5052人加入学习
(5人评价)
CISP预习课程(2023)
价格 ¥ 12800.00
该课程属于 CISP培训预习专题 请加入后再学习

威胁建模:OS;DBMS;API

[展开全文]
zk455118 · 2023-08-07 · 该任务已被删除 0

第一节

同城容灾备份:几十公里以内

异地容灾备份:100公里以上

案例:天津港爆炸事件(化学品)

三级抗震:一级:特殊设防类:国家级

                 二级:重点设防类:省级

                 三级:标准设防类:一般单位

机房常用灭火气体:七氟丙烷(主流)、二氧化碳、三氟甲烷。

 

[展开全文]

信息安全管理体系

ISO 27001

方针、原则、资源

PDCA:paln计划、Do实施、check检查、act行动

ISMS评审:(属于PDCA中的C)

制定风险处理计划(属于D)

文档化:四级文件 建立、批准发布、评审与更新、文件保存、文件作废

14个类别、35个目标、114个控制措施

信息安全方针:信息安全方针由管理者批准、发布并传达给所有员工和外部相关方

信息安全方针评审

内部组织:

控制措施:信息安全的角色和职责、职责分离、与政府部门的联系、与相关利益方的联系、项目管理的信息安全

人力资源安全:

任用前:目标:职责、措施:审查

任用中:防止变化权限蔓延

任用终止和变化:主动离职风险大:可获取意愿信息,离职流程

资产管理:对资产负责、信息分类(分类指南)、介质处理

访问控制

密码学:使用加密控制策略、生命周期

软件开发:SDLC

供应商关系:SLA

信息安全事件管理:信息安全事态报告

符合性:法律和合同规定、信息安全审核

 

测量:按照27004

[展开全文]
WWjjss · 2023-07-20 · 该任务已被删除 0

信息安全风险管理指南:

四个阶段:背景建立、风险评估、风险处理、批准监督

两个贯穿:监控审查、沟通咨询

文档输出(过程完备)

背景建立:风险管理准备、信息系统调查、信息系统分析、信息安全分析

【重点、考点】风险评估准备阶段输出文档:风险评估计划书、风险评估方案、入选风险评估方法和工具列表

风险要素识别输出文档:需要保护的资产清单、面临的威胁列表、存在的脆弱性列表、已有安全措施列表

风险分析输出文档:风险计算报告

风险结果判定:风险程度等级列表、风险评估报告

风险处理是为了将风险始终控制在可接受范围内

风险处理方式: 降低风险、规避风险(关闭、代替服务)、转移风险(外包,买保险、责任不能转移、资产可以转移)、接受风险

批准监督

沟通咨询:反馈,报告是要有流程

监控 审查:监控过程有效性:过程是否完整和有效地被执行;输出文档是否齐全和内容完备

审查结果有效性和符合性:输出结果是否符合信息系统的安全要求,输出结果是否因信息系统自身或环境变化

[展开全文]
WWjjss · 2023-07-20 · 该任务已被删除 0

信息:是数据的载体

信息安全组织建构:

       决策层:提供方针政策(信息安全治理治理)、分配职责、提供资源、重大事件的决策、为信息安全事件负有最终的责任

        管理层

        支撑层

        安全层:实现安全目标

        用户层

        审计层

风险:是事件发生的概率、频率和影响(只考虑负面)的组合

风险管理:风险评估:(所有信息安全活动的起点和基础)风险识别、评估风险。

                 风险处理:(所有信息安全活动的核心)把风险降低到可接受的范围内

常见风险管理模型:COBIT、COSO

COBIT组件:框架、流程描述、控制目标、管理指南、成熟度模型

[展开全文]
WWjjss · 2023-07-20 · 该任务已被删除 0

信息系统安全保障评估(认证)框架

信息系统安全风险:是具体的风险

信息系统安全保障:存在于整个生命周期、从技术、管理、工程和人员提出保障要求、确保CIA

信息系统安全:安全功能保障、非功能保障

评估框架:级别、按照标准评估

信息系统安全保障【定义】【考点】:技术保障、管理保障、工程保障、人员保障,确保CIA,把安全风险到可接受的程度,从而保障系统能够顺利实现组织机构的使命

评估:ISPP:信息系统保护轮廓,一类产品或系统

ISST:信息系统安全目标,特定的产品或系统

STOE:安全评估对象(管理、技术、工程)

