摘要: 在51CTO安全频道特别策划的CISSP的成长之路系列的上一篇文章《用户持有凭证》里,J0ker给大家介绍了用户验证所使用的第二种验证因素——用户持有的凭证。用户持有凭证能够在最基本的用户密码验证的基础上再增加一层安全保护,但用户持有凭证会增加用户的安全方案采购成本,而且凭证本身也面临被盗、丢失、复制或滥用的风险。因此,在许多要求更高安全级别的场合,往往需要使用更为安全的访问控制手段,这就是J0k... 阅读全文
posted @ 2009-03-22 23:19 貔貅 阅读(472) 评论(0) 推荐(0) 编辑
摘要: 在51CTO安全频道特别策划的CISSP的成长之路系列的上一篇文章《讲解身份验证过程》里,J0ker给大家介绍了用户验证时所依赖的三种验证要素、密码和密码短语及其安全使用原则。作为技术实施难度和成本最低的用户验证方案,基于密码的用户验证方案广泛应用于我们的日常生活和工作中。但由于密码本身的脆弱性,很容易被攻击者所破解或窃取,因此,在高安全级别的系统中,往往会在使用密码验证的基础上,再增加其他的验证... 阅读全文
posted @ 2009-03-22 23:18 貔貅 阅读(380) 评论(0) 推荐(0) 编辑
摘要: 在51CTO安全频道特别策划的CISSP的成长之路系列的上一篇文章《详述安全威胁控制手段》里,J0ker给大家简单介绍了Access Control CBK中的身份识别知识。在访问实体(用户、进程等)为了访问信息资源提供了自己独特的身份识别信息后,信息系统需要通过一定的技术手段来确认访问实体是否和其所提供的身份识别信息所符合,这个过程,便是J0ker将要介绍的身份验证(Authentication... 阅读全文
posted @ 2009-03-22 23:18 貔貅 阅读(353) 评论(0) 推荐(0) 编辑
摘要: 在51CTO安全频道特别策划的CISSP的成长之路系列的上一篇文章《复习访问控制(2)》里,J0ker给大家介绍了访问控制CBK里面一些常见的破坏信息资产保密性的威胁类型,那么什么类型的威胁会破坏信息资产的完整性和可用性?这便是本文将要介绍的两种具体威胁类型——拒绝服务(Denied of Services)和恶意代码(Malicious Code)。 在51CTO安全频道特别策划的C... 阅读全文
posted @ 2009-03-22 23:16 貔貅 阅读(553) 评论(0) 推荐(0) 编辑
摘要: 51CTO安全频道特别策划的CISSP的成长之路系列的上一篇文章《复习访问控制》里,J0ker给大家介绍了访问控制的基本概念和三种访问控制类型(物理、逻辑和管理)的基本原则。我们知道,信息安全和每个安全相关的技术,目标都是为了保护信息资产的保密性、完整性和可用性(CIA)中的一个或全部不受损害,访问控制也是如此。因此,J0ker打算给大家介绍一下访问控制CBK所对应的C-I-A保护范围和涉及访问控... 阅读全文
posted @ 2009-03-22 23:15 貔貅 阅读(328) 评论(0) 推荐(0) 编辑
摘要: 访问控制(Access Control)是CISSP知识体系中的第三个CBK,它的内容包括如何使用多种系统提供的安全功能来控制对组织的信息和数据处理资源的访问,这些访问控制措施通过管理、物理和逻辑控制的手段 在51CTO安全频道特别策划的CISSP的成长之路系列的上一篇文章《系统架构和设计之安全标准》里,J0ker给大家介绍了CISSP知识体系中的第二个CBK系统——安全架构和设计... 阅读全文
posted @ 2009-03-22 23:13 貔貅 阅读(354) 评论(0) 推荐(0) 编辑
摘要: J0ker给大家介绍了CISSP CBK中提到的,同时也是现实产品中最常使用的几个保护机制。在实践中采购一个信息技术产品之前,我们一般都会先了解目标产品的安全程度。但假如由不同需求的人员来对产品进行评估,假如没有统一的标准,结果也是千差万别——这样就产生对统一标准的需求,因此世界上的许多国家和组织推出了自己的产品安全评估标准,其中使用最广泛的就是CISSP CB... 阅读全文
posted @ 2009-03-22 23:11 貔貅 阅读(1135) 评论(0) 推荐(0) 编辑
摘要: 安全模型只是个概念,要把它应用到实践中,就需要使用到本文要介绍的保护机制,它是比安全模型更具体,更接近实际应用的概念,当前的许多操作系统、安全软件产品的基础,都是建立在它之上的(再次提醒,CISSP考试不涉及具体的产品和技术细节)。 保护机制实现的目标是将系统内的所有实体(数据、用户、程序等)进行隔离,并通过一定的规则答应实体间进行访问。因此从所执行的动作,保护机制可以分成主动(Active)和被... 阅读全文
