CISSP学习笔记:通过原则和策略的安全治理
#第一章 通过原则和策略的安全治理
1.1 理解和应用机密性、完整性和可用性的
安全的主要目标,CIA三元组 机密性、完整性和可用性,每条原则的重要性主要取决于组织的安全目标以及安全性所受到的威胁程度
1.1.1 机密性
- 机密性:限制未授权主体不能访问数据、客体或资源提供了高级别保证
- 针对机密性的攻击:捕捉网络通信、窃取密码文件、社会工程学、端口扫描、肩窥、偷听、嗅探攻击,人为错误
- 有助于机密性的对策: 加密、网络流量填充、严格的访问控制、严格的认证程序、数据分类和广泛的人员培训
- 机密性和完整性相互依赖
1.1.2 完整性
- 完整性:客体必须保持自身的正确性,并且只能由被授权的主体进行有意修改
- 针对完整性的破坏: 病毒、逻辑炸弹、未授权访问、编码和应用程序的错误、恶意修改、有企图的替换以及系统后门,人为错误
- 保护完整性的措施:严格的访问控制、严密的身份认证、入侵检测系统、加密、散列总和认证、接口限制、输入/功能检测以及广泛的人员培训
- 完整性依赖机密性,缺乏机密性,完整性无法维护
1.1.3 可用性
- 可用性:经过授权的主体被及时准许和不间断的访问客体
- 针对可用性的威胁:设备故障、软件错误、环境问题、DOS攻击、客体损坏和通信中断
- 可用性依赖完整性和机密性,缺乏完整性和机密性无法维护可用性
1.1.4 其他安全概念
- 身份标识
- 主体表明身份,并开启可问责性
- 身份认证:认证或测试所声明身份合法性的过程就是身份认证,身份认证要求主体的附加信息必须完全对应于被表明的身份
- 授权
- 确保请求的活动或客体访问,可以获得通过身份认证和指派的权利和特权,对授权的定力使用了访问控制模型中的概念,如DAC,MAC或RBAC
- 审计
- 审计是对系统中未授权的或异常的活动进行检测的过程,日志为重建事件、入侵和系统故障的历史提供了审计跟踪,通过审计为起诉提供证据、生成问题报告和分析报告
- 审计通常为操作系统和大多数应用程序和服务的内在特性,因此配置系统功能来记录特定类型时间的相关信息非常简单
- 可问责性
- 只有支持可问责性,才能正确实施组织的安全策略
- 为 了获得切实可行的可问责性,在法律上你必须能够支持自己的安全性
- 不可否认性
- 不可否认性确保活动或事件的主体无法否认所发生的事情
- 身份标识、身份认证、授权、可问责性和审计使不可否认性称为可能,使用数字证书、会话标识符、事务日志以及其他很多传输和访问控制机制,建立不可否认性
1.1.5 保护机制
许多控制通过使用保护机制对机密性、完整性和可用性保护
- 分层
- 简单的使用连续的多重控制,也被称为深度防御,连续分层使用串行分层法
- 分层还包括网络由多个独立实体组成的概念,所有构成的单个安全防线的网络系统之间存在协同作用,共筑安全防线
- 抽象
- 为提高效率而使用的,将相似的元素放入组、类别或角色中,在为客体分类或主体分配角色时,就使用到抽象的概念
- 抽象能够为安类型或功能分类的客体组分配安全控制方法,并抽象简化安全措施
- 数据隐藏:
- 将数据置于主体不可访问或无法看到的存储空间,从而防止主体发现或访问数据
- 不让未授权的访问者访问数据库是隐藏,限制分类级别较低的主体访问级别较高的数据是隐藏,组织应用程序直接访问硬件还是数据隐藏
1.2 应用安全治理原则
- 安全治理是实践行为的集合,这些实践都支持、定义和指导组织的安全工作相关
- 安全治理的共同目标就是维护业务流程,同时努力实现增长和弹性
- 安全治理也有合规性上的需求,是实施安全的解决方案和管理方法,安全是整个组织同时进行管理和控制的,而不只是在IT部门
1.2.1 安全功能战略、目标、任务和愿景的一致
- 安全管理计划能确保安全策略的适当创建、实现和实施
- 安全策略编制的最好方法是自上而下,高层或管理部门负责启动和定义组织的安全策略,安全策略为组织中较低级别的人员指出防线,中层管理部门的职责是在安全策略的指导下制定标准、基准、指导方针和程序,操作管理者和安全专家负责实现安全管理文档中规定的配置要求,用户遵守组织制定的安全策略
