接下来的8个CBK里,我们将进入CISSP知识体系中更为具体的部分,它们也都更多的从技术层面来讲述如何使用各种安全方法和安全技术来实现信息安全目标——保密性、完整性和可用性。 访问控制(Access Control)是CISSP知识体系中的第三个CBK,它的内容包括如何使用多种系统提供的安全功能来控制对组织的信息和数据处理资源的访问,这些访问控制措施通过管理、物理和逻辑控制的手段,我们可以从第一
在实践中采购一个信息技术产品之前,我们一般都会先了解目标产品的安全程度。但如果由不同需求的人员来对产品进行评估,如果没有统一的标准,结果也是千差万别——这样就产生对统一标准的需求,因此世界上的许多国家和组织推出了自己的产品安全评估标准,其中使用最广泛的就是CISSP CBK中介绍到的TCSEC(橘皮书)、TNI(红皮书)、ITSEC和CC这几种。 在了解这些安全评估标准之前,我们先要了解一下基本
给大家介绍了CISSP CBK中要求掌握,同时也是目前世界上使用最广的几个安全模型的概念和原理。安全模型只是个概念,要把它应用到实践中,就需要使用到本文要介绍的保护机制,它是比安全模型更具体,更接近实际应用的概念,当前的许多操作系统、安全软件产品的基础,都是建立在它之上的(再次提醒,CISSP考试不涉及具体的产品和技术细节)。 保护机制实现的目标是将系统内的所有实体(数据、用户、程序等)进行隔离
本文中详细介绍这些安全模型: 我们都知道,信息安全的目的就是要保证信息资产的三个元素:保密性,完整性和可用性(CIA),CIA这个也就是这三个元素开始为人们所关注的时间的先后。现在系统设计中所使用的安全模型的出现的顺序也大概如此,先出现专门针对保密性的BLP模型,然后出现针对完整性的Biba模型、Clark-Wilson模型等,在访问控制中所使用的访问控制列表/矩阵(Access Control
介绍第二个CBK—— Security Architecture and Design,安全架构和设计。 如果把信息安全管理比作指引组织进行安全项目的路标,那么安全架构和设计便是组织通往信息安全这个目标所用的交通工具的基本结构,它包括用于设计、实施、监控和保护操作系统、设备、网络、应用以及用以实施各种级别保密性、完整性和可用性控制的概念、原则、结构和标准。 安全架构和设计CBK的内容大概可以分
本文将介绍的安全意识教育(Security Awareness)这一工具。 安全意识教育可以作为组织安全计划中的一部分来进行,CISSP在设计并开始安全意识教育计划之前,应该先确定安全意识教育项目的目的。目的可以简单定义为“所有的组织成员必须了解自己最基本的安全责任”或“组织成员必须了解组织所面临的信息安全威胁,并养成良好的使用习惯来防御这些风险并保护信息系统”,不过很多时候设定更详细的目标更有
本文将要介绍的Policy/Standard/Baseline/Guideline/Procedure等一系列安全文档的准备工作。 一个信息安全计划的最终目标,就是要保护目标组织信息资产的完整性、保密性和可用性,而各种针对信息资产的威胁,诸如非授权访问、篡改、毁坏和泄漏等,却常常会破坏组织的信息资产。这样的状况就要求组织把信息安全计划纳入整个组织的资产保护计划中去,此外,信息安全技术并不能完全彻
大家介绍的Information Classification(信息分级),便是这样一个帮助组织更有效的进行安全项目的重要工具。 什么是信息分级?信息分级是组织根据信息的业务风险(Business Risk)、数据本身价值和其他的标准,对信息进行等级的划分。组织可以通过信息分级,发现影响影响组织业务的最显著因素,并根据信息等级对信息实施不同的保护、备份恢复等方案。信息分级的目的在于降低组织保护自
本文将介绍Information Security Management CBK中的风险评估(Risk Analysis and Assessment)。 我们经常可以从媒体或者各种安全资讯上看到一个词——风险(Risk),但具体到它的含义,以及它在信息技术领域所代表的意思,却没有太多的人可以说的清楚。所谓“风险中存在机遇“,人们在选择机会的同时,也会遇到许多会造成损失的不确定因素,
