Yqzj4JYXKOWt
说明:“考点拾遗”系列基于日常为学员和网友做的答疑整理,主要涉及教材中没有完全覆盖到的知识点。 关于SDLC软件开发生命周期(也作系统开发生命周期)的描述,在CBK、OSG、AIO几本常用教材中的描述居然都不一样,坑啊 CBK当中也说“TherearemanySDLCmodelsavailablewithdifferentnamesforeachphase,thoughtheyexecuteroughlythesamestepsinlogicalorder.存在很多SDLC模型,它们的各个阶段有不同的名称,尽管它们以逻辑顺序执行大致相同的步骤。” 不过CBK中所描述的5个阶段与NISTSP80...
说明:“考点拾遗”系列基于日常为学员和网友做的答疑整理,主要涉及教材中没有完全覆盖到的知识点。 信息安全是一个动态过程,机构必须对信息安全进行有效和主动的管理,以识别和应对新的漏洞、不断演变的威胁以及不断变化的企业架构和运营环境。 上面这句话天经地义吧,不接受反驳了哈 实施信息安全持续监测(ISCM)就是为了保持对信息安全状态、漏洞(脆弱性)和威胁的持续了解,以支持机构风险管理决策。 持续监测是风险管理的重要组成部分,在信息安全管理体系的PDCA循环中属于“C”--check,建立、实施和维护ISCM的步骤如下(依据NISTSP800-137): 第一步:定义ISCM战略 基于风险承受...
说明:“考点拾遗”系列基于日常为学员和网友做的答疑整理,主要涉及教材中没有完全覆盖到的知识点。 以下内容主要参考的NISTSP800-162和NISTSP800-178,本人水平有限,请以原文为准。 ACL(IBAC): 注意ACL是以客体为出发点的权限控制实现(具体请查阅CISSP教材访问控制矩阵、访问控制列表、访问能力表相关知识点内容)。 在IBAC模型中,如果一个主体提供的凭证与ACL中要求的凭证相匹配,则该主体被给予对客体的访问权。每个主体对该客体可执行的操作(读、写、编辑、删除等)权限,由客体所有者单独管理。每个客体都有自己的ACL和分配给每个主体的一组特权。 在IBAC模型中,授权...
一、不同安全级别和净化后去向的介质净化要求: Clear:应用逻辑技术清除所有用户可寻址存储位置的数据,以防范简单的非侵入式数据恢复技术;通常通过标准读写命令作用于存储设备,例如通过用新值覆写或使用菜单选项将设备重置为出厂状态(如不支持覆写的话)。 Purge:应用物理或逻辑技术清除数据残留,目标是期望即使使用最先进的实验室技术,恢复目标数据也是不可行。 Destroy:使得即便用最先进的实验室技术也不可能恢复目标数据,并导致随后无法使用介质存储数据。 二、介质的分类 介质分两大类,硬拷贝介质和电子介质(软拷贝介质)。 1)硬拷贝hard copy 硬拷贝指...
基本信息: 加密擦除(CE)通过清理目标数据的加密密钥来利用对目标数据的加密。虽然密文仍保留在介质上,但如果密钥不存在并不可恢复,数据将不再可用,有效地达成了净化数据的目标。 如果使用加密擦除,目标数据的净化被简化为对用于加密目标数据的加密密钥的净化。因此,加密擦除相比其他净化技术处理速度更快。 什么情况下考虑使用加密擦除 当所有数据在存储到介质上之前都已经过加密时; 当我们能确认用于加密目标数据的加密密钥的所有副本都被净化时; 当我们知道介质上存储加密密钥(目标数据的加密密钥,或者相关的包装密钥wrappingkey——加密保护目标数据的加密密钥的密钥)的位置,能确保存储密钥的介质上的实际...