- 安全管理计划编制包括:定义安全角色;规定如何管理安全性、谁负责安全性 以及如何测试安全性的效益;开发安全策略;执行风险风险;对员工进行安全教育
安全管理计划团队开发的三种计划 - 战略计划: 相当稳定的长期计划,定义组织的目标,长期的目标和愿景在战略计划中被讨论,还包括风险评估
- 战术计划:中期计划,用于提供实现战略计划所提出目标的详细细节,包括项目计划、采购计划、雇佣计划、预算计划、维护计划、支持计划以及系统开发计划
- 操作计划:基于战略计划和战术计划制定的非常周详的计划,清楚说明了如何完成组织机构的各种目标,包括:培训计划、系统部署计划和产品设计计划
1.2.2 组织流程
- 安全治理需要照顾到组织的方方面面,包括收购、剥离和治理委员会等组织流程
变更控制/变更管理 - 安全环境的改变可能引入导致心脆弱性出现的漏洞、重叠、客体丢失和疏漏,面对变更,维持安全性的唯一方法就是系统的管理变更
- 变更管理的目的就是确保任何变更都不能降低或危机安全性,还负责能够将任何变更都回滚到先前的安全状态
- 并行变更是变更管理过程的示例,旧系统和新系统并行运行,确保新系统支持老系统所支持和提供的所有必须的业务功能性
数据分类 - 分类的主要目的: 根据重要性和敏感性给数据分配标签,对数据安全保护过程进行规范化和层次化
- 政府/军方分类: 绝密、秘密、机密、敏感但非机密、非机密
- 商业/私营部门的分类: 机密、隐私、敏感、公开
1.2.3 安全角色和责任
- 高级管理者:最终负责组织机构安全维护和最关心保护资产的人,高层管理者对安全解决方案的总体成败负有责任,并且对组织机构建立安全性予以适度关注并尽职尽责
- 安全专家:职责是保护安全性,包括制定和实现安全策略,安全专家不是决策制定者,只是实现者,决策都必须又高层管理制定
- 数据所有者: 分配给再安全解决方案中为了防止和保护信息而负责对信息进行分类的人,
- 数据管理员:负责实施安全策略和上层管理者规定的保护任务的用户,这些措施包括:完成和测试数据备份,确认数据的完整性,部署安全解决方案以及根据分类管理数据存储
- 用户:分配给具有安全系统访问权限的任何人
- 审计人员:负责测试和认证安全策略是否被正确实现以及衍生出来的安全解决方案是否合适,完成遵守情况报告和有效性报告,高层管理者审查这些报告
1.2.4 控制架构
- 安全指定计划必须从规划计划开始,然后规划标准和合规,最后进行实际的计划开发和设计
- 信息及相关控制目标(COBIT),记录了一整套优秀的IT安全实践
1.2.5 应尽关注和应尽职责
- 应尽关注:通过合理的关注保护组织利益,开发规范化的安全结构
- 应尽职责:不断实践维护应尽关注成果的活动,将安全结构应用到机构的IT基础设施中
- 高管必须做到应尽关注和应尽职责才能在出现损失时减少他们的过过失和职责
1.3 开发和文档化安全策略、标准、指导方针和程序
维护安全性是业务发展的重要组成部分
1.3.1 安全策略
- 规范化的最高层次就是安全策略,许多组织都采用多种类型的安全策略来定义或概括他们整体的安全策略
- 规章式的策略:用于让人们遵守规章制度的安全措施
- 建议式策略:讨论可接受的行为和活动,并且定义违背安全性的后果,这种策略解释了高层管理部门对组织内部安全和遵守规定的期望
- 信息式的安全策略:设计用于提供特定主体的相关信息或知识
1.3.2 安全标准、基准及指南
- 标准为硬件、软件、技术和安全控制方法的统一使用定义了强制性要求,标准是战术文档,定义达到安全策略指定的目标和总体方向的步骤和方法
相关文章:
CISSP学习笔记:通过原则和策略的安全治理
#第一章 通过原则和策略的安全治理 1.1 理解和应用机密性、完整性和可用性的 安全的主要目标,CIA三元组 机密性、完整性和可用性,每条原则的重要性主要取决于组织的安全目标以及安全性所受到的威胁程度 1.1.1 机密性 机密性:限制未授权主…...
