CISSP学习笔记:通过原则和策略的安全治理
#第一章 通过原则和策略的安全治理
1.1 理解和应用机密性、完整性和可用性的
安全的主要目标,CIA三元组 机密性、完整性和可用性,每条原则的重要性主要取决于组织的安全目标以及安全性所受到的威胁程度
1.1.1 机密性
- 机密性:限制未授权主体不能访问数据、客体或资源提供了高级别保证
- 针对机密性的攻击:捕捉网络通信、窃取密码文件、社会工程学、端口扫描、肩窥、偷听、嗅探攻击,人为错误
- 有助于机密性的对策: 加密、网络流量填充、严格的访问控制、严格的认证程序、数据分类和广泛的人员培训
- 机密性和完整性相互依赖
1.1.2 完整性
- 完整性:客体必须保持自身的正确性,并且只能由被授权的主体进行有意修改
- 针对完整性的破坏: 病毒、逻辑炸弹、未授权访问、编码和应用程序的错误、恶意修改、有企图的替换以及系统后门,人为错误
- 保护完整性的措施:严格的访问控制、严密的身份认证、入侵检测系统、加密、散列总和认证、接口限制、输入/功能检测以及广泛的人员培训
- 完整性依赖机密性,缺乏机密性,完整性无法维护
1.1.3 可用性
- 可用性:经过授权的主体被及时准许和不间断的访问客体
- 针对可用性的威胁:设备故障、软件错误、环境问题、DOS攻击、客体损坏和通信中断
- 可用性依赖完整性和机密性,缺乏完整性和机密性无法维护可用性
1.1.4 其他安全概念
- 身份标识
- 主体表明身份,并开启可问责性
- 身份认证:认证或测试所声明身份合法性的过程就是身份认证,身份认证要求主体的附加信息必须完全对应于被表明的身份
- 授权
- 确保请求的活动或客体访问,可以获得通过身份认证和指派的权利和特权,对授权的定力使用了访问控制模型中的概念,如DAC,MAC或RBAC
- 审计
- 审计是对系统中未授权的或异常的活动进行检测的过程,日志为重建事件、入侵和系统故障的历史提供了审计跟踪,通过审计为起诉提供证据、生成问题报告和分析报告
- 审计通常为操作系统和大多数应用程序和服务的内在特性,因此配置系统功能来记录特定类型时间的相关信息非常简单
- 可问责性
- 只有支持可问责性,才能正确实施组织的安全策略
- 为 了获得切实可行的可问责性,在法律上你必须能够支持自己的安全性
- 不可否认性
- 不可否认性确保活动或事件的主体无法否认所发生的事情
- 身份标识、身份认证、授权、可问责性和审计使不可否认性称为可能,使用数字证书、会话标识符、事务日志以及其他很多传输和访问控制机制,建立不可否认性
1.1.5 保护机制
许多控制通过使用保护机制对机密性、完整性和可用性保护
- 分层
- 简单的使用连续的多重控制,也被称为深度防御,连续分层使用串行分层法
- 分层还包括网络由多个独立实体组成的概念,所有构成的单个安全防线的网络系统之间存在协同作用,共筑安全防线
- 抽象
- 为提高效率而使用的,将相似的元素放入组、类别或角色中,在为客体分类或主体分配角色时,就使用到抽象的概念
- 抽象能够为安类型或功能分类的客体组分配安全控制方法,并抽象简化安全措施
- 数据隐藏:
- 将数据置于主体不可访问或无法看到的存储空间,从而防止主体发现或访问数据
- 不让未授权的访问者访问数据库是隐藏,限制分类级别较低的主体访问级别较高的数据是隐藏,组织应用程序直接访问硬件还是数据隐藏
1.2 应用安全治理原则
- 安全治理是实践行为的集合,这些实践都支持、定义和指导组织的安全工作相关
- 安全治理的共同目标就是维护业务流程,同时努力实现增长和弹性
- 安全治理也有合规性上的需求,是实施安全的解决方案和管理方法,安全是整个组织同时进行管理和控制的,而不只是在IT部门
1.2.1 安全功能战略、目标、任务和愿景的一致
- 安全管理计划能确保安全策略的适当创建、实现和实施
- 安全策略编制的最好方法是自上而下,高层或管理部门负责启动和定义组织的安全策略,安全策略为组织中较低级别的人员指出防线,中层管理部门的职责是在安全策略的指导下制定标准、基准、指导方针和程序,操作管理者和安全专家负责实现安全管理文档中规定的配置要求,用户遵守组织制定的安全策略