保障要素、生命周期、安全特征

管理、技术、工程、人员

信息安全技术:密码技术、访问控制、审计和监控技术、网络安全技术、操作系统技术、数据库安全技术、安全漏洞与恶意代码、软件安全开发

信息安全管理:最终较量的是人不是设备

评估框架:ISPP、ISST、STOE

能力成熟度 -> 级别

企业安全架构:SABSA 【考点】(关注层次) -> 5W2H:what、why、who、where、when、how、how much 生命周期:战略与规划、设计、实施、管理与测量

企业架构:Zachman、TOGAF

 

 

 

[展开全文]
WWjjss · 2023-07-20 · 该任务已被删除 0

工控基本结构:分布式控制系统、数据采集与监控系统、可编程逻辑控制器

工业控制系统安全威胁:缺乏足够安全防护、安全可控性不高、缺乏安全管理标准和技术

不允许中断

认证:认证结构按照某个标准对信息系统进行评估

认可:组织中的决策层对组织安全做出的肯定或否定的回应

认可与认证之间没有联系

人是最重要的信息资产 -> 人员安全

云计算的安全风险:数据管理和访问失控的风险:数据存储位置对用户失控(要表明物理位置)

虚拟化安全:确保虚拟化多租户之间的有效隔离

大数据安全(生命周期去保护)

移动互联网安全

PDR:基于时间的静态模型、时间不好确认

PPDR

Pt:防护时间

Dt:检测时间:发起攻击到检测的时间

Rt:响应时间:从监测到攻击的时间到处理完成的时间

RTO:恢复时间目标

PPDR模型则更强调控制和对抗、考虑了管理的因素,强调安全管理的持续性、安全策略的动态性等(考点、填空)

IATF:信息技术保障框架 核心思想:深度防御(防御措施要串行而不是并行)

三个要素:人(核心:安全意识培训)、技术(技术是实现信息保障的重要手段)、操作(运行)

四个焦点领域:(三防护一支撑)保护网络和基础设施、保护区域边界、保护计算环境、支持性基础设施

保护区域边界

保护计算环境(CIA)

保护网络和基础设施

支撑性基础设施:秘钥管理基础设施、检测和响应基础设施

[展开全文]
WWjjss · 2023-07-19 · 该任务已被删除 0

信息安全属性:机密性:泄露

完整性:防止未授权篡改、防止越权篡改、保证数据内外部一致性

可用性:保证授权用户对信息资产高效有效的访问

其他属性:真实性:来源真实性、信息真实性

不可否认性:签名等措施

可问责性:责任人

可靠性:保证信息资产在特定条件或特定时间段内完成功能

 国家视角:网络战、关键基础设施保护、法律建设和标准化

企业视角:业务连续性、保护资产、合规性

个人视角:隐私保护、社工、个人信息保护

 

应对社会工程学攻击最有效的方式:进行安全意识培训;检查安全意识培训的效果:员工行为是否发生改变

 

安全意识培训:内容新、形式多种多样

通信安全:威胁:搭线窃听、密码学分析 安全措施:加密

计算机安全:安全威胁:非法访问、恶意代码、弱口令、僵尸进程(恶意代码) 安全措施:访问控制技术

信息系统安全(网络安全):安全威胁:网络入侵、病毒破坏、信息对抗  安全措施:防病毒、漏洞扫描、防火墙

信息安全保障:27号文(中国信息安全保障工作)

网络空间安全:“云大移物质”

[展开全文]
WWjjss · 2023-07-19 · 该任务已被删除 0

信息:数据的载体,企业安全保护有价值的信息资产(软硬件、服务、无形资产、人员安全);两个重要的特性:信息要有意义、信息是无形的

重要:信息安全的定义:为数据处理系统建立和采取技术、管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而受到破坏、更改、泄露

安全治理:安全目标(依据:合规性、业务系统使命、风险评估)

管理:为了实现既定的目标而采取的一系列的活动

信息安全体系:要有目标、持续改进、遵循PDCA循环

信息安全管理:1、建立信息安全策略2、实现信息安全策略3、评估

控制措施类型:技术(指纹)、管理、物理(安保、指纹锁)【看保护对象】

控制措施作用:威慑、预防、检测、纠正(方向错误)、恢复、补偿

信息在生命周期内的处理方式:创建、使用、存储、传递、更改、销毁

信息销毁:是否被正确销毁、是否被真正销毁

信息安全问题:1、有负责人(决策层是信息安全最终的责任人)2、根本目标保障业务连续性3、考虑成本、适度安全4、安全事故自上而下运行5、技管并重(七分管理、三分技术)

