安全基础架构中主要的安全目标和宗旨通常是指三元组CIA,保密性,完整性和可用性
保密性是指为保障数据、客体或资源保密状态而采取的措施。
阻止或最小化未经授权的数据访问。
就是正常数据里填充一些无用的信息,其实用混淆这个词来形容会更好一点。
敏感性是指信息的特征,这些特征的数据一旦泄露就会导致伤害或者损失。比如一些比较重要的数据,身份id,password,生物特征等,实际上对应的就是密级,针对不同的密级有不同的处理手段和方法。
判断力是一种决策行为,操作者可影响或控制信息泄露,以将伤害或损失程度降到最低。
这里的判断力实际上对应的是风险评估能力,就是可以通过现况来分析判断出可能存在的风险,通过对风险的管控从而达到降低伤害或者损失的目的。
信息的关键成都是关键性的衡量指标,关键性和敏感性应该是息息相关的,都代表了数据的重要程度。
完整性是保护数据可靠性和正确性的概念。
防止了未经授权的数据更改,预防故意和恶意的未经授权的活动以及授权用户的误操作。
可用性意味着授权主体被授予实时的,不间断的客体访问权限。
DAD三元组由 泄露(disclosure)、修改(alteration)、破坏(destruction)组成。代表CIA三元组中安全保护的失败的情况。
AAA服务是所有安全环境中的一个核心安全机制。三个A分别代表身份认证(authentication),授权(authorization)和记账(accounting)
实际上这三个字母代表了五个不同的内容:
支持、定义和指导组织安全工作相关的实践集合。
安全治理是将组织内所使用的安全流程和基础设施从外部来源获得的只是和见解进行比较。
一套用于IT服务管理的最佳实践框架,由英国政府开发,最后成为国家框架。
互联网安全中心提供操作系统、影院公程序和硬件安全配置指南。
NIST网络安全框架,为关键基础设施和商业组织设计。主要特点是随着时间推移支持和改进安全。
在正确等时间采取正确的行动。
ATO是操作授权。
CISSP,全称为Certified Information Systems Security Professional,是国际上最具影响力和广泛认可的信息系统安全管理证书之一。CISSP证书由国际信息系统安全认证机构(ISC)2颁发。
CISSP证书旨在验证和证明持有人在信息安全领域具备高水平的知识、技能和经验。持有CISSP证书的专业人士被认为是全球范围内企业、机构和政府部门中最佳的信息安全顾问和专家。
CISSP培训课程和考试涵盖了信息安全的8个核心领域,包括安全与风险管理、资产安全、安全工程、通信与网络安全、身份与访问管理、安全评估与测试、安全操作与事件响应、软件开发安全。考试通常包括250道多选题,需要在6小时内完成。
持有CISSP证书的人可以在信息安全领域的各个职位上发挥重要作用,包括信息安全经理、安全工程师、风险分析师、安全顾问等。此外,CISSP证书也被广泛用于企业招聘中,作为评估候选人信息安全能力的重要标准。
值得注意的是,取得CISSP证书需要满足一定的工作经验要求,并且持有人需要定期参加继续教育并重新认证,以保持其证书的有效性和专业水平。