- 安全管理计划编制包括:定义安全角色;规定如何管理安全性、谁负责安全性 以及如何测试安全性的效益;开发安全策略;执行风险风险;对员工进行安全教育
安全管理计划团队开发的三种计划 - 战略计划: 相当稳定的长期计划,定义组织的目标,长期的目标和愿景在战略计划中被讨论,还包括风险评估
- 战术计划:中期计划,用于提供实现战略计划所提出目标的详细细节,包括项目计划、采购计划、雇佣计划、预算计划、维护计划、支持计划以及系统开发计划
- 操作计划:基于战略计划和战术计划制定的非常周详的计划,清楚说明了如何完成组织机构的各种目标,包括:培训计划、系统部署计划和产品设计计划
1.2.2 组织流程
- 安全治理需要照顾到组织的方方面面,包括收购、剥离和治理委员会等组织流程
变更控制/变更管理 - 安全环境的改变可能引入导致心脆弱性出现的漏洞、重叠、客体丢失和疏漏,面对变更,维持安全性的唯一方法就是系统的管理变更
- 变更管理的目的就是确保任何变更都不能降低或危机安全性,还负责能够将任何变更都回滚到先前的安全状态
- 并行变更是变更管理过程的示例,旧系统和新系统并行运行,确保新系统支持老系统所支持和提供的所有必须的业务功能性
数据分类 - 分类的主要目的: 根据重要性和敏感性给数据分配标签,对数据安全保护过程进行规范化和层次化
- 政府/军方分类: 绝密、秘密、机密、敏感但非机密、非机密
- 商业/私营部门的分类: 机密、隐私、敏感、公开
1.2.3 安全角色和责任
- 高级管理者:最终负责组织机构安全维护和最关心保护资产的人,高层管理者对安全解决方案的总体成败负有责任,并且对组织机构建立安全性予以适度关注并尽职尽责
- 安全专家:职责是保护安全性,包括制定和实现安全策略,安全专家不是决策制定者,只是实现者,决策都必须又高层管理制定
- 数据所有者: 分配给再安全解决方案中为了防止和保护信息而负责对信息进行分类的人,
- 数据管理员:负责实施安全策略和上层管理者规定的保护任务的用户,这些措施包括:完成和测试数据备份,确认数据的完整性,部署安全解决方案以及根据分类管理数据存储
- 用户:分配给具有安全系统访问权限的任何人
- 审计人员:负责测试和认证安全策略是否被正确实现以及衍生出来的安全解决方案是否合适,完成遵守情况报告和有效性报告,高层管理者审查这些报告
1.2.4 控制架构
- 安全指定计划必须从规划计划开始,然后规划标准和合规,最后进行实际的计划开发和设计
- 信息及相关控制目标(COBIT),记录了一整套优秀的IT安全实践
1.2.5 应尽关注和应尽职责
- 应尽关注:通过合理的关注保护组织利益,开发规范化的安全结构
- 应尽职责:不断实践维护应尽关注成果的活动,将安全结构应用到机构的IT基础设施中
- 高管必须做到应尽关注和应尽职责才能在出现损失时减少他们的过过失和职责
1.3 开发和文档化安全策略、标准、指导方针和程序
维护安全性是业务发展的重要组成部分
1.3.1 安全策略
- 规范化的最高层次就是安全策略,许多组织都采用多种类型的安全策略来定义或概括他们整体的安全策略
- 规章式的策略:用于让人们遵守规章制度的安全措施
- 建议式策略:讨论可接受的行为和活动,并且定义违背安全性的后果,这种策略解释了高层管理部门对组织内部安全和遵守规定的期望
- 信息式的安全策略:设计用于提供特定主体的相关信息或知识
1.3.2 安全标准、基准及指南
- 标准为硬件、软件、技术和安全控制方法的统一使用定义了强制性要求,标准是战术文档,定义达到安全策略指定的目标和总体方向的步骤和方法
相关文章:
CISSP学习笔记:通过原则和策略的安全治理
#第一章 通过原则和策略的安全治理 1.1 理解和应用机密性、完整性和可用性的 安全的主要目标,CIA三元组 机密性、完整性和可用性,每条原则的重要性主要取决于组织的安全目标以及安全性所受到的威胁程度 1.1.1 机密性 机密性:限制未授权主…...