安全属性:基本属性:CIA(机密性、完整性、可用性)其他属性:真实性、科文泽兴、不可否认性、可靠性

信息安全责任:职责(工作范围的)、责任(你干的)、义务(售后服务期间内)

信息安全根源:内因:漏洞外因:环境因素、人为因素

威胁情报:大数据搜集

态势感知:大数据分析

[展开全文]
WWjjss · 2023-07-18 · 该任务已被删除 0

syn flood攻击原理:最广泛、最主流的DOS攻击

构造大量的虚假IP与服务机建立半开连接

应用层攻击:

DNS欺骗:冒充域名服务器

[展开全文]

OSI七层模型:

物理层、数据链路层、网络层、传输层、会话层、表示层、应用层

(物输网传会表应)

物理层:了解

数据链路层:作用:物理寻址

   典型设备:网桥、交换机

   协议所在:ARP、RARP

网络层:作用:路由寻址(ip-->转发 )

   典型设备:路由器、三层交换机

传输层:作用:建立逻辑链接(三次握手)

   根据端口来区分应用给和服务

   协议所在:TCP(可靠数据传输)、UDP(不可靠)

会话层:作用:会话建立(Session值),维持,     终止

    timeout

表示层:加密解密,字符转换,协议转换

   数据格式:ASCII,Unicode,MPEG,JPEG,     GIF,TIFF

应用层:流控、错误恢复

  协议所在:FTP,Telnet,HTTP,SMTP,SNMP,DNS

分层优点:1、各层间相互独立2、降低复杂性3、促进标准化工作4、协议开发模块化

数据封装:由上至下

数据解封:由下至上

OSI安全体系结构:

五类安全服务:鉴别服务,访问控制,数据完整性,保密性抗抵赖服务

八种安全机制(支撑服务):加密、数字签名(抗抵赖)、访问控制、数据完整性、鉴别交换、业务流填充、路由控制和公证

TCP/IP四层模型:

网络接口层、网络互联层、传输层、应用层(容易考)

网络接口层:(ARP(ip->MAC)、RARP(MAC->ip))

互联网络层:ICMP(ping,检测网络连通性)、IGMP(主机、路由的状态告诉周边节点)、IP

传输层:TCP、UDP

网络接口层:安全问题:ARP欺骗,嗅探,拒绝服务

cain ARP欺骗、密码破解

APR欺骗防御:使用静态ARP缓存、使用三层交换设备、IP与MAC地址绑定

IP协议

TCP提供可靠性服务:数据包分组、发送接收确认、超时重发、数据校验、数据包排序、控制流量

拒绝服务:syn flood/udp flood/Smurf

[展开全文]

CISP:CISE(技术)CISO(管理、领导岗)

1、物理安全与环境安全

典型的机房区域划分图:

谁备件、电池间、动力间、视频监控

物理安全的重要性:

物理安全是基础,信息系统安全战略的一个重要组成部分

物理安全面临问题:

1、环境风险不确定性2、人类活动的不可预知性

典型的物理安全:1、自然灾害、2、环境因素、

3、设备安全、介质安全、传输安全

 

如何解决物理安全:1、选址2、异地(上百公里)容灾

PS 几十公里同域

场地选择:

区域:避开自然灾害高发区域

环境:远离可能的危险因素

其他:消防、交通便利

抗震及承重:

抗震:特殊设防类、重点设防类、标准设防类

承重:设计、时间因素、使用因素

防火(重点):预防:防火设计(防火门、逃生通道)及阻燃材料

检测:火灾探测器(感烟、感温、感光、可燃气体探测)

抑制:水(较少使用,通常做周边防护)、气体(二氧化碳、七佛丙烷(主流)、三氟甲烷)

物理与环境安全:

防水、供电、空气调节

电磁防护:解决电磁辐射产生的信息泄露的问题

1、电磁屏蔽2、信号干扰3、Tempest技术

雷击及静电

1、直击雷2、感应雷3、静电

设施安全--安全区域与边界防护

设施安全--审计及监控

传输安全(重点)、

有线传输:同轴电缆:显著特征是频带较宽,最大可达10GHz

双绞线:包裹金属屏蔽层,可减少辐射和电磁干扰

光纤:光在光导纤维中传输损耗非常低,因此可长距离传输,但成本高(需要光模块)

