域1:安全与风险管理 第2章-人员安全与风险管理
第二章的内容确实较为丰富,需要细心且耐心地逐步消化和理解。不妨放慢阅读速度,对每个要点都进行深入思考,确保自己真正掌握了其核心意义。这样,虽然可能花费更多时间,但能够更扎实地掌握第二章的知识,为后续的学习打下坚实的基础。
第2章、人员安全与风险管理
1、人员是安全的关键元素。
在所有安全解决方案中,人员经常被视为最脆弱的元素。 无论部署了什么物理或逻辑控制措施,人总是可以找到方法来规避、绕过控制措施,或使控制措施失效。不过,当人员受到适当的培训,并被激励去保护自己和组织的安全时,他们也可以成为关键的安全资产
2、岗位描述的重要性。
如果没有岗位描述,就不能对应该招聘哪类人员达成共识。因此,制订岗位描述是定义与人员相关的安全需求并招聘新员工的第一步。
3、 雇用新员工对安全的影响。
为实施恰当的安全计划,必须为岗位描述、岗位分类、 工作任务、岗位职责、防范串通、候选人筛选、背景调查、安全调查、雇佣协议和保密协议等设立标准。确保新员工了解所需的安全标准,从而保护组织的资产。
4、 入职和离职。
入职是将新员工添加到组织的流程,包括组织特性的社会化和引导。 离职是在员工离开组织后,将其身份从 IAM 系统中删除的流程。
5、 最小特权原则。
最小特权原则指出用户应获得完成其工作任务或工作职责所需的最小访问权限。
6、保密协议(NDA) 的必要性。
NDA 用于保护组织内的机密信息,使其不被前雇员披露。当人员签署 NDA 时,他们同意不向组织外部的任何人披露任何被定义为机密的信息。
7、 员工监督。
在员工的整个雇佣过程中,管理人员应定期审查或审核每位员工的岗位描述、工作任务、特权和职责。
8、强制休假的必要性。
为了审计和核实员工的工作任务和特权,可执行一到两周的强制休假。该方法能够轻易发现特权滥用、欺诈或疏忽。
9、 UBA和UEBA。
用户行为分析(UBA)和用户与实体行为分析(UEBA)是为特定目标或意图,对用户、主体、访客、客户等行为进行分析的概念。
10、 人员调动。
人员调动可能被视为开除/重新雇用,而不是人员移动。这取决于组织的政策及其认为能最好地管理这一变化的方式。决定使用哪个程序的因素包括:是否保留相同的用户账户,是否调整他们的许可,他们的新工作职责是否与以前的职位相似,以及是否需要一个新的“历史清白的”账户以供新工作职位的审计。
11、 恰当的解雇策略。
解雇策略规定解雇员上的程序,应该包括有现场证人、禁用员工的网络访问权限和执行离职面谈等内容。解雇策略还应包括护送被解雇员工离开公司, 并要求其归还安全令牌、徽章和公司财产。
12、供应商、顾问和承包商的控制。
供应商、顾问和承包商的控制用千确定组织主要的外部实体、人员或组织的绩效水平、期望、补偿金额和影响。通常,这些控制条款在 SLA 档或策略中规定。
13、 策略合规。
合规是符合或遵守规则、策略、法规、标准或要求的行为。对安全治理来说,合规是一项重要内容。在个人层面,合规与员工个人是否遵守公司策略并按照规定的程序执行工作任务有关。
14、隐私如何融入 IT 安全领域。
了解隐私的多重含义/足义、为什么必须保护隐私以及 与隐私相关的问题(尤其是在工作环境中)
15、 定义整体的风险管理。
风险管理过程包括识别可能造成数据损坏或泄漏的因素,根据数据价值和控制措施的成本评估这些因素,并实施具有成本效益的解决方案来减轻或者降低风险。通过执行风险管理,为全面降低风险奠定基础。
16、风险分析和相关要素。
风险分析是向高层管理人员提供详细信息以决定哪些风险应该缓解、哪些风险应该转移、哪些风险应该接受的过程。要全面评估风险并采取适当的预防措施,必须分析以下内容:资产、资产估值、威肋、脆弱性、暴露、风险、已实现风险、防护措施、控制措施、攻击和破坏
17、 如何评估威胁。
威胁有许多来源,包括 IT 、人类和自然。应该以团队形式评估威胁,以提供最广泛的视角。通过从各个角度全面评估风险,可降低系统的脆弱性。
18、定性风险分析。
