安全的核心目标就是为关键资产提供可用性、完整性和机密性(AIC三元组)的保护
确保授权的用户对数据和资源进行及时和可靠的访问。 网络由众多长时间不间断运行的硬件设备和软件组成,硬件设备像路由器、交换机、DNS服务器、DHCP服务器、代理和防火墙等,而软件则包含操作系统、应用程序和反病毒软件等。我们要在保证这些硬件及软件正常运行的同时还有很多物理因素可能影响资源 的可用性如环境因素(大火、洪水、通风、电力等问题)、潜在的自然灾害和物理偷窃或攻击等,由此可见要保证数据和资源的可用性也不是件容易的事 保证可用性的一些控制措施如下:
保证信息和系统的准确性和可靠性,并禁止对数据的非授权更改 造成完整性破坏的因素有攻击者的入侵、内部用户的错误操作等,为了避免这类问题的出现,我们可以精简用户的操作权限,限制用户对系统关键文件的访问和修改,应用程序应当严格检查用户输入的任何数据。对于数据库只允许授权用户修改,而在传输数据时对数据内容进行加密等。 保证完整性的一些控制措施如下:
确保在数据处理的每一个步骤都实施了必要的安全保护并阻止信息的未授权访问 威胁机密性的方式包括攻击者通过网络监控、肩窥(越过别人肩膀浏览未授权的信息)、盗取密码以及社会工程(欺骗他人共享敏感信息以获取敏感信息的访问)等方法获取敏感数据。对于机密性的防护我们可以通过在存储 和传输过程中加密数据,使用严格的访问控制和数据分类以及对职工进行适当的数据保护措施的培训。 保证可用性的一些控制措施如下:
安全的核心目标就是为关键资产提供可用性、完整性和机密性(AIC三元组)的保护
确保授权的用户对数据和资源进行及时和可靠的访问。 网络由众多长时间不间断运行的硬件设备和软件组成,硬件设备像路由器、交换机、DNS服务器、DHCP服务器、代理和防火墙等,而软件则包含操作系统、应用程序和反病毒软件等。我们要在保证这些硬件及软件正常运行的同时还有很多物理因素可能影响资源 的可用性如环境因素(大火、洪水、通风、电力等问题)、潜在的自然灾害和物理偷窃或攻击等,由此可见要保证数据和资源的可用性也不是件容易的事 保证可用性的一些控制措施如下:
保证信息和系统的准确性和可靠性,并禁止对数据的非授权更改 造成完整性破坏的因素有攻击者的入侵、内部用户的错误操作等,为了避免这类问题的出现,我们可以精简用户的操作权限,限制用户对系统关键文件的访问和修改,应用程序应当严格检查用户输入的任何数据。对于数据库只允许授权用户修改,而在传输数据时对数据内容进行加密等。 保证完整性的一些控制措施如下:
确保在数据处理的每一个步骤都实施了必要的安全保护并阻止信息的未授权访问 威胁机密性的方式包括攻击者通过网络监控、肩窥(越过别人肩膀浏览未授权的信息)、盗取密码以及社会工程(欺骗他人共享敏感信息以获取敏感信息的访问)等方法获取敏感数据。对于机密性的防护我们可以通过在存储 和传输过程中加密数据,使用严格的访问控制和数据分类以及对职工进行适当的数据保护措施的培训。 保证可用性的一些控制措施如下:
十大安全领域
主要研究管理员与经营者的访问控制的机制和方法。需要控制管理员与经营者经过授权身份验证后的用户权限,被访问内容的权限以及对访问活动的审计和监控。
该领域主要研究内部、外部、公共以及私有的通信系统、互联结构、设备、协议以及远程访问和管理。
该领域主要研究公司资产的标识,确定必要的安全保护级别的方式,采用何种类型的预算来降低风险和减少资金损失的安全实现
该领域主要研究安全软件开发方法,应用程序安全和软件缺陷。
该领域研究密码学的技巧方法和技术
该领域研究软件安全设计的方式方法。
该领域主要研究人事、硬件、系统以及审计和监控技术的控制
该领域主要研究在发生干扰和灾难时对业务活动的保存
该领域主要研究计算机犯罪、法律和法规。不只是犯罪调查、证据搜集和处置步骤所使用的技巧,而且涉及如何开发和实现事故处理程序
该领域主要研究威胁、风险以及针对保护设施、硬件、数据、介质和人事措施。
本文的主要目的是介绍信息安全涉及的基础知识,也是CISSP认证所涉及的所有安全方面,是学习信息安全知识的指路灯,也是学习的最终目标,供大家参考,对我来说一个备份。