随笔分类 - CISSP
摘要:一.软件安全面临的问题 1.历史软件安全的难题 传统编程人员没有接受过安全教育 操作系统和应用程序一开始就没有建立安全架构 软件开发不是面向安全,后期集成很困难 2.不关注安全的主要原因 安全不是开发的主要考虑因素 很多安全从业人员不是开发人员,无法第一时间提出合理化建议 开发软件没有重视安全问题
阅读全文
摘要:一.运营基础概念 1.关键主题 1)维护运营弹性 关键业务有弹性,保持连续性,制订有应急预案,实时监控和响应 2)保护有价值的资产 提供各种资产的日常维护 保护资产不被破坏 3)控制系统账号 对各种帐号(尤其是特权帐号)的检查,平衡用途 4)有效管理安全服务 IT服务的变更、配置和问题管理 安全配置
阅读全文
摘要:一.基本概念 1.基本目标 安全评估与测试实现以下目标: 衡量系统和能力开发进展; 专长就是对系统生命周期在开发过程提供系统强度和弱点的初期认知; 为协助在开发、生产、运营和维护系统能力过程中的风险管理提供相应的知识; 能够在部署系统之前识别技术的、操作的和系统缺陷以便开展适当的、及时的纠正行为。
阅读全文
摘要:Kerberos 是一种网络认证协议,其设计目标是通过密钥系统为客户机 / 服务器应用程序提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下, Kerberos
阅读全文
摘要:一.基本概念 1.主体和客体 主体:一个主动的实体,它请求对客体或客体内的数据进行访问。 客体:包含被访问信息或者所需功能的被动实体。 主体在一个系统或区域内应当可问责。确保可问责性的唯一方法是主体能够被唯一标识,且记录在案。 主体访问客体的要素:身份标识(你是谁)、身份验证(我是谁、我知道什么、我
阅读全文
摘要:IPSec(IP Security)是IETF制定的为保证在Internet上传送数据的安全保密性能的三层隧道加密协议。IPSec在网络层对IP报文提供安全服务。IPSec协议本身定义了如何在IP数据包中增加字段来保证IP包的完整性、 私有性和真实性,以及如何加密数据包。使用IPsec,数据就可以安
阅读全文
摘要:一.传输介质类型 1.基本概念 计算机总是以二进制的数字(0或1)形式工作 1)数字和模拟 模拟数据一般采用模拟信号(Analog Signal),例如用一系列连续变化的电磁波(如无线电与电视广播中的电磁波),或电压信号(如电话传输中的音频电压信号)来表示。存在无线多的状态,随着线缆的长度,波形会变
阅读全文
摘要:一.ISO参考模型 OSI七层模型一般指开放系统互连参考模型 (Open System Interconnect 简称OSI)是国际标准化组织(ISO)和国际电报电话咨询委员会(CCITT)联合制定的开放系统互连参考模型,为开放式互连信息系统提供了一种功能结构的框架。 它从低到高分别是:物理层、数据
阅读全文
摘要:系统评估方法 保证评估研究系统的安全相关部分,包括TCB、访问控制机制、引用监视器、内核以及保护机制。 此外,对这些组件之间的关系和相互作用也要进行评估。对系统的保证级别进行评估和指定有着不同的方法。 国际标准化组织指定了全球使用的一种国际性标准准则(简称CC),被编制国家标准 ISO/IEC 15
阅读全文
摘要:一、计算机组成 1.中央处理器 CPU从逻辑上可以划分成3个模块,分别是控制单元、运算单元和存储单元,这三部分由CPU内部总线连接起来。 控制单元 控制单元是整个CPU的指挥控制中心,由指令寄存器IR(Instruction Register)、指令译码器ID(Instruction Decoder
阅读全文
摘要:定义:是保护资源的人员、过程、措施和设备的组合 目标:对攻击者起到震慑(栅栏、安保人员、警示标识)、延迟机制减少损失(锁、安保人员)、犯罪行为检测(探测器、CCTV)、事故评估、响应措施 物理安全与信息安全、业务连续性的关系 信息安全通过业务过程和技术方法来处理资源和数据的内部和外部威胁 业务连续性
阅读全文
摘要:一.基础概念 公钥基础设施顾名思义是面向非对称算法的。这个到底有啥作用呢?接下来通过以下几个问题来解答下其中的用途: 1)怎么证明公钥未被冒用,或者是已经替换成攻击者的? 最好的办法是谁都不信,找一个中立机构。类似于生活中的公正人、公证机构。 2)那么怎么证明你是你呢? 由公立机构来标明你的身份信息
阅读全文
摘要:一、密码学的定义及概念 1.术语定义 密码学:是研究编制密码和破译密码的技术科学。研究密码变化的客观规律,应用于编制密码以保守通信秘密的,称为编码学;应用于破译密码以获取通信情报的,称为破译学,总称密码学。密码学的目标是使信息获取的更加耗时而不值得攻击,最早源于古希腊。 密码算法:密码系统采用的加密
阅读全文
摘要:一.信息安全模型 1.信息安全模型,具体特点: 1)是精确的,无歧义的 2)简单的,抽象的,易于理解的 3)涉及安全性质,不过分限制系统的功能与实现 2.访问控制模型分类 1)自主访问控制模型(DAC) linux下对于文件、文件夹的rwx权限控制,windows下的文件、文件夹的权限控制均属于自主
阅读全文
摘要:一、关于信息安全管理体系(ISMS) Information Security Management Systems信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表(Checklists
阅读全文
摘要:一、信息生命周期的四个阶段 获取阶段:从复制和开始创建开始。 使用阶段:保持内部的一致性;使用过程中受到法律约束。 存档阶段:不再使用的数据的拷贝,目的是在某个时间可能还会使用。一定条件下可以删除,以腾挪存储空间。 备份:当前正在使用的文件的副本,目的是能恢复丢失的原始数据。 处置阶段:不在使用的数
阅读全文
摘要:一、引言 在我们日常工作中常常会将业务连续性管理(BCM)和灾难恢复(DR)两个概念混淆,两者之间有内在联系,但也有所不同。业务连续性管理更加宽泛,关注企业的战略,以保障业务运营为目标,解决全生命周期的问题,而后者更加注重具体操作,以系统为目标,着重解决事中的问题,同步处理事后的问题。一般来讲,可以
阅读全文
摘要:一、术语定义 1.灾难备份中心 backup center for disaster recovery/备用站点 alternate site 用于灾难发生后接替主系统进行数据处理和支持关键业务功能运作的场所,可提供灾难备份系统 、备用的基础设施和专业技术支持及运行维护管理能力,此场所内或周边可提供
阅读全文
摘要:一、关于标准 业务连续性管理体系(BCMS——Business Continuity Management System)是国内同等转换ISO业务连续性管理体系的国家标准。常用的有两个标准 GB/T 30146-2013/ISO 22301:2012 公共安全 业务连续性管理体系 要求 GB/T 3
阅读全文
摘要:开篇闲谈,先说下为什么要把NIST SP800-34拿出来单独说: 1.从CISSP考试看,整个考试涉及8个领域,至少3个领域提出了业务连续性管理,从规划、运营到具体的实现技术及应用,涉及方方面面。业务连续性管理贯穿信息安全知识体系的所有部分,是CIA中可用性的重要保障。 2.从企业的运营看,信息技
阅读全文
浙公网安备 33010602011771号