安全风险

防护措施

无线传输:安全风险:开放信道。防护措施:加密

上走线下走电

 

 

 

[展开全文]

二,计数环境安全

3,恶意代码防护,应用安全,数据安全。

①、什么是恶意代码:是指能够引起计算机故障,破坏计算机数据,影响计算机系统的正常使用的程序代码,指令。

②静态分析,动态分析。

[展开全文]

二,计数环境安全

3,恶意代码防护,应用安全,数据安全。

[展开全文]

IDS检测技术:误用(特征)检测技术(杀毒软件)  和  异常(行为)检测技术

加密流量和0day不能发现

 

网闸:外部、内部、仲裁处理单元     私有协议    没有任意时间全连接    评审

 

 

 

 

[展开全文]

CISP发证单位:中国信息安全测评中心,2002年推出的认证,面向个人,工作后的人群,目前V4.2版本,10门课,5天内容。

1.信息安全保障:基础性,提纲性课,CIA,国家社会企业视角看问题,新技术领域、云计算领域、工控、物联网、大数据、移动互联,

3个重要模型:PPDR,IATF,GB/T20274

2.安全工程与运营:SSE-CMM,

3.业务连续性:BCM,DRP,应急响应,取证。

4.信息安全评估:产品TCSEC,ITSEC,FCC,CC,风评20984(考试重点)

5.信息安全制程技术:难,多。密码学,身份鉴别、访问控制模型(三个:DAC,MAC,RBAC)

6.计算机环境安全:操作系统安全,应用安全,数据库安全

7.物理与网络通信安全:机房,网络

8.信息安全管理:27001,法律法规标准政策。

9.网络安全管理

10.软件安全开发:

考试2小时,100个单元,答对70个拿到证书。

 

CISE:技术,运维;,CISO管理,体系建设。

一、物理环境与网络通信安全

1、机房:

2、网络:2个模型,作用和风险;

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

[展开全文]

1、85年美国国防部颁发的第一部安全标准:

橘皮书(橙皮书)

操作系统保密性7个大类、8个小级

C1C2C3  B1B2

2、加拿大本国的标准:

CTCPEC

3、澳洲四国写的新的标准:

IPSec

4、Linux特权

a)使用普通用户user登录,然后使用su、sudo命令提权

b)使用su命令获取的特权一直有效;使用sudo命令获取的特权生效一次

c)suid位:任何用户都可以以root执行文件的权限(读写修改等)

5、Linux日志

Access-log、lastlog、message、sudolog、sulog

6、安全审计

单独部署日志服务器、存6个月

[展开全文]

密码学的三个发展阶段

古典密码学1949之前

数据的安全基于算法的保密

近代密码学1949---1975

密码学成为一门科学

数据的安全基于密钥而不是算法的保护

现代密码1976之后

密码学的新方向---公钥密码学

公钥密码使得发送端和接收端无密钥传输的保密通信成为可能,解决了密钥分发和管理的问题

本质特征:采用特定变换的方法

处理对象:信息

主要功能:加密保护、安全认证

表现形式:技术(算法、协议)、产品(MMJ、VPN)、服务(PKI)

密码是保障网络安全的核心技术和基础支撑

网络安全的四大属性

机密性:加密算法

可认证性:数字签名

不可抵赖性:数字签名

完整性:单向加密hash或杂凑算法

密码系统安全的基本因素

密码算法复杂度、密钥机密性、密钥长度

柯克霍夫原则:密码体制也应该对外公开,仅需对密钥进行保密;如果一个密码系统需要保密的越多,可能的弱点也越多。

例外:军事、保密领域的算法不公开

RSA:依靠大素数相乘十分容易,但是想要对其乘积进行因式分解却极其困难

ECC:椭圆曲线上离散对数问题

对称算法:DES AES  3DES  IDEA   SM1

优点:搞笑,算法简单、计量较小、加密速度快、适合加密大量数据

缺点:安全交换密钥问题及密钥管理复杂

密钥管理复杂算法:n*(n-1)/2

 

 

 

[展开全文]
我爱喝可乐 · 2023-05-05 · 该任务已被删除 0

fan zui

[展开全文]
王涛202304培训 · 2023-04-24 · 该任务已被删除 0