posted @ 2009-03-22 23:08 貔貅 阅读(774) 评论(0) 推荐(0) 编辑
摘要: 我们都知道,信息安全的目的就是要保证信息资产的三个元素:保密性,完整性和可用性(CIA),CIA这个也就是这三个元素开始为人们所关注的时间的先后。现在系统设计中所使用的安全模型的出现的顺序也大概如此,先出现专门针对保密性的BLP模型,然后出现针对完整性的Biba模型、Clark-Wilson模型等,在访问控制中所使用的访问控制列表/矩阵(Access Control List(ACL)/Acces... 阅读全文
posted @ 2009-03-22 23:08 貔貅 阅读(884) 评论(0) 推荐(0) 编辑
摘要: 上几篇文章里,J0ker给大家介绍了CISSP学习内容的第一个CBK—— Information Security Management的内容,接下去J0ker将给大家介绍第二个CBK—— Security Architecture and Design,安全架构和设计。 假如把信息安全治理比作指引组织进行安全项目的路标,那么安全架构和设计便是组织通往信息安全这个目标所用的交通工具的基本结构,它包... 阅读全文
posted @ 2009-03-22 23:06 貔貅 阅读(553) 评论(0) 推荐(0) 编辑
摘要: 上一篇文章《复习信息安全治理(4)》里,J0ker给大家介绍了信息安全治理CBK中各种安全文档的定义和区别。我们都知道,各种安全规章制度制定之后,最终也需要组织的每一个成员都理解并自觉遵守才能发挥其应有的作用,要达到这个目的,就要用到本文将介绍的安全意识教育(Security Awareness)这一工具。 安全意识教育可以作为组织安全计划中的一部分来进行,CISSP在设计并开始安全意识教育计划之... 阅读全文
posted @ 2009-03-22 23:06 貔貅 阅读(273) 评论(0) 推荐(0) 编辑
摘要: 上一篇文章《复习信息安全治理(3)》里,J0ker给大家介绍了Information Classification的相关内容,作为使组织的安全计划得以更有效进行的工具,Information Classification在安全计划制定前期有不可替代的重要作用。完成风险分析和信息分级之后,安全计划的下一步需要做什么?这便是本文将要介绍的Policy/Standard/Baseline/Guideli... 阅读全文
posted @ 2009-03-22 23:05 貔貅 阅读(327) 评论(0) 推荐(0) 编辑
摘要: 上一篇文章《复习信息安全治理(2)》里,J0ker给大家简单介绍了风险分析和评估的一些要点。我们都知道,假如同时做多个事情,就需要按照事情的轻重缓急来安排好执行的顺序和投入,实施信息安全项目时也必须如此,需要根据所要保护的信息资产的价值,来部署不同的安全方案,进行费效比评估,本文J0ker将向大家介绍的Information Classification(信息分级),便是这样一个帮助组织更有效的进... 阅读全文
posted @ 2009-03-22 23:04 貔貅 阅读(298) 评论(0) 推荐(0) 编辑
摘要: 上一篇文章《复习信息安全治理(1)》里,J0ker给大家介绍了信息安全治理要实现的A-I-C目标和原则。在接下去的文章,J0ker将带大家逐步深入信息安全治理的领域,并结合实际例子给大家解释该CISSP CBK中提到的诸多要害名词。本文将介绍Information Security Management CBK中的风险评估(Risk Analysis and Assessment)。 我们经常可以... 阅读全文
posted @ 2009-03-22 23:03 貔貅 阅读(397) 评论(0) 推荐(0) 编辑
摘要: 上一篇文章《复习流程和资源》里,J0ker给大家介绍了一般的复习流程和对复习比较有帮助的资源。从本文开始,J0ker将带大家进入CISSP考试的正式复习过程:2007年(ISC)2修改过CISSP考试的各CBK名称和内容,虽然新内容绝大部分和原来的CISSPCBK相同,但还是增加了一些新内容。J0ker手上只有比较老的CISSP Official Guide和CISSPAllin One3rd(J... 阅读全文
posted @ 2009-03-22 23:03 貔貅 阅读(446) 评论(0) 推荐(0) 编辑