定性风险分析更多的是基于场景,而不是基于计算。这种方式不用具体的货币价值表示可能的损失,而是对威胁进行分级,以评估其风险、成本和影响。这种分析方式可帮助那些负责制订适当的风险管理策略的人员。
19、 Delphi 技术。
Delphi 技术是一个简单的匿名反馈和响应过程,用于达成共识。这样的共识让各责任方有机会正确评估风险并实施解决方案。
20、定量风险分析。
定量风险分析聚焦于货币价值和百分比。完全靠定量分析是不可能的,因为风险的某些方面是无形的。定量风险分析包括资产估值和威胁识别,然后确定威胁的潜在发生频率和造成的损害,生成具有防护措施的成本/效益分析的风险响应任务。
21、暴露因子(SLE)概念。
暴露因子是定量风险分析的一个要素,表示如果已发生的风险对某个特定资产造成了破坏,组织将因此遭受的损失百分比。通过计算风险暴露因子,可实施良好的风险管理策略
22、单一损失期望(SLE) 的含义和计算方式。
SLE 是定量风险分析的一个要素,代表已发生的单个风险给特定资产带来的损失。
计算公式为:SLE=资产价值(AV) *暴露因子(EF)
23、年度发生率(ARO)
ARO 是定量风险分析的一个要素,代表特定威胁或风险在一年内发生(或成为现实)的预期频率。进一步了解 ARO, 你将能计算风险并采取适当的预防措施。
24、 年度损失期望(ALE) 的含义和计算方式。
ALE 是定量风险分析的一个要素,指的是特定资产面临的所有可发生的特定威胁在年度内可能造成的损失成本。
计算公式为: ALE= 单损失期望(SLE) *年度发生率(ARO )
25、评估防护措施的公式。
除了确定防护措施的年度成本外,还需要为资产计算防护措施实施后的 ALE 。
可使用这个计算公式:防护措施对公司的价值=防护措施实施前的 ALE-防护措施实施后的 ALE-防护措施的年度成本,或=(ALEI-ALE2)-ACS
26、 处理风险的方法。
- 风险降低(即风险缓解)就是防护措施和控制措施的实施。
- 风险转让或风险转移是指将风险造成的损失成本轧嫁给另一个实体或组织;购买保险是风险转移的 一种形式。
- 风险威慑是指对可能违反安全和策略的违规者实施威慑的过程。
- 风险规避是选择替代的选项或活动的过程,替代选项或活动的风险低于默认的、通用的、权宜的或廉价的选项。
- 风险接受意味着管理层已经对可能的防护措施进行了成本/效益分析,并且确定防护措施的成本远大于风险可能造成的损失成本。这也意味着管理层同意接受风险发生后的结果和损失
27、 总风险、残余风险和控制间隙。
总风险是指如果不实施防护措施,组织将面临的全部风险。可用这个公式计算总风险:威胁*脆弱性*资产价值=总风险。残余风险是管理层选择接受而不去减轻的风险。总风险和残余风险之间的差额是控制间隙,即通过实施防护措施而减少的风险。残余风险的计算公式为:总风险-控制间隙=残余风险。
28、 控制类型。
术语“安全控制”指执行各种控制任务,例如确保只有授权用户可以登录,以及防止未授权用户访问资源。控制类型包括预防、检测、纠正、威慑、恢复、指示和补偿。控制也可根据其实施方式分为管理性、逻辑性/技术性或物理性控制。
29、 安全控制评估(SCA)
SCA 是根据基线或可靠性期望对安全基础设施的各个机制进行的正式评估。
30、安全监控和测量。
安全控制提供的收益应该是可被监控和测量的。如果安全控制提供的收益无法被量化、评估或比较,那么这种控制实际上没有提供任何安全。
31、 风险报告。
风险报告涉及风险报告的编制,以及将该报告呈现给利益相关方的过程。 风险报告应能准确、及时、全面地反映整个组织的情况,能清晰和准确地支持决策的制订,并定期更新
32、 持续改进的必要性。
安全在不断变化。因此,随着时间的推移,任何已实施的安全解决方案都需要进行更新。如果已使用的控制措施不能持续改进,则应该将其替换成可扩展的改进控制措施
33、 风险成熟度模型。
风险成熟度模型(RMM)从成熟、可持续和可重复方面评估风险管理流程的关键指标和活动。 RMM 分为初始级、预备级、定义级、集成级和优化级。
34、遗留系统安全风险。