【Java 进阶篇】数据定义语言(DDL)详解
数据定义语言(DDL)是SQL(结构化查询语言)的一部分,它用于定义、管理和控制数据库的结构和元素。DDL允许数据库管理员、开发人员和其他用户创建、修改和删除数据库对象,如表、索引、视图等。在本文中&#x…...
MySQL详细案例 1:MySQL主从复制与读写分离
文章目录 1. MySQL主从复制1.1 使用场景1.2 MySQL的复制类型1.3 主从复制的作用1.4 主从复制的工作过程1.5 实现MySQL主从复制1.5.1 前置准备1.5.2 主服务器mysql配置1.5.3 从服务器1 mysql配置1.5.4 从服务器2 mysql配置 1.6 MySQL主从复制延时问题的原因和解决办法1.6.1 故障…...
Kafka 常见问题
文章目录 kafka 如何确保消息的可靠性传输Kafka 高性能的体现利用Partition实现并行处理利用PageCache 如何提高 Kafka 性能调整内核参数来优化IO性能减少网络开销批处理数据压缩降低网络负载高效的序列化方式 kafka 如何确保消息的可靠性传输 消费端弄丢了数据 唯一可能导致…...
如何去开展软件测试工作
1. 软件测试 在一般的项目中,一开始均为手动测试,由于自动化测试前期投入较大,一般要软件项目达到一定的规模,更新频次和质量均有一定要求时才会上自动化测试或软件测试。 1.1. 项目中每个成员的测试职责 软件测试从来不是某一…...
详解如何在python中实现简单的app自动化框架
一、app自动化环境搭建 1、安装jdk及配置jdk的环境变量 app底层是c语言,应用层是java,所以需要jdk 2、安装SDK,配置android SDK环境 3、安装模拟器 4、下载安装Appium工具 01、appium客户端 appium destop 服务器 02、命令行安装&#…...
【TCP】三次握手 与 四次挥手 详解
三次握手 与 四次挥手 1. 三次握手2. 四次挥手三次握手和四次挥手的区别 在正常情况下,TCP 要经过三次握手建立连接,四次挥手断开连接 1. 三次握手 服务端状态转化: [CLOSED -> LISTEN] 服务器端调用 listen 后进入 LISTEN 状态ÿ…...
正则表达式新解
文章目录 是什么?正则用法匹配单个字符匹配一组字符其他元字符核心函数 贪婪匹配和非贪婪匹配正则练习 是什么? 正则表达式(Regular Expression)是一种文本模式,包括普通字符(例如,a 到 z 之间的字母)和特殊…...
MissionPlanner编译过程
环境 windows 10 mission planner 1.3.80 visual studio 2022 git 2.22.0 下载源码 (已配置git和ssh) 从github上克隆源码 git clone gitgithub.com:ArduPilot/MissionPlanner.git进入根目录 cd MissionPlanner在根目录下的ExtLibs文件下是链接的其它github源码࿰…...