【Java 进阶篇】数据定义语言(DDL)详解
数据定义语言(DDL)是SQL(结构化查询语言)的一部分,它用于定义、管理和控制数据库的结构和元素。DDL允许数据库管理员、开发人员和其他用户创建、修改和删除数据库对象,如表、索引、视图等。在本文中&#x…...
MySQL详细案例 1:MySQL主从复制与读写分离
文章目录 1. MySQL主从复制1.1 使用场景1.2 MySQL的复制类型1.3 主从复制的作用1.4 主从复制的工作过程1.5 实现MySQL主从复制1.5.1 前置准备1.5.2 主服务器mysql配置1.5.3 从服务器1 mysql配置1.5.4 从服务器2 mysql配置 1.6 MySQL主从复制延时问题的原因和解决办法1.6.1 故障…...
Kafka 常见问题
文章目录 kafka 如何确保消息的可靠性传输Kafka 高性能的体现利用Partition实现并行处理利用PageCache 如何提高 Kafka 性能调整内核参数来优化IO性能减少网络开销批处理数据压缩降低网络负载高效的序列化方式 kafka 如何确保消息的可靠性传输 消费端弄丢了数据 唯一可能导致…...
如何去开展软件测试工作
1. 软件测试 在一般的项目中,一开始均为手动测试,由于自动化测试前期投入较大,一般要软件项目达到一定的规模,更新频次和质量均有一定要求时才会上自动化测试或软件测试。 1.1. 项目中每个成员的测试职责 软件测试从来不是某一…...
详解如何在python中实现简单的app自动化框架
一、app自动化环境搭建 1、安装jdk及配置jdk的环境变量 app底层是c语言,应用层是java,所以需要jdk 2、安装SDK,配置android SDK环境 3、安装模拟器 4、下载安装Appium工具 01、appium客户端 appium destop 服务器 02、命令行安装&#…...
【TCP】三次握手 与 四次挥手 详解
三次握手 与 四次挥手 1. 三次握手2. 四次挥手三次握手和四次挥手的区别 在正常情况下,TCP 要经过三次握手建立连接,四次挥手断开连接 1. 三次握手 服务端状态转化: [CLOSED -> LISTEN] 服务器端调用 listen 后进入 LISTEN 状态ÿ…...
正则表达式新解
文章目录 是什么?正则用法匹配单个字符匹配一组字符其他元字符核心函数 贪婪匹配和非贪婪匹配正则练习 是什么? 正则表达式(Regular Expression)是一种文本模式,包括普通字符(例如,a 到 z 之间的字母)和特殊…...
MissionPlanner编译过程
环境 windows 10 mission planner 1.3.80 visual studio 2022 git 2.22.0 下载源码 (已配置git和ssh) 从github上克隆源码 git clone gitgithub.com:ArduPilot/MissionPlanner.git进入根目录 cd MissionPlanner在根目录下的ExtLibs文件下是链接的其它github源码࿰…...