遗留系统通常是一种威胁,因为它们可能无法从供应商处获得安全更新。生产期终止(EOL)是指制造商不再生产产品的时间点。服务期终止(EOSL) 或支持期终止(EOS)是指不能再从供应商处接收更新和支持。
35、风险框架。
风险框架是关于如何评估、解决和监控风险的指南或方法。 CISSP 考试参考的风险框架主要是 NIST SP 800-37 Rev.2 中定义的风险管理框架(RMF)。 其他风险管理框架还包括: ISO/IEC 31000 ISO/IEC 31004 COSO IT 风险框架、 OCTAVE FAIR TARA
36、 社会工程。
社会工程是一种利用人类天性和人类行为的攻击形式。常在社会工程中使用的原理有权威、恐吓、共识、稀缺性、熟悉、信任和紧迫生。此类攻击可通过使用借口和/或前置词来获取信息或访问权限。籵会工程攻击包括网络钓鱼、鱼叉式网络钓佑、商业电子邮件泄露(BEC) 、网络钓鲸、短信钓鱼、语音网络钓鱼、垃圾邮件、肩窥、发票诈骗、恶 作剧、假冒、伪装、尾随、捎带、垃圾箱搜寻、身份欺诈、误植域名和影响力运动。
37、如何实施安全意识培养、培训和教育。
在接受实际的蛁训前,用户必须建立每个员工都需要具备的安全意识。一旦树立广安全意识,就可以开始培训或教导员工执行他们的工 作任务并遵守安全策略。所有新员工都需要一定程度的培训,这样,他们才会遵守安全策略 中规定的所有标准、指南和程序。教育是一项更详细的工作,学生/用户学习的内容比他们完 成工作任务实际需要知道的多得多。教育通常与寻求资质认证或工作晋升的用户相关联。
38、 安全带头人。
安全带头人通常是团队中的 员,他决定(或被指派)负责将安全概念运用和集成到团队的工作活动中。安全带头人通常是非安全人员,他们负责鼓励他人支持和采用更多的安全实践和行为
39、游戏化。
游戏化是指将游戏的常见元素融入其他活动,例如安全合规和行为改变,从而鼓励合规性和参与度
40、 定期进行内容审查和有效性评估的必要性。
必须定期对所有培训材料进行内容审查。审查有助于确保培训材料和演示文稿与业务目标、组织使命和安全目标保持一致。应该使用—些验证手段来判定培训是有效益的还是在浪费时间和资源。
相关文章:
域1:安全与风险管理 第2章-人员安全与风险管理
第二章的内容确实较为丰富,需要细心且耐心地逐步消化和理解。不妨放慢阅读速度,对每个要点都进行深入思考,确保自己真正掌握了其核心意义。这样,虽然可能花费更多时间,但能够更扎实地掌握第二章的知识,为后…...
php中的错误和异常捕获
目录 一: 异常(Exceptions) 二: 错误(Errors) 三:实际项目的异常和错误处理 在PHP中,异常(Exceptions)和错误(Errors)是两个不同的…...
nextjs项目中,使用postgres的完整案例
目的 通过此案例,可以简单快速的过一下数据库的操作,熟悉app-router这种模式下,client component和server component的两种组件中基本的接口使用。 技术栈 nextjs14.2.* app-routervercel/postgres0.10.*typescript5 重要事情说三遍1 ap…...
tsconfig.json 内容解读
tsconfig.json 文件是 TypeScript 项目的主要配置文件,用于指定编译选项和项目设置。通过这个文件,你可以控制编译器的行为,例如输出文件的路径、模块解析方式、严格类型检查等。 以下是一些常见的 tsconfig.json 属性及其详细解释ÿ…...
KClass-关于kotlin中的反射
override val responseType: KClass<SetOperationModeResponse> SetOperationModeResponse::class,这段代码的含义: responseType 是一个只读属性(val),它的类型是 KClass<SetOperationModeResponse>。KClass<T&…...
