CISSP学习详细笔记、错题，考点标黑标红

### CISSP 学习详细笔记与错题分析 #### 安全管理核心概念与原则 **保密性(Confidentiality)**： - **目的**：确保数据处于保密状态，阻止或最小化未授权访问（包括恶意攻击和无意识的人为错误）。 - **控制手段**：在数据的存储、处理和传输过程中实施控制措施，如加密技术、隐写术等。 **完整性(Integrity)**： - **目的**：确保数据的准确性，阻止或最小化未授权修改（包括恶意攻击和无意识的人为错误），同时保证数据的一致性。 - **控制手段**：在数据的存储、处理和传输过程中实施控制措施，如配置管理、变更管理、散列验证等。 **可用性(Availability)**： - **目的**：确保数据和服务始终可访问。 - **控制手段**：通过备份、冗余和其他高可用性技术来实现。 **其他安全概念**： - **AAA服务**：身份验证（Authentication）、授权（Authorization）和审计(Auditing)。 - **标识(Identification)**：主体的身份标识。 - **身份验证(Authentication)**：验证主体身份的真实性。 - **授权(Authorization)**：授予主体访问特定资源的权限。 - **审计(Auditing)**：记录主体活动的日志，用于跟踪和分析。 - **记账(Accounting)**：审计日志的审核，以确保主体对自己的行为负责。 - **保护控制**： - **分层防御**：采用多层次的安全控制措施。 - **抽象**：将具有相似属性的实体归类，并为它们分配相同的保护策略。 - **数据隐藏**：通过将数据放置在主体无法直接访问的位置来保护数据，例如通过限制低级别主机访问高级别数据。 - **加密**：使用加密技术保护数据免受未授权访问。 #### 评估和应用安全治理原则 - **与业务战略的一致性**：安全功能必须与组织的业务战略、目标、使命和宗旨保持一致。这可以通过制定有效的安全管理计划来实现，该计划需考虑业务需求、预算限制等因素。 - **组织流程**：安全治理应当关注组织内的各种流程，包括并购、资产剥离等，这些活动可能引入新的风险。变更管理是一个重要的例子，它旨在确保所有变更都被详细记录并经过审计，以维持系统的安全性。 - **数据分类与分级**： - **定义**：根据数据的敏感性和重要性将其分为不同的等级。 - **步骤**： - 确定负责人。 - 定义信息分类标准。 - 对数据进行分类并添加标记。 - 记录分类过程中遇到的问题，并将其纳入分类标准。 - 为不同级别的数据分配相应的保护措施。 - 培训员工使用分类系统。 - **组织角色与责任**： - **高级管理者**：安全的最终责任人。 - **安全专业人员**：负责实施高级管理者指示的安全措施。 - **数据所有者**：通常为高级管理者，对数据的安全性负责。 - **数据托管员**：负责执行具体的数据保护任务。 - **用户**：使用数据系统的人员。 - **审计人员**：监督安全政策的执行情况。 - **安全控制框架**： - **COBIT**：一个广泛使用的IT治理框架。 - **ISO 27000**：信息安全管理体系的标准系列，提供了安全控制的最佳实践。 #### 结论 CISSP（Certified Information Systems Security Professional）认证涉及广泛的信息安全领域知识。理解保密性、完整性和可用性(CIA)的概念及其控制措施对于构建安全环境至关重要。此外，掌握安全治理的原则和技术对于有效地管理和维护组织的信息安全体系至关重要。通过对安全管理概念、原则以及组织内各个角色和责任的理解，可以更好地评估和应对潜在的安全威胁，确保数据的安全性和合规性。