CISSP学习笔记-1（实现安全治理的原则和策略）.pdfVIP

CISSP学习笔记-1（实现安全治理的原则和策略）

域1-安全与⻛险管理

CIA三元组

理解和应⽤安全概念

必威体育官网网址性：

⽬标-组织或者最⼩化未经授权的数据问，保护授权问的同时防⽌数据泄露

相关概念、条件和特征

敏感性

信息的特性，⼀旦数据泄露会导致伤害或者损失

判断⼒

判断⼒是⼀种决策⾏为-操作者可影响或控制信息泄露，将伤害或损失成都降到最低

关键性

关键程度的衡量标准，级别越⾼越需要报纸信息的必威体育官网网址性

隐藏

藏匿或者防⽌泄露的⾏为。

必威体育官网网址

对事物的必威体育官网网址或者防⽌信息泄露的⾏为

隐私

对个⼈身份或者可能对他⼈造成伤害，令他⼈感到尴尬的信息必威体育官网网址

隔绝

严格的问控制

隔离

事物与事物的分离⾏为

完整性

保护数据可靠性和完整性

检验完整性

防⽌未经授权的主体进⾏修改

防⽌授权主体进⾏未经授权的修改

保持客体内外⼀致以使客体的数据能够真实反映现实世界，且与其他客体的联系是有效的、⼀致的和可验证的

内部⼀致性：

存储在系统⾥的冗余信息要保持⼀致。

外部⼀致性：

存储在系统⾥的信息和外部真实情况要保持⼀致（符合真实世界）。

相关概念、条件和特征

准确性

正确且精确⽆误

真实性

真是的反映现实

有效性

实际上（逻辑上）正确

问责制

对⾏为和结果负有责任和义务

职责

负责或者控制某⼈或某事

完整性

拥有全部必需的组件、部件

全⾯性

完成的范围，包含所有必须得元素

可⽤性

授权主体被授予实时的、不间断的客体问权限

相关概念、条件和特征

可⽤性

能被主体使⽤、学习、控制的状态

可问性

主体可与资源交互⽽不考虑主题的能⼒或限制

及时性

及时、准时，在合理的时间内响应

真实性

不可否认性

确保事件的主体或引发事件的⼈不能否认事件的发⽣。不可否认性可预防主体否认发送过消息、执⾏过动作或导致某个事

件的发⽣。

可使⽤数字证书、会话标识符、事务⽇志以及其他许多事务性机制和问控制机制来实施不可否认性。

DAD、过度保护、真实性、不可否认性和AAA服务

DAD三元组：泄露、修改、破坏

过度保护

过度保护必威体育官网网址性-可⽤性受限

过度保护完整性-可⽤性受限

过度保护可⽤性-必威体育官网网址性和完整性受限

真实性

数据可信、⾮伪造

不可否认性

AAA

核⼼安全机制

认证、授权、记账

标识

身份标识

身份认证

证实身份

授权

问许可

审计

记录事件和活动⽇志

记账（问责制）

通过⽇志⽂件核查合规和违规情况

保护机制

纵深防御（分层防御）

多个防护控制，⼀个失效不会导致系统或者数据暴露

使⽤串⾏层，不是并⾏层

抽象

相似的元素放⼊组、类、⻆⾊中，作为合集被安全控制

引⼊对象组（类），问权限和操作权限分配基于对象组

数据隐藏

将数据放在主体⽆法问或者读取的逻辑存储空间防⽌数据被泄露或问

防⽌未经授权的问，限制低级别的主体问⾼级别的数据

多级安全系统的特征

加密

安全边界

定义主体对客体执⾏的功能，不同分类间就是安全边界

物理环境和逻辑环境之间也存在安全边界，物理环境和逻辑环境的安全边界通常相对应