Java集合剖析2】Java集合底层常用数据结构
一、数据结构与集合 接下来就要学习集合具体的实现类了,集合的实现类底层可能用1种或多种数据结构来存储数据。所以在学习集合的实现类前,我们有必要了解一下一些常见的数据结构,这样我们在后面查看集合实现类的底层源码时,才不会…...
java 第10天 String创建以及各类常用方法
一.String创建的两种形式 1.通过new的当时 String strnew String(); 2.不new的方式 String s1""; 二.new 和不new的方式的区别是什么 不new创建的字符串首先是拿着值去常量池中查找,是否有该内容,有就用常量池该字符串的地址࿰…...
VS 解决方案里面.vs文件夹
VS解决方案中的.vs文件夹主要用于存储当前用户在解决方案中的工作配置。 这些配置包括多个方面: 窗口布局和选项卡状态:.vs文件夹记录了VS关闭前最后的窗口布局以及最后打开的选项卡。这样,当用户重新打开解决方案时,可以继续之前…...
初试PostgreSQL数据库
文章目录 一、PostgreSQL数据库概述1.1 PostgreSQL的历史1.2 PostgreSQL安装1.3 安装PostgreSQL二、PostgreSQL起步2.1 连接数据库2.1.1 SQL Shell2.1.2 执行SQL语句2.2 pgAdmin 42.2.1 打开pgAdmin 42.2.2 查找数据库2.2.3 打开查询工具2.2.4 执行SQL语句三、实战小结文章目录…...
springboot3导出数据库数据到excel
一、导入依赖 <!-- https://mvnrepository.com/artifact/org.apache.poi/poi-ooxml --><dependency><groupId>org.apache.poi</groupId><artifactId>poi-ooxml</artifactId><version>5.3.0</version></dependency><d…...
十四、行为型(观察者模式)
观察者模式(Observer Pattern) 概念 观察者模式(Observer Pattern)是一种行为型设计模式,它定义了对象间的一对多依赖关系,当被观察的对象(主题)状态发生改变时,所有依赖…...
爬取简书1
import osfrom selenium.webdriver.common.by import By from selenium import webdriver from selenium.webdriver.edge.service import Service import timeimport pandas as pdfrom selenium.webdriver.common.action_chains import ActionChainsdef get_aws():# 如果 WebDr…...
基于STM32单片机设计的矿山环境作业安全监测系统
文章目录 一、前言1.1 项目介绍【1】项目开发背景【2】设计实现的功能【3】项目硬件模块组成【4】需求总结1.2 设计思路1.3 系统功能总结1.4 开发工具的选择【1】设备端开发【2】上位机开发1.5 模块的技术详情介绍【1】BC26-NBIOT模块【2】DHT11温湿度模块【3】PM2.5粉尘模块二…...
大数据linux操作系统
第一关:Linux的初体验 答案: cd / ls -a / (里面有空格要注意) 第二关:Linux的常用命令 答案: touch newfile mkdir newdir cp newfile newdir/newfileCpy 第三关:Linux查询命令帮助语句…...
MySQL 【日期】函数大全(七)
目录 1、UNIX_TIMESTAMP() 将指定的日期/日期时间转为 UNIX 时间戳值。 2、WEEK() 返回给定日期位于当年的第几周。 3、WEEKDAY() 返回给定日期的工作日编号。 4、WEEKOFYEAR() 返回给定日期位于当年的第几周 5、YEAR() 提取日期的年份部分并作为数字返回。 6、YEARWEEK()…...
IP报文格式、IPv6概述
IPv4报文格式 IPv4报文首部长度至少为20字节(没有可选字段和填充的情况下),下面来逐一介绍首部各个字段的含义 Version版本:表示采用哪一种具体的IP协议,对于IPv4来说该字段就填充4以表示,如果是IPv6就填充6IHL首部长度ÿ…...
学习记录:js算法(六十七):任务调度器
文章目录 任务调度器思路一思路二 任务调度器 给你一个用字符数组 tasks 表示的 CPU 需要执行的任务列表,用字母 A 到 Z 表示,以及一个冷却时间 n。每个周期或时间间隔允许完成一项任务。任务可以按任何顺序完成,但有一个限制:两个…...
5分钟8图:Cursor如何让编程效率提升5倍?
5分钟8图,看Cursor如何革新AI编程? 作为一名AI编程的实践者,我很高兴为大家介绍Cursor - 一款基于VSCode的创新型集成开发环境(IDE),它巧妙地融合了先进的AI技术,为编程工作带来前所未有的便利。让我们通过多个图表深入了解Cursor的特性和工作流程。 Cursor的核心…...
