信息安全基础

安全基本原则

安全的核心目标就是为关键资产提供可用性、完整性和机密性(AIC三元组)的保护

可用性(availability)

确保授权的用户对数据和资源进行及时和可靠的访问。 网络由众多长时间不间断运行的硬件设备和软件组成,硬件设备像路由器、交换机、DNS服务器、DHCP服务器、代理和防火墙等,而软件则包含操作系统、应用程序和反病毒软件等。我们要在保证这些硬件及软件正常运行的同时还有很多物理因素可能影响资源 的可用性如环境因素(大火、洪水、通风、电力等问题)、潜在的自然灾害和物理偷窃或攻击等,由此可见要保证数据和资源的可用性也不是件容易的事 保证可用性的一些控制措施如下:

  • RAID(磁盘阵列, Redundant Arrays of Independent Disks)
  • 集群
  • 负载均衡
  • 冗余电源
  • 数据备份
  • 磁盘镜像
  • 异地备份
  • 快照功能
  • 故障切换

完整性(integrity)

保证信息和系统的准确性和可靠性,并禁止对数据的非授权更改 造成完整性破坏的因素有攻击者的入侵、内部用户的错误操作等,为了避免这类问题的出现,我们可以精简用户的操作权限,限制用户对系统关键文件的访问和修改,应用程序应当严格检查用户输入的任何数据。对于数据库只允许授权用户修改,而在传输数据时对数据内容进行加密等。 保证完整性的一些控制措施如下:

  • 哈希(数据完整性)
  • 配置管理(系统完整性)
  • 变更控制(进程完整性)
  • 访问控制(物理和技术)
  • 数字签名
  • 传输CRC校验(Cyclic Redundancy Check, CRC)

机密性(confidentiality)

确保在数据处理的每一个步骤都实施了必要的安全保护并阻止信息的未授权访问 威胁机密性的方式包括攻击者通过网络监控、肩窥(越过别人肩膀浏览未授权的信息)、盗取密码以及社会工程(欺骗他人共享敏感信息以获取敏感信息的访问)等方法获取敏感数据。对于机密性的防护我们可以通过在存储 和传输过程中加密数据,使用严格的访问控制和数据分类以及对职工进行适当的数据保护措施的培训。 保证可用性的一些控制措施如下:

  • 加密磁盘上存储的数据
  • 加密传输过程中的数据(IPSEC、SSL、PPTP、SSH)
  • 严格的访问控制(物理和技术)

安全基本原则

安全的核心目标就是为关键资产提供可用性、完整性和机密性(AIC三元组)的保护

可用性(availability)

确保授权的用户对数据和资源进行及时和可靠的访问。 网络由众多长时间不间断运行的硬件设备和软件组成,硬件设备像路由器、交换机、DNS服务器、DHCP服务器、代理和防火墙等,而软件则包含操作系统、应用程序和反病毒软件等。我们要在保证这些硬件及软件正常运行的同时还有很多物理因素可能影响资源 的可用性如环境因素(大火、洪水、通风、电力等问题)、潜在的自然灾害和物理偷窃或攻击等,由此可见要保证数据和资源的可用性也不是件容易的事 保证可用性的一些控制措施如下:

  • RAID(磁盘阵列, Redundant Arrays of Independent Disks)
  • 集群
  • 负载均衡
  • 冗余电源
  • 数据备份
  • 磁盘镜像
  • 异地备份
  • 快照功能
  • 故障切换

完整性(integrity)

保证信息和系统的准确性和可靠性,并禁止对数据的非授权更改 造成完整性破坏的因素有攻击者的入侵、内部用户的错误操作等,为了避免这类问题的出现,我们可以精简用户的操作权限,限制用户对系统关键文件的访问和修改,应用程序应当严格检查用户输入的任何数据。对于数据库只允许授权用户修改,而在传输数据时对数据内容进行加密等。 保证完整性的一些控制措施如下:

  • 哈希(数据完整性)
  • 配置管理(系统完整性)
  • 变更控制(进程完整性)
  • 访问控制(物理和技术)
  • 数字签名
  • 传输CRC校验(Cyclic Redundancy Check, CRC)

机密性(confidentiality)

确保在数据处理的每一个步骤都实施了必要的安全保护并阻止信息的未授权访问 威胁机密性的方式包括攻击者通过网络监控、肩窥(越过别人肩膀浏览未授权的信息)、盗取密码以及社会工程(欺骗他人共享敏感信息以获取敏感信息的访问)等方法获取敏感数据。对于机密性的防护我们可以通过在存储 和传输过程中加密数据,使用严格的访问控制和数据分类以及对职工进行适当的数据保护措施的培训。 保证可用性的一些控制措施如下:

  • 加密磁盘上存储的数据
  • 加密传输过程中的数据(IPSEC、SSL、PPTP、SSH)
  • 严格的访问控制(物理和技术)

十大安全领域

访问控制

主要研究管理员与经营者的访问控制的机制和方法。需要控制管理员与经营者经过授权身份验证后的用户权限,被访问内容的权限以及对访问活动的审计和监控。

  • 访问控制威胁
  • 标识和身份验证技术和技巧
  • 访问控制管理
  • 单点登入技术
  • 攻击方法

通信与网络安全

该领域主要研究内部、外部、公共以及私有的通信系统、互联结构、设备、协议以及远程访问和管理。

  • OSI模型与分层
  • 局域网(Local Area Network, LAN)、城域网(Metropolitan Area Network, MAN)和广域网(Wide Area Network, WAN)技术
  • 互联网、内联网和外联网问题
  • 虚拟专用网(Virtual Private Network, VPN)、防火墙、路由器、网桥和中继器
  • 网络拓扑和布线
  • 攻击方法

