CISSP学习笔记:人员安全和风险管理概念

第二章 人员安全和风险管理概念

2.1 促进人员安全策略

  • 职责分离: 把关键的、重要的和敏感工作任务分配给若干不同的管理员或高级执行者,防止共谋
  • 工作职责:最小特权原则
  • 岗位轮换:提供知识冗余,减少伪造、数据更改、偷窃、阴谋破坏和信息滥用的风险,还提供同级审计,防止共谋

2.1.1 筛选候选人

筛选方法:

  1. 背景调查
  2. 社交网络账户复审

2.1.2雇佣协议和策略

  • 雇佣协议
  • 保密协议

2.1.3 解雇员工的流程

2.1.4 供应商、顾问和承包商控制

SLA:服务级别协议

2.1.5 合规性

合规是符合或遵守规则、策略、法规、标准或要求的行为

2.1.6 隐私

2.2安全治理

  • 安全治理是支持、定义和指导组织安全工作相关的实践合集
  • 第三方治理: 由法律、法规、行业标准、合同义务或许可要求规定的监督

2.3理解和应用风险管理概念

2.3.1风险术语

  • 资产: 环境中应该加以保护的任何事物
  • 资产估值: 根据实际的成本和非货币性支出作为资产分配的货币价值
  • 威胁:任何可能发生的、为组织或某些特定资产带来所不希望的或不想要结果的事情
  • 脆弱性:资产中的弱点或防护措施/对策的缺乏被称为脆弱性
  • 暴露:由于威胁而容易造成资产损失,暴露并不意味实施的威胁实际发生,仅仅是指如果存在脆弱性并且威胁可以利用脆弱性
  • 风险:某种威胁利用脆弱性并导致资产损害的可能性 风险 =威胁 * 脆弱性,安全的整体目标是消除脆弱性和㢟长威胁主体和威胁时间危机资金安全,从而避免风险称成为现实
  • 防护措施: 消除脆弱性或对付一种或多种特定威胁的任何方法
  • 攻击: 发生安全机制被威胁主体绕过或阻扰的事情
  • 总结:风险概念之间的关系

2.3.2 识别威胁和脆弱性

IT的威胁不仅限于IT源

2.3.3 风险评估/分析

定量的风险分析

  1. 暴露因子(EF): 特定资产被已实施的风险损坏所造成损失的百分比
  2. 单一损失期望(SLE):特定资产的单个已实施风险相关联的成本 SLE = 资产价值(AV) * 暴露因子(EF)
  3. 年发生占比(ARO):特定威胁或风险在一年内将会发生的预计频率
  4. 年度损失期望(ALE):对某种特定资产,所有已实施的威胁每年可能造成的损失成本 ALE = SLE * ARO
  5. 计算使用防护措施时的年损失期望
  6. 计算防护措施成本(ALE1-ALE2)- ACS
    • ALE1:对某个资产与威胁组合不采取对策的ALE
    • ALE2:针对某个资产与威胁组合采取对策的ALE
    • ACS:防护措施的年度成本

定性的风险分析

  • 场景,对单个主要威胁的书面描述
  • Delphi技术:简单的匿名反馈和响应过程

2.3.4 风险分配/接受

  • 风险消减:消除脆弱性或组织威胁的防护措施的实施
  • 风险转让:把风险带来的损失转嫁给另一个实体或组织
  • 风险接受:统一接受风险发生所造成的结果和损失
  • 风险拒绝:否认风险存在以及希望风险永远不会发生
  • 总风险计算公式:威胁 * 脆弱 * 资产价值 = 总风险
  • 剩余风险计算公式:总风险 - 控制间隙 = 剩余风险

2.3.5 对策的选择和评估

风险管理范围内选择对策主要依赖成本/效益分析

2.3.6 实施

  • 技术性控制:采用技术控制风险
  • 技术控制示例:认证、加密、受限端口、访问控制列表、协议、防火墙、路由器、入侵检测系统、阀值系统
  • 行政管理性控制:依照组织的安全管理策略和其他安全规范或需求而定义的策略与过程
  • 物理性控制:部署物理屏障,物理性访问控制可以防止对系统或设施某部分的直接访问