SpringBoot 员工管理---通用模板 ---苍穹外卖day2
感谢点击 希望你有所收获! 目录 1.新增员工 需求分析:根据页面原型进行业务分析 接口设计 数据库设计 代码开发 功能测试 如何在接口文档中统一添加JWT令牌 获取当前登录员工的ID 2.员工分页查询 需求分析 代码开发 如何将日期格式化 3.启用禁用员工 1.新…...
可信执行环境(Tee)入门综述
SoK: Hardware-supported Trusted Execution Environments [ArXiv22] 摘要引言贡献 范围系统和威胁模型系统模型威胁模型共存飞地对手无特权软件对手系统软件对手启动对手外围对手结构对手侵入性对手 关于侧信道攻击的一点注记 VERIFIABLE LAUNCH信任根(RTM…...
Java浮点运算为什么不精确
有的时候博客内容会有变动,首发博客是最新的,其他博客地址可能会未同步,认准https://blog.zysicyj.top 首发博客地址[1] 面试题手册[2] 系列文章地址[3] 1. 什么是 Java 浮点运算? 在 Java 中,浮点运算指的是对浮点数进行加减乘除等基本运算…...
linux使用操作[1]
文章目录 版权声明快捷键ctrl c 强制停止ctrl d 退出、登出history命令光标移动快捷键清屏快捷键 软件安装命令常见linux系统包管理器yum命令apt命令 systemctl命令软连接日期&时区修改linux时区ntp程序 IP地址&主机名ip&主机名域名解析win配置主机名映射虚拟机…...
权限提升Linux篇
提权工具 https://github.com/liamg/traitor https://github.com/AlessandroZ/BeRoot https://github.com/rebootuser/LinEnum https://github.com/mzet-/linux-exploit-suggester https://github.com/sleventyeleven/linuxprivchecker https://github.com/jondonas/linux…...
影刀自动化采集底层逻辑
hello,大家好,这里是【玩数据的诡途】 接上回 <我的影刀故事> 今天给大家介绍一下整个采集的底层逻辑,包括业务流程自动化也是基于这一套基础逻辑进行展开的,顺便带大家熟悉一下影刀,既然叫影刀系列了,那后续一些…...
swiper使用
介绍 Swiper(swiper master)是一个第三方的库,可以用来实现移动端、pc端的滑动操作。,swiper应用广泛,使用频率仅次于jquery, 轮播图类排名第一,是网页设计师必备技能,众多耳熟能详的品牌在使用…...
基于遗传算法解决的多仓库多旅行推销员问题(Matlab代码实现)
💥💥💞💞欢迎来到本博客❤️❤️💥💥 🏆博主优势:🌞🌞🌞博客内容尽量做到思维缜密,逻辑清晰,为了方便读者。 ⛳️座右铭&a…...
微信小程序 工具使用(HBuilderX)
微信小程序 工具使用:HBuilderX 一 HBuilderX 的下载二 工具的配置2.1 工具 --> 设置 --> 运行配置2.1.1 微信开发者工具路径2.1.2 node 运行配置 2.2 插件 工具 --> 插件安装2.2.1 下载插件 三 微信小程序端四 同步运行五 BUG5.1 nodemon在终端无法识别 一 HBuilderX…...
)
设计模式:观察者模式(C++实现)
观察者模式(Observer Pattern)是一种设计模式,用于定义对象之间的一对多依赖关系,当一个对象(称为主题或可观察者)的状态发生变化时,它的所有依赖对象(称为观察者)都会收…...
【前端打怪升级日志之微前端框架篇】微前端qiankun框架子应用间跳转方法
参考链接qiankun官网:微应用之间如何跳转? 1.主应用、子应用路由都是hash模式 主应用根据 hash 来判断微应用,无需考虑该问题 2.主应用根据path判断子应用 方法实现适用条件参数传递存在问题a标签跳转<a href"/toA"></…...