信息安全治理与风险管理

该领域主要研究公司资产的标识,确定必要的安全保护级别的方式,采用何种类型的预算来降低风险和减少资金损失的安全实现

  • 数据分类
  • 策略、措施、标准和指南
  • 风险评估和管理
  • 认识安全、培训和意识

软件开发安全

该领域主要研究安全软件开发方法,应用程序安全和软件缺陷。

  • 数据仓库和数据挖掘
  • 不同的开发方法及其风险
  • 软件组件和脆弱性
  • 恶意代码

密码学

该领域研究密码学的技巧方法和技术

  • 对称和非对称算法及其使用
  • 公钥基础设施(Public Key Infrastructure)与三列函数
  • 加密协议及其实现
  • 攻击方法

安全架构与设计

该领域研究软件安全设计的方式方法。

  • 操作状态、内核功能与内存映射
  • 安全模型。架构和评估
  • 评估标准:可信计算机评估标准(Trusted Computer Security Evaluation Criteria, TCSEC)、信息技术安全评估标准(Information Technology Security Evaluation Criteria, ITSEC)和通用准则
  • 应用程序与系统的常见缺陷
  • 认证和认可

操作安全

该领域主要研究人事、硬件、系统以及审计和监控技术的控制

  • 与人事和职位相关的行政管理责任
  • 防病毒、培训、审计核资源保护活动中的维护概念
  • 预防性、检测性。纠正性和恢复性控制
  • 标准、遵从与适当关注的概念
  • 安全与容错技术

业务连续性计划(Bussiness Continuity Planning, BCP)与灾难恢复计划(Disaster Recovery Planning, DRP)

该领域主要研究在发生干扰和灾难时对业务活动的保存

  • 业务资源的标识和价值分配
  • 业务影响分析与可能损失预测
  • 业务单元优先顺序与危机管理
  • 规则的开发。实现与维护

法律、合规、调查与遵从

该领域主要研究计算机犯罪、法律和法规。不只是犯罪调查、证据搜集和处置步骤所使用的技巧,而且涉及如何开发和实现事故处理程序

  • 法律、法规和犯罪的类型
  • 许可证发放和软件盗版
  • 进出口法律的事宜
  • 证据的类型以及法庭的接纳
  • 事故处理
  • 取证

物理(环境)安全

该领域主要研究威胁、风险以及针对保护设施、硬件、数据、介质和人事措施。

  • 受限区域、授权方法和控制
  • 探测器、传感器和警报
  • 入侵检测
  • 火灾的探测、预防与灭火
  • 围墙、防护措施和安全证件的类型

总结

本文的主要目的是介绍信息安全涉及的基础知识,也是CISSP认证所涉及的所有安全方面,是学习信息安全知识的指路灯,也是学习的最终目标,供大家参考,对我来说一个备份。

原文发布于微信公众号 - 信安之路(xazlsec)

原文发表时间:2017-06-25

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏流星博客

吐槽下坑爹的主机屋

大家好!  众所周知  建网站离不开域名和建站主机 但这两样东西大多都是需要付费的    

561120
来自专栏腾讯数据中心

IDC假负载验证测试问题分析

前言 关于IDC假负载验证测试,“腾讯数据中心”已经发送2篇介绍文章《数据中心假负载验证测试之道》、《数据中心假负载验证测试实战指导方案》,今天我们将以某大型微...

35960
来自专栏养码场

技术宅如何约到抖音小姐姐?

前几天,就有一位熟练Python的技术人,用Python编程了一个抖音小姐姐挖掘器,把抖音上翻漂亮小姐姐全都找了出来!

24020
来自专栏我的安全视界观

【企业安全】甲方眼里的安全测试

纵观互联网上公开的文章,专门介绍甲方安全测试的少之又少。入职甲方安全已将近一年又三个月,从甲方角度来做安全测试的流程和思路、痛处与难点也越加明晰。早就想着能总结...

24130
来自专栏FreeBuf

补卡的糟糕经历引发的思考:一点黑客技术让我们不再泄露那么多数据

概述: 笔者因为孩子生病n次去医院输液,终于在最后一次打吊针的时候被人偷走了手机(医院果然是作案高发区),于是有了我补办手机卡的经历。一张电信手机卡在电信营业厅...

26090
来自专栏梁源的专栏

iOS10凌晨1点发布,小源带你一起升级体验过程

11430
来自专栏云计算D1net

Win8.1免费升级?Win9或因安全移除云服务

一个月之前,中央国家机关政府采购中心宣布中央机关不得采购安装Windows 8的电脑。虽然政府部门未作出详细解释,但据各大互联网安全大佬猜测,信息安全性是这其中...

35380
来自专栏小文博客

腾讯云年中大促,低至三折优惠

站长朋友们注意啦,最近腾讯云活动不断,新出活动腾讯云年中大促,部分热销商品限时5折,更有年付三折优惠,现在购买服务器再合适不过了。已有腾讯云服务器的站长朋友也不...

55640
来自专栏黑白安全

四月补丁增强了 AMD CPU 抵御幽灵漏洞的能力

四月的第二个星期二,微软通过自家 Windows Update 更新通道,为 AMD CPU 带来了增强的 Spectre(幽灵)漏洞防御能力。这一轮的系统级修...

9430
来自专栏FreeBuf

浅析大规模生产网络的纵深防御架构

纵深防御这个在安全行业被用的很烂的词,乙方的顾问写方案时信手捏来,我想大家的理解可能并不一致。其实我比较赞同lake2用的“河防”以及数字公司用的“塔防”的概念...

39550

扫码关注云+社区

领取腾讯云代金券