2.3.7 控制类型

  • 威慑:为了阻吓违反安全策略的情况
  • 预防:阻止不受欢迎的未授权活动的发生
  • 检测:发现不受欢迎的或未授权的活动
  • 补偿:向其他现有的访问控制提供各种选项
  • 纠正:发现不受欢迎或未授权的操作后,将系统还原至正常的状态
  • 恢复:比纠错性访问控制更高级,如备份还原、系统镜像、集群
  • 指令:指示、限制或控制主体的活动,从而强制或鼓励主体遵从安全策略

2.3.8 监控和测量

  • 安全控制提空的益处应该是可以测量和度量的

2.3.9 资产评估

2.3.10 持续改进

  • 安全性总在不断变化

2.3.11 风险框架

  • 分类 对信息系统和基于影响分析做过处理、存储和传输的信息信息进行分类
  • 选择 基于安全分类选择初始化基线、安全基线
  • 实施 实施安全控制并描述如何在信息系统和操作环境中部署操作
  • 评估 使用恰当的评估步骤评估安全系统
  • 授权
  • 监控 不间断的监控信息系统的安全控制

2.4 建立和管理信息安全教育、培训和意识

  • 培养安全意识的目标是将安全放在首位并且让用户意识到这点

2.5 管理安全功能

  • 安全必须符合成本效益原则
  • 安全必须可度量

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/90438.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

点云从入门到精通技术详解100篇-基于深度学习的三维植物点云分割网络(续)

目录 3.7定量衡量指标 3.8 语义分割结果 3.9实例分割结果 3.10 与其他方法的对比 3.11 剥离实验

快速幂矩阵-python

看了大神讲解,理论在这里:快速幂算法(全网最详细地带你从零开始一步一步优化)-CSDN博客 例题:求整数 base 的 整数 power 次方,对整数 num_mod 取幂。 python 代码如下: import timedef norm…

LabVIEW在运行时调整表控件列宽

LabVIEW在运行时调整表控件列宽 如何在LabIEW中运行时调整表控件的列宽大小? 在VI运行时,有两种不同的方法可以更改表中列的宽度。首先,可以使用鼠标手动更改它们;其次,可以从框图中以编程方式更改它们。 手动更改列宽 只有在…

设计模式——8. 代理模式

1. 说明 代理模式(Proxy Pattern)是一种结构型设计模式,它允许一个对象(代理对象)充当另一个对象(真实对象)的接口,以控制对该对象的访问。代理对象在访问真实对象时可以执行一些额外的操作,例如权限验证、懒加载、缓存、日志记录等,而无需修改真实对象的代码。 代…

IPsec_SSL VPN身份鉴别过程简要

一、IPsec VPN身份鉴别(参考国密标准《GMT 0022-2014 IPsec VPN技术规范》) IKE第一阶段(主模式) “消息2”由响应方发出,消息中具体包含一个SA载荷(确认所接受的SA提议)、响应方的签名证书和…

MySQL 运维常用脚本

常用功能脚本 1.导出整个数据库 mysqldump -u 用户名 -p –default-character-setlatin1 数据库名 > 导出的文件名(数据库默认编码是latin1) mysqldump -u wcnc -p smgp_apps_wcnc > wcnc.sql 2.导出一个表 mysqldump -u 用户名 -p 数据库名 表名> 导出的文件…

在HTTP请求中安全传输base64编码的字符串

前言 base64是一种常见的的编码格式,它可以把二进制数据编码成一个由大小写英文字母(a-zA-Z)、阿拉伯数字(0-9),以及三个特殊字符、/、组成的字符串。 问题 但是在URL传输中,、/、这三个特殊…

基于AI图像识别的智能缺陷检测系统,在钢铁行业的应用-技术方案

目录 概述 废钢智能检判方案简介 废钢智能检判系统优势及价值 废钢人工检判过程 废钢等级检判标准 废钢检判结果 智能检判方案-废钢智能检判算法 算法一:废钢等级识别算法 算法二:不合格料的位置识别算法 算法三:不合格料的类型识别…