CISSP复习的第一章Information Security Management 安全行业有句行话,“三分技术,七分管理”,意为安全技术应该从属于管理。不少安全厂商在推销自己的产品时,常常只顾鼓吹说自己的产品有多好,却没有向客户说明产品是否适用于目标企业的实际环境。CISSP需要明白,安全技术也好,安全产品也好,都是必须从属于安全管理,只能因管理而技术,从安全技术和产品的使用去推导安全管理应
怎么制定复习计划 知己知彼,方可百战不殆。考生应该先了解一下CISSP考试的10个CBK的组成和内容,根据自己的情况将掌握得较好、较差的CBK分别列到表里,并以此为根据安排各CBK复习的优先度。考生还需要根据自己空闲时间的多少,合理的进行分配,比如,如果有半年的准备时间的话,每天保证1到1个半小时复习即可,如果准备的时间较短,可以斟酌增加每天复习的时长。 进行复习 制定好复习计划之后,考生便
收到考试成绩单参加CISSP考试之后,考生大概要等2个星期才能收到(ISC)2用E-mail发来的考试成绩,通过的考生会收到一封祝贺信,并带有一个PDF附件(Endorsement表格),另外,信中还介绍了如何进行下一步手续的简单介绍。考生如果收到的是一封包含考试成绩和10个CBK评价的E-mail,则说明考生没有通过考试,而考生对10个CBK的掌握程度与评价的分值成反比。没有通过的考生也不要气馁
在本文中大家可以了解到CISSP考试需要做的准备和考试中应当注意的问题:考试前的食、住、行CISSP考试在国内的考点只有北京、上海和广州三地,常有不少外地考生参加CISSP,因此参加CISSP考试首先要考虑的是交通问题,对本地考生来说这个问题同样需要考虑。以J0ker参加的在上海举行的CISSP考试为例,考场在位于浦东张江高科的上海交大信息安全学院,从市内到考场需要坐地铁到终点站,下地铁后还需要换
一、参加CISSP认证考试的条件:根据(ISC)2目前的CISSP考试需求,考试的报名者需要具备信息安全领域涉及1个或以上CBK的4年工作经验,注意这个工作经验指的是信息安全领域的全职工作经验,兼职的不能算,(ISC2)认可的工作经验,指报名者在信息安全领域作为实践者、审计师、咨询、工程师等需要有直接的信息安全知识支持的工作经历。如果报名者有本科及以上学历或拥有(ISC)2认可的认证证书,工作经验
第一个问题,为什么要获得CISSP呢? 信息安全是一个相对的概念,在安全威胁很低的情况下,安全专家通常是被人们所遗忘的对象。但随着信息技术的发展,当年只有精通系统和网络底层,推动技术进步的高手才能被称为黑客,现在随便一个会用网络的再随便找些入侵工具也自称为黑客,技术门槛的降低和对技术的追求转化为对金钱的追逐——越来越多的入侵事件、恶意软件的传播、还有时不时出现在媒体上的高智商犯罪等就是这些所谓“后
正文 作为《J0ker的CISSP之路》系列的第一篇文章,J0ker打算先简要向读者介绍一下CISSP的背景知识,下面我们先来看CISSP认证的颁发机构(ISC)2:(ISC)2是信息安全领域的顶级认证机构之一,成立于1989年,到现在已经给超过120个国家的五万多名安全专家授予了相关认证。(ISC)2目前提供如下6种认证:SSCP(System Security Ce
speculation n. 思索interpret  
近日,微软与搜索引擎巨头Google的对抗已经炒得沸沸扬扬。从搜索业务到微软中国李开复加入Google引起的官司,一系列矛盾使两大IT巨头之间争端不断升级。而近日,从一消息源得到一则未经证实的消息,更让人吃惊:Google有可能将其业务领域伸向操作系统! Google系统引导过程 这是从一消息源获得的Google操作系统的截图。据消息源描述,该系统基于GNU
微软在6月14日的MCP LiveMeeting上正式公布了Windows Server 2008认证路线图。备受关注的微软新一代服务器操作系统认证终于揭开了神秘的面纱。 微软Windows Server 2008系统的认证将采用微软新一代认证体系结构,即MCTSàMCITP认证体系。 首先,我来简单介绍一下微软新的认证体系: Microsoft Certified Technology S
Copyright © 2005-2024 51CTO.COM 版权所有 京ICP证060544号