车载实操:一对一实操学习、CANoe实操学习、推荐就业机会、就业技术支持、协助面试辅导
FOTA模块中OTA的知识点:1.测试过程中发现哪几类问题? 可能就是一个单键的ecu,比如升了一个门的ecu,他的升了之后就关不上,还有就是升级组合ecu的时候,c屏上不显示进度条。 2.在做ota测试的过程中ÿ…...
PACT 在微服务架构中的用途
在微服务架构盛行的今天,如何确保各个微服务之间的交互正确且稳定成为了一个关键问题。PACT(一种契约测试工具)在这个领域发挥着重要的作用。那么,PACT 在微服务架构中的用途到底是什么呢? 一、微服务架构的挑战 微服…...
LeetCode 3200.三角形的最大高度:枚举
【LetMeFly】3200.三角形的最大高度:枚举 力扣题目链接:https://leetcode.cn/problems/maximum-height-of-a-triangle/ 给你两个整数 red 和 blue,分别表示红色球和蓝色球的数量。你需要使用这些球来组成一个三角形,满足第 1 行…...
ssm基于java的招聘系统设计与开发+vue
系统包含:源码论文 所用技术:SpringBootVueSSMMybatisMysql 免费提供给大家参考或者学习,获取源码请私聊我 需要定制请私聊 目 录 第1章 绪论 1 1.1 课题背景 1 1.2 课题意义 1 1.3 研究内容 1 第2章 开发环境与技术 3 2.1 Java语言…...
【网络原理】TCP/IP五层网络模型之网络层-----IP协议详解,建议收藏!!
💐个人主页:初晴~ 📚相关专栏:计算机网络那些事 前几篇文章中我们深入研究了TCP协议,因为TCP协议在我们日常开发中的使用频率非常高。而相比之下,IP协议与我们普通程序员关系就没那么近了。一般是专门开发…...
三次握手与四次挥手
一、三次握手 AB之间 都会发送一个syn - ack。 A 先发 syn ,B收到 。 A: 什么都不知道 B:知道A可以发送。 B发送syn-ack,A收到 。 A: 知道B可以收也可以发 , B知道A可以发送。 A发送ack,B收到。 A : 知道B可以收也可以发 , B知道A…...
awk命令学习记录
awk命令 awk命令 表示将一行数据按特定分割符分割成多列,而从而选取特定列数的数据,默认分割符为空格,连接符默认也是空格 // 1. 更换分割符 awk -F : 1.txt // 1.txt为你的文件名 // 2. 打印多列 awk {print $1,$2} // $0为整行ÿ…...
科大讯飞嵌入式面试题及参考答案
平衡二叉树和普通二叉树的区别 平衡二叉树是一种特殊的二叉树,与普通二叉树相比有以下显著区别: 一、定义与结构 普通二叉树:二叉树是每个节点最多有两个子树的树结构。它没有特定的平衡要求,节点的分布可能比较随机。例如&#x…...
C Lua5.4.6 SDK开发库
下载 .lua执行 #include "lua.h" #include "lualib.h" #include "lauxlib.h"static int luaopen_ui(lua_State *L) {static const struct luaL_Reg lib_f[] = {{"saveFile", saveFile},{"loadFile", loadFile},{NULL, NULL…...
无线网卡知识的学习-- wireless基础知识(cfg80211)
1. 基本概念 mac80211 :这是最底层的模块,与hardware offloading 关联最多。 mac80211 的工作是给出硬件的所有功能与硬件进行交互。(Kernel态) cfg80211:是设备和用户之间的桥梁,cfg80211的工作则是观察跟踪wlan设备的实际状态. (Kernel态) nl80211: 介于用户空间与内核…...
Next.js 学习 - 路由系统(Routing)
Next.js 的路由系统基于文件系统,这意味着文件和文件夹的结构决定了 URL 路径。相较于传统的 React 应用中的路由配置,Next.js 的文件路由系统非常简洁和自动化。下面是对 Next.js 路由的详细介绍。 1. 目录结构 在 Next.js 13 中,app 目录…...
Unity XR PICO 手势交互 Demo APK
效果展示 用手抓取物体,调整物体位置和大小等 亲测pico4 企业版可用, 其他设备待测试 下载链接: 我标记的不收费 https://download.csdn.net/download/qq_35030499/89879333...