这是一个找遍CISSP三个主要教材(CBK、OSG、AIO)都不见但考试会考到的内容(^_^)y 本文中内容主要出自NISTSP800-115信息安全测试和评估技术指南TECHNICALGUIDETOINFORMATIONSECURITYTESTINGANDASSESSMENT,笔者水平有限,请参见原文以准。 公开测试OvertTesting: 在机构的IT人员知情并同意的情况下进行的外部和/或内部测试,从而实现对网络或系统安全状况的全面评估。 由于IT人员完全了解并参与了测试,可以实现较高的测试覆盖度,可以提供指导以最小化测试的影响; 测试还可以提供一个培训的机会,IT人员可以观察学习评估人...
一、基本信息: (ISC)2道德规范包括四条准则,旨在作为高层次的指导方针,以增强而不是取代CISSP持证者的专业判断。严格遵守这些道德准则是获得和保持CISSP认证的一个条件。 什么是严格的遵守?CBK中的原话是“notonlyfollowstheCodeofEthicsbutmustbe visiblyseen asfollowingtheCodeofEthics.”就是横看竖看上看下看不管怎么看都挑不出毛病的那种程度的遵守。即使“被认为”存在不正当的行为或道德偏差,也可能使成员的地位受到质疑。 二、(ISC)2道德规范具体内容: CanonI:Protectsocie...
所谓外部External/内部Internal测试关注的是从什么位置开始测试,而不是测试人员的来源。 外部安全测试: 是从组织的安全周界之外进行的,目的是揭示可能被外部攻击者利用的漏洞。 除了对外部可访问的服务器进行测试以外,外部安全测试也着眼于发现访问方法(accessmethod)的漏洞,如无线接入点、远程访问通道如VPN、以及内部服务器的门户(portal)。 外部测试只能使用测试方法(testingtechnique)。 内部安全测试: 内部安全测试,评估人员从内部网络开始工作,假设是受信任的内部人员或已经渗透了周界防御的攻击者。内部安全测试还侧重于系统级安全和配置——包括应用和服务配...
信任服务标准(TrustServicesCriteria)是由AICPA保证服务执行委员会(ASEC)制定的控制标准,用于对信息和系统的(1)安全性、(2)可用性、(3)处理完整性、(4)保密性或(5)隐私的控制进行评估和报告。SOC2和SOC3报告都是关于信任服务标准(TrustServicesCriteria)的。 一、安全性: 信息和系统得到保护,以防止未经授权的访问、未经授权的信息披露和对系统的破坏,这些都可能损害信息或系统的可用性、完整性、保密性和隐私,并影响实体实现其目标的能力。安全性体现为: 1)在信息的收集或创建、使用、处理、传输和存储过程中对信息的保护; 2)保护处理、传输...
之前一篇《CISSP考点拾遗——安全评估方法assessmentmethods》中谈到: 评估活动的对象有四类:规格specifications 、机制mechanisms、活动activities和个人individuals; 评估的方法有三种:检查examine、访谈interview、测试test; 访谈interview是针对人的,很容易跟其他的区分;检查examine的对象是规范、机制和活动,在评估规范时,采用的是文件评审(DocumentationReview)的方法,跟其他活动也容易区分;但评估机制和活动时,检查examine方法和测试test方法都可能被运用,并且由于...
关于渗透测试究竟包含哪些阶段,CBK、OSGv8、OSGv9和AIO每个说的都不一样,考试时该按谁的呀(@_@;) 凡遇到这种情况,应按如下优先级取舍: 法律或标准(NIST或ISO)>CBK>OSG>AIO 关于上述问题,OSGv9引用了NISTSP800-115信息安全测试和评估技术指南,而它又是官方推荐教材的最新版,所以自然应该信这个咯。 NIST将渗透测试过程定义为下图所示的四个阶段: 1、计划阶段: 计划阶段没有实际的测试发生,但是为渗透测试的成功奠定了基础,主要工作成果包括: 1)识别测试的范围和规则,确保测试团队和管理层对测试的性质达成一致; 2)获得和记录管...