SpringBoot 员工管理---通用模板 ---苍穹外卖day2
感谢点击 希望你有所收获! 目录 1.新增员工 需求分析:根据页面原型进行业务分析 接口设计 数据库设计 代码开发 功能测试 如何在接口文档中统一添加JWT令牌 获取当前登录员工的ID 2.员工分页查询 需求分析 代码开发 如何将日期格式化 3.启用禁用员工 1.新…...
可信执行环境(Tee)入门综述
SoK: Hardware-supported Trusted Execution Environments [ArXiv22] 摘要引言贡献 范围系统和威胁模型系统模型威胁模型共存飞地对手无特权软件对手系统软件对手启动对手外围对手结构对手侵入性对手 关于侧信道攻击的一点注记 VERIFIABLE LAUNCH信任根(RTM…...
Java浮点运算为什么不精确
有的时候博客内容会有变动,首发博客是最新的,其他博客地址可能会未同步,认准https://blog.zysicyj.top 首发博客地址[1] 面试题手册[2] 系列文章地址[3] 1. 什么是 Java 浮点运算? 在 Java 中,浮点运算指的是对浮点数进行加减乘除等基本运算…...
linux使用操作[1]
文章目录 版权声明快捷键ctrl c 强制停止ctrl d 退出、登出history命令光标移动快捷键清屏快捷键 软件安装命令常见linux系统包管理器yum命令apt命令 systemctl命令软连接日期&时区修改linux时区ntp程序 IP地址&主机名ip&主机名域名解析win配置主机名映射虚拟机…...
权限提升Linux篇
提权工具 https://github.com/liamg/traitor https://github.com/AlessandroZ/BeRoot https://github.com/rebootuser/LinEnum https://github.com/mzet-/linux-exploit-suggester https://github.com/sleventyeleven/linuxprivchecker https://github.com/jondonas/linux…...
影刀自动化采集底层逻辑
hello,大家好,这里是【玩数据的诡途】 接上回 <我的影刀故事> 今天给大家介绍一下整个采集的底层逻辑,包括业务流程自动化也是基于这一套基础逻辑进行展开的,顺便带大家熟悉一下影刀,既然叫影刀系列了,那后续一些…...
swiper使用
介绍 Swiper(swiper master)是一个第三方的库,可以用来实现移动端、pc端的滑动操作。,swiper应用广泛,使用频率仅次于jquery, 轮播图类排名第一,是网页设计师必备技能,众多耳熟能详的品牌在使用…...
基于遗传算法解决的多仓库多旅行推销员问题(Matlab代码实现)
💥💥💞💞欢迎来到本博客❤️❤️💥💥 🏆博主优势:🌞🌞🌞博客内容尽量做到思维缜密,逻辑清晰,为了方便读者。 ⛳️座右铭&a…...
微信小程序 工具使用(HBuilderX)
微信小程序 工具使用:HBuilderX 一 HBuilderX 的下载二 工具的配置2.1 工具 --> 设置 --> 运行配置2.1.1 微信开发者工具路径2.1.2 node 运行配置 2.2 插件 工具 --> 插件安装2.2.1 下载插件 三 微信小程序端四 同步运行五 BUG5.1 nodemon在终端无法识别 一 HBuilderX…...
)
设计模式:观察者模式(C++实现)
观察者模式(Observer Pattern)是一种设计模式,用于定义对象之间的一对多依赖关系,当一个对象(称为主题或可观察者)的状态发生变化时,它的所有依赖对象(称为观察者)都会收…...
【前端打怪升级日志之微前端框架篇】微前端qiankun框架子应用间跳转方法
参考链接qiankun官网:微应用之间如何跳转? 1.主应用、子应用路由都是hash模式 主应用根据 hash 来判断微应用,无需考虑该问题 2.主应用根据path判断子应用 方法实现适用条件参数传递存在问题a标签跳转<a href"/toA"></…...
k8s从入门到放弃之Ingress七层负载
k8s从入门到放弃之Ingress七层负载 在Kubernetes(简称K8s)中,Ingress是一个API对象,它允许你定义如何从集群外部访问集群内部的服务。Ingress可以提供负载均衡、SSL终结和基于名称的虚拟主机等功能。通过Ingress,你可…...