网络编程(Modbus进阶)
思维导图 Modbus RTU(先学一点理论) 概念 Modbus RTU 是工业自动化领域 最广泛应用的串行通信协议,由 Modicon 公司(现施耐德电气)于 1979 年推出。它以 高效率、强健性、易实现的特点成为工业控制系统的通信标准。 包…...
7.4.分块查找
一.分块查找的算法思想: 1.实例: 以上述图片的顺序表为例, 该顺序表的数据元素从整体来看是乱序的,但如果把这些数据元素分成一块一块的小区间, 第一个区间[0,1]索引上的数据元素都是小于等于10的, 第二…...
label-studio的使用教程(导入本地路径)
文章目录 1. 准备环境2. 脚本启动2.1 Windows2.2 Linux 3. 安装label-studio机器学习后端3.1 pip安装(推荐)3.2 GitHub仓库安装 4. 后端配置4.1 yolo环境4.2 引入后端模型4.3 修改脚本4.4 启动后端 5. 标注工程5.1 创建工程5.2 配置图片路径5.3 配置工程类型标签5.4 配置模型5.…...
Mybatis逆向工程,动态创建实体类、条件扩展类、Mapper接口、Mapper.xml映射文件
今天呢,博主的学习进度也是步入了Java Mybatis 框架,目前正在逐步杨帆旗航。 那么接下来就给大家出一期有关 Mybatis 逆向工程的教学,希望能对大家有所帮助,也特别欢迎大家指点不足之处,小生很乐意接受正确的建议&…...
解锁数据库简洁之道:FastAPI与SQLModel实战指南
在构建现代Web应用程序时,与数据库的交互无疑是核心环节。虽然传统的数据库操作方式(如直接编写SQL语句与psycopg2交互)赋予了我们精细的控制权,但在面对日益复杂的业务逻辑和快速迭代的需求时,这种方式的开发效率和可…...
Keil 中设置 STM32 Flash 和 RAM 地址详解
文章目录 Keil 中设置 STM32 Flash 和 RAM 地址详解一、Flash 和 RAM 配置界面(Target 选项卡)1. IROM1(用于配置 Flash)2. IRAM1(用于配置 RAM)二、链接器设置界面(Linker 选项卡)1. 勾选“Use Memory Layout from Target Dialog”2. 查看链接器参数(如果没有勾选上面…...
高危文件识别的常用算法:原理、应用与企业场景
高危文件识别的常用算法:原理、应用与企业场景 高危文件识别旨在检测可能导致安全威胁的文件,如包含恶意代码、敏感数据或欺诈内容的文档,在企业协同办公环境中(如Teams、Google Workspace)尤为重要。结合大模型技术&…...
新能源汽车智慧充电桩管理方案:新能源充电桩散热问题及消防安全监管方案
随着新能源汽车的快速普及,充电桩作为核心配套设施,其安全性与可靠性备受关注。然而,在高温、高负荷运行环境下,充电桩的散热问题与消防安全隐患日益凸显,成为制约行业发展的关键瓶颈。 如何通过智慧化管理手段优化散…...
微信小程序云开发平台MySQL的连接方式
注:微信小程序云开发平台指的是腾讯云开发 先给结论:微信小程序云开发平台的MySQL,无法通过获取数据库连接信息的方式进行连接,连接只能通过云开发的SDK连接,具体要参考官方文档: 为什么? 因为…...
Fabric V2.5 通用溯源系统——增加图片上传与下载功能
fabric-trace项目在发布一年后,部署量已突破1000次,为支持更多场景,现新增支持图片信息上链,本文对图片上传、下载功能代码进行梳理,包含智能合约、后端、前端部分。 一、智能合约修改 为了增加图片信息上链溯源,需要对底层数据结构进行修改,在此对智能合约中的农产品数…...