第一百五十七回 SliverList组件

文章目录 概念介绍使用方法示例代码 我们在上一章回中介绍了沉浸式状态栏相关的内容,本章回中将介绍SliverList组件.闲话休提,让我们一起Talk Flutter吧。 概念介绍 我们在这里介绍的SliverList组件是一种列表类组件,类似我们之前介绍过的L…

【再识C进阶3(下)】详细地认识字符分类函数,字符转换函数和内存函数

前言 💓作者简介: 加油,旭杏,目前大二,正在学习C,数据结构等👀 💓作者主页:加油,旭杏的主页👀 ⏩本文收录在:再识C进阶的专栏&#x1…

全网最全面最精华的设计模式讲解,从程序员转变为工程师的第一步

前言 现代社会,技术日新月异,要想跟上技术的更新就必须不断学习,而学习技术最有效方式就是阅读优秀的源码,而优秀的源码都不是简单的逻辑堆积,而是有很灵活的设计模式应用其中,如果我们不懂设计模式&#…

单例模式:饿汉式

单例模式全局仅一个实例,用于获取公共的内容 头文件mglobalinfomgr.h class MGlobalInfoMgr {MGlobalInfoMgr();~MGlobalInfoMgr(); public:static MGlobalInfoMgr* GetInstance(); private:static MGlobalInfoMgr* _instance; }; 源文件mglobalinfomgr.cpp MGl…

idea2023根据表自动生成+springboot跑起来

idea安装插件 idea中显示数据库连接 就可以看到如下界面 选中你想生成的表,右键如下操作 如上就有了所有需要的后端代码 生成后,要查看一下mapper.xml中的文件是否 正确,若有误请先去修改,例如我的版本下生成了xml文件中缺乏…

基于SpringBoot的银行账目账户管理系统设计与实现(源码+lw+部署文档+讲解等)

文章目录 前言具体实现截图论文参考详细视频演示为什么选择我自己的网站自己的小程序(小蔡coding)有保障的售后福利 代码参考源码获取 前言 💗博主介绍:✌全网粉丝10W,CSDN特邀作者、博客专家、CSDN新星计划导师、全栈领域优质创作…

51单片机用IIc控制OLED显示数组内容

为了能够看到51单片机接收到的串口数据,我选择了用oled显示收到的数据,特此花重金买了一块oled屏128X64的屏幕大概10来块钱吧!首先要达成的小目标就是能够显示数组的内容,建立一个字符数组,用来接收串口收到的数据&…

基于SpringBoot的古典舞在线交流平台的设计与实现

目录 前言 一、技术栈 二、系统功能介绍 系统主界面 用户注册界面 论坛交流界面 课程详情界面 购物车界面 我的订单界面 管理员登录界面 会员用户管理界面 服饰管理界面 课程管理界面 三、核心代码 1、登录模块 2、文件上传模块 3、代码封装 前言 随着互联网技术…

Python函数:chr()和ord()

两个函数是基于Unicode编码表进行进行字符与字码之间的转换。 chr()函数是通过字码转换成字符: 如图,坐标(1,4e10)丑 使用chr需要线将坐标相加得到:4e11 chr默认传入10进制的字码. 如图是各进制的字码。 也可以传入其他进制,不过需要在前面传入的参数最前…

Docker学习_镜像和容器篇

简介 Docker是一种容器化的技术,可以实现在一台宿主机电脑上运行多个不同的容器,每个容器之间都相互独立,具有完整的一套文件,网络和端口。 可以将其理解为一种虚拟机技术,只不过和VMware等虚拟化技术不同&#xff0…

LM小型可编程控制器软件(基于CoDeSys)笔记三十一:保持变量和非保持变量

所谓变量,就是用字母、数字和下划线组成的一个标识符。 按照数据类型的不同,变量可以分为标准类型和用户自定义类型。其中标准类型包括布尔型 ( BOOL )、整型( INT )、实型( REAL &#xff09…

18.备忘录模式(Memento)

意图:在不破坏封装性的前提下,捕获一个对象的内部状态,并在该对象之外保存这个状态,这样就可以在以后将该对象恢复到原先保存的状态。 上下文:某些对象的状态在转换过程中,可能由于某种需要,要求…