从深圳崛起的“机器之眼”:赴港乐动机器人的万亿赛道赶考路
进入2025年以来,尽管围绕人形机器人、具身智能等机器人赛道的质疑声不断,但全球市场热度依然高涨,入局者持续增加。 以国内市场为例,天眼查专业版数据显示,截至5月底,我国现存在业、存续状态的机器人相关企…...
基于数字孪生的水厂可视化平台建设:架构与实践
分享大纲: 1、数字孪生水厂可视化平台建设背景 2、数字孪生水厂可视化平台建设架构 3、数字孪生水厂可视化平台建设成效 近几年,数字孪生水厂的建设开展的如火如荼。作为提升水厂管理效率、优化资源的调度手段,基于数字孪生的水厂可视化平台的…...
《通信之道——从微积分到 5G》读书总结
第1章 绪 论 1.1 这是一本什么样的书 通信技术,说到底就是数学。 那些最基础、最本质的部分。 1.2 什么是通信 通信 发送方 接收方 承载信息的信号 解调出其中承载的信息 信息在发送方那里被加工成信号(调制) 把信息从信号中抽取出来&am…...
高等数学(下)题型笔记(八)空间解析几何与向量代数
目录 0 前言 1 向量的点乘 1.1 基本公式 1.2 例题 2 向量的叉乘 2.1 基础知识 2.2 例题 3 空间平面方程 3.1 基础知识 3.2 例题 4 空间直线方程 4.1 基础知识 4.2 例题 5 旋转曲面及其方程 5.1 基础知识 5.2 例题 6 空间曲面的法线与切平面 6.1 基础知识 6.2…...
屋顶变身“发电站” ,中天合创屋面分布式光伏发电项目顺利并网!
5月28日,中天合创屋面分布式光伏发电项目顺利并网发电,该项目位于内蒙古自治区鄂尔多斯市乌审旗,项目利用中天合创聚乙烯、聚丙烯仓库屋面作为场地建设光伏电站,总装机容量为9.96MWp。 项目投运后,每年可节约标煤3670…...
)
【RockeMQ】第2节|RocketMQ快速实战以及核⼼概念详解(二)
升级Dledger高可用集群 一、主从架构的不足与Dledger的定位 主从架构缺陷 数据备份依赖Slave节点,但无自动故障转移能力,Master宕机后需人工切换,期间消息可能无法读取。Slave仅存储数据,无法主动升级为Master响应请求ÿ…...
MySQL中【正则表达式】用法
MySQL 中正则表达式通过 REGEXP 或 RLIKE 操作符实现(两者等价),用于在 WHERE 子句中进行复杂的字符串模式匹配。以下是核心用法和示例: 一、基础语法 SELECT column_name FROM table_name WHERE column_name REGEXP pattern; …...
微软PowerBI考试 PL300-在 Power BI 中清理、转换和加载数据
微软PowerBI考试 PL300-在 Power BI 中清理、转换和加载数据 Power Query 具有大量专门帮助您清理和准备数据以供分析的功能。 您将了解如何简化复杂模型、更改数据类型、重命名对象和透视数据。 您还将了解如何分析列,以便知晓哪些列包含有价值的数据,…...
搭建DNS域名解析服务器(正向解析资源文件)
正向解析资源文件 1)准备工作 服务端及客户端都关闭安全软件 [rootlocalhost ~]# systemctl stop firewalld [rootlocalhost ~]# setenforce 0 2)服务端安装软件:bind 1.配置yum源 [rootlocalhost ~]# cat /etc/yum.repos.d/base.repo [Base…...