标签、定期严查重要的资料例如备份、资料删除的时候要注意是否被彻底删除干净、遵循适当的删除策略)

3.风险管理和分析。

1.风险管理目的(找出威胁**，让风险做到可以接受的)

2.风险如何形成(威胁和弱点共同存在)例如公司没有安装防火墙就属于公司的弱点，网络上的黑客就是对公司的威胁，如果黑客利用公司的弱点进行攻击成功，那么就有一个风险。

3.风险分析重要性(在企业内部标识风险，及时做好防御措施、考虑法律法规)

4.新的威胁的产生(新的技术、文化的改变、新产品的出现)

5.成功关键要素(1.高层主管的支持、2.成立风险评估小组、3.寻找人员加入小组)

6.公司现有状况可以做到的程度。

7.风险分析类型(定量(数字化)、定性(情景以高中低来进行划分))

确保授权的用户能够对数据和资源进行及时的和可靠的访问。

措施：回滚、故障切换配置。

反面：破坏（destruction）

保证信息和系统的准确性和可靠性，并禁止对数据的非授权更改。

措施：配置管理（系统完整性）、变更控制（进程完整性）、访问控制（物理的和技术的）

反面：篡改（alteration）

确保在数据处理的每一个交叉点上都实施了必要级别的安全保护并阻止未经授权的信息披露。

措施：访问控制（物理的和技术的）

反面：披露（disclosure）

肩窥（shoulder surfing），社会工程（social engineering）

脆弱性（vulnerability）：缺少安全措施或采用的安全措施有缺陷。

威胁（threat）：利用脆弱性带来的潜在危险。

风险（risk）：威胁主体利用脆弱性的可能性以及相应的业务影响。

暴露（exposure）：造成损失的实例。

控制（control）或对策（countermeasure）：消除或降低潜在的风险。

按类型分：管理控制（软控制）、技术控制（逻辑控制）、物理控制。

按功能分 o 威慑性（deterent）：威慑潜在攻击者。

o 预防性（preventive）：避免意外事件的发生。

o 纠正性（corrective）：意外事件发生后修补组件或系统，例如计算机映像。

o 恢复性（recovery）：使环境恢复到正常的操作状态，例如数据备份。

o 检测性（detective）：帮助识别以外活动和潜在入侵者。

o 补偿性（compensating）：提供可替代的控制方法

组织安全规划的必要组成部分。

英国标准7799（british standard 7799，bs7799）

信息安全管理体系（information security management system，isms）

iso/iec 27000：世界上从全盘考虑的安全控制管理的最佳行业实践

o 戴明环：计划-执行-检查-处理，plan-do-check-action，pdca

汇总安全规划中所列出的要求，并将之集成到公司现有业务结构中。

john zachman开发，用于定义和理解商业环境。

二维模型 o 横向为5w1h：什么（数据）、如何（功能）、**（网络）、谁（人）、何时（时间）、为何（动机）

o 纵向为不同的视角：计划人员、所有者、设计人员、建设人员、实施人员、工作人员。

开放群组（open group）开发，用于定义和理解商业环境。

业务架构、数据架构、应用程序架构、技术架构。

美国国防部架构框架（department of defense architecture framework，dodaf）

英国国防部架构框架（british ministry of defense architecture framework，modaf）

舍伍德的商业应用安全架构（sherwood applied business security architecture，sabsa）：风险驱动的企业安全架构，将安全映射到商业计划，与zachman框架相似。

满足服务水平协议（service level agreement，sla）

关注要落实到位的控制目标，以达成安全规划和企业架构所列出的目标。

信息及相关技术的控制目标（control objectives for information and related technology，cobit）：一组控制目标集，用来作为it治理的框架，由isaca和itgi开发，分成4个领域

o 计划和组织（plan and organize）

o 获得与实现（acquire and implement）

o 交付与支持（deliver and support）

o 监控与评价（monitor）

sp 800-53：由nist开发的用于保障美国联邦系统安全的控制集。

发起组织委员会（committee of sponsoring organizations）2024年开发，用来处理财务欺诈活动并汇报，应对萨班斯-奥克斯利法案（sarbanes-oxley act， sox）

安全控制是工具，流程是如何使用这些工具。

信息技术基础设施库（information technology infrastructure library，itil）：it服务管理的最佳实践的事实标准。

六西格玛：摩托罗拉开发，目标是在生产过程中识别和消除缺陷。

能力成熟度模型集成（capability maturity model integration）

自动风险分析：减少风险分析任务的手动难度，进行快速计算。

单一损失期望（single loss expectany，sle）

暴露因子（exposure factor，ef）

资产价值×ef=sle

年发生比率（annualized rate of occurrence）

年度损失期望（annual loss expectancy）

sle×aro=ale

因为数据本身多少会有一些主观性，因此无法做到完全客观。

不确定性：对估计缺乏信心的程度。

delphi技术：匿名投票。

定性和定量的目标都是评估公司面临的实际风险并给出威胁的严重程度等级（severity level）

注意与定性分析给出的风险评级区分开。

实现防护措施前的ale - 实现防护措施后的ale - 防护措施每年的成本 = 防护措施对公司的价值。

威胁×脆弱性×资产价值=总风险。

总风险×控制间隙=剩余风险。

总风险-对策=剩余风险。

转移：买保险。

规避：终止引入风险的活动。

缓解：把风险降低至可接受的级别。

接受。策略：高级管理层（或是选定的董事会和委员会）制定的一个全面声明，它规定安全在组织机构内所扮演的角色，分规章性策略、建议性策略、指示性策略。

标准：强制性的活动、动作或规则，可以为策略提供方向上的支持和实施。

基准：所需要的最低保护级别。

指南：没有应用特定标准时向用户、it人员、运营人员及其他人员提供的建议性动作和操作指导。

流程：为达到特定目标而应当执行的详细的、分步骤的任务。

商业公司：机密（confidential）、隐私（private）、敏感（sensitive）、公开（public）

军事机构：绝密（top secret）、秘密（secret）、机密（confidential）、敏感但未分类（sensitive but unclassified，sbu）、未分类（unclassified）

对特定信息的子集和应用负最终责任。

负责数据的保护与维护工作。

职责分离：预防性管理措施。

岗位轮换：检测性管理措施。

强制休假：检测性管理措施。