Featured image of post 第01节:安全与风险管理(上)

第01节:安全与风险管理(上)

CISSP课程笔记

章节介绍

风险管理是重点

前四节是传统安全管理部分

法律不用太深入研究,很难考到

BCP业务持续计划:防止业务中断

image-20240301144744693

信息安全概述

什么是信息?

信息的重要特征:有意义的、有价值的、本质是无形的、需要靠介质来存储的

价值评判依据:假如这个信息没保护好,给我们带来损失大小作为评判依据

截屏 2024-03-01 下午3.05.41

信息安全保护最重要的原则:全流程原则

image-20240301150924908

信息安全的基本目标

信息安全的基本目标:保密性、完整性、可用性(CIA)

与之相反的事DAD三元组:泄露D、篡改A、破坏D

image-20240301151929611

完整性的信息内部和外部的一致性解释:

分为内部(IT环境的内部)一致性和外部(IT环境的外部)一致性

举例:在公司打印机管理系统中,各部门的打印机数量之和与系统记录的总数不一样,这是内部一致性的问题。如果有个部门私自买了一台打印机,没有录入系统,这就是外部一致性问题。

完整性的延伸:来源真实性、抗抵赖性

信息安全的本质

不仅仅是保护好CIA,同时还要兼顾效率,学习各方面的基础知识,尽量达成各方面之间的平衡

本质是一个管理问题

什么是信息安全管理?

image-20240301153357286

三分技术、七分管理,需要深入地去理解

信息安全管理模型

image-20240301153639274

PDCA(戴明环)

信息安全工作只有开始没有结束

信息安全治理

什么是安全策略?

安全策略具有层次性(Top-Down)

方针、标准、指南、基线、程序

标准:强制标准与推荐标准

程序又叫流程

image-20240301163951075

安全策略的层次模型

image-20240301164137775

应该制定哪些策略

AUP:可接受的使用策略(如:公司邮件不允许传输个人信息等)

image-20240301164441285

针对合规性的审计框架

image-20240301164757449

COSO(财务内控框架)

举例:上个世纪,美国有一些上市公司的经营者和所有者不一定是一个人(职业经理人),如果经理人的控制措施失效了,把企业搞垮了,这些经营者可以什么责任都不负,让国家和股民承担责任,这个逻辑就很不合理。所以用COSO来防止这种情况出现。

image-20240301165523129

ITIL(IT服务质量提升标准)

质量和安全之间的关系:安全和质量有时可以画约等号

ITIL和安全很相关

image-20240301170049497

COBIT(IT治理的一个框架)

现在的IT标准有一种不断被拔高的趋势,越来越抽象,越来越难落地

COBIT能让IT治理更好地为业务服务:

企业架构(EA)

IT需求的管理工具,发现总结IT需求

两种常见的企业架构如下

image-20240302095048539 image-20240302095617231

ISO27000系列国际安全标准

ISO27001标准:实施过程、审计要求的标准,是信息安全管理系统 (ISMS) 的规范或认证

ISO27002标准:是27001的补充,更精确和详细,由ISO17799改名而来,

风险管理★

风险管理相关要素

image-20240302105233708

风险三要素:资产、威胁、弱点

计算风险大小还要通过“可能性”、“影响”两个判断★

如果风险要分为四要素,则需加上“安全措施”

不考虑安全措施时的风险叫做“固有风险”(全面风险),考虑之后的风险叫做“残留风险”

风险管理的目标

目标:通过安全工作,影响风险三要素,从而降低风险大小

1.减少弱点是主要的安全工作(修补漏洞)

2.如何理解减少资产来降低风险?

经营资产保持增值主要是从贡献的角度来考虑的,而降低资产价值是从安全角度来提的(不要把鸡蛋放在一个篮子里)

举例:在线教育系统里面有十年前的历史记录,几乎没人来查询。如果一直存在系统中,一旦系统被攻破,则造成的损失是巨大的。但如果我们将其从系统中剥离,即时系统被攻破,损失也会小得多。

3.减少威胁如何理解?

起因:有人认为黑客、地震等影响都是客观存在的,无法减少

减少资产暴露其实就是减少威胁的方法

举例1:互联网上有许多黑客,如果一个系统不接入互联网对其影响不大,则将其放置在内网,就是减少威胁的手段

举例2:建站选址时,考虑地震发生率,也算是减少地震威胁的手段

安全没有绝对可言

image-20240302111553652

风险管理最重要的原则:成本效益原则

做好安全和效益的平衡

风险评估很重要

风险评估★

image-20240302143452165

风险评估包括风险分析和风险评价两部分

风险分析是将风险的大小确定下来

风险评价是提出解决风险的建议

(没有统一的说法,做题有时要靠上下文分析)

定量评估和定性评估

image-20240302145409200

定量分析需要具体的金额以及单位,除此是定性分析(高中低)

定量分析不经常使用(除了诸如保险公司这类的企业)

定性分析含有很大的主观色彩,属于社会科学,任何的定性测量分析都有不确定性

image-20240302151651494

单一损失期望计算公式

image-20240302151906544

年度损失期望计算公式

image-20240302151931828 image-20240302152145675

Delphi是背对背小组讨论方式,防止个别权威人士发言影响大家充分发挥自己的意见

(既能防止领导一言堂,也能防止某些人事后诸葛亮)

识别信息资产

image-20240302153045751

资产价值要由拥有者来判断,由业务主管的意见为准

评价信息资产

image-20240302153358024

识别并评估威胁

image-20240302153611065

识别并评估弱点

image-20240302153715983

风险评价前需要确定两个指标

风险影响和风险可能性

image-20240302154205742

风险评估矩阵

定性风险评估的工具

image-20240302154430597
本博客已稳定运行
发表了18篇文章 · 总计38.60k字
森 ICP备2024001234
Built with Hugo
主题 StackJimmy 设计