随笔分类 - 08.信息安全 / 书籍笔记 / 《EFFECTIVE CYBERSECURITY》笔记
《EFFECTIVE CYBERSECURITY》,著作:威廉·斯托林斯
摘要:## 一、安全审计 通常情况来说,企业中的审计是对企业记录进行的独立审查,以确定是否符合标准或政策。具体而言,**安全审计**涉及安全政策以及用于实施该政策的机制和过程。**安全审计跟踪**是安全审计的重要组成部分。 ``` 1)安全审计(Security audit):独立地对系统的记录和活动进行
阅读全文
摘要:所有组织的基本关注点是业务连续性。组织需要在中断正常运营的紧急情况下执行基本功能,并在紧急情况结束后及时恢复正常运营。 ISO发布了一系列业务连续性管理标准,企业安全管理人员应该熟悉这些标准: - [ISO 22300:2021 - 安全和弹性(Security and resilience) —
阅读全文
摘要:## 一、本地环境安全 ``` 本地环境:在网络安全环境中,本地环境是一个物理上独特的、独立的区域,可能是一个办公空间、建筑物或建筑群。本地环境可能具有特有的物理安全、人员安全和信息安全的需求,这些需求不同于企业的部分需求。 ``` 制定本地环境的政策时,需要考虑以下因素: - 大多数组织都有许多不
阅读全文
摘要:## 一、漏洞管理 技术漏洞康(简称为漏洞管理)是一种安全事件,专门用于主动缓解或防止系统或组织中存在的**技术漏洞**(technical vulnerability)的利用问题。该过程涉及系统中各种你该漏洞的识别、分类、修复和缓解。技术漏洞管理是网络安全的一个重要组成部分,与风险管理以及其他安全
阅读全文
摘要:**技术安全**通常用于将基于软件和硬件的安全控制与管理和操作安全控制进行对比。技术安全管理是指全面制定管理计划和策略,对技术安全控制的设计、实施和评估进行有效地管理。 技术安全控制:使用VPN和防火墙等。 非技术安全控制:对员工进行培训、安全审计等。 ## 一、安全架构 安全架构是一种统一的安全设
阅读全文
摘要:## 一、供应链管理的概念 ### 1.1 供应链 NIST SP 800-161将ICT供应链的定义如下: **ICT供应链**连接了收购方、集成商和供应商之间的一系列资源和流程,这些资源和流程从ICT产品和服务的设计开始,并通过ICT产品和服务的开发、资源采购、制造、处理和交付延伸到收购方。 !
阅读全文
摘要:## 一、网络管理的概念 网络的有效管理需要通过网络管理系统来实现,该系统需包含一套继承在网络硬件和软件的全面的数据采集和控制工具。 ### 1.1 网络管理功能 如下是国际标准化组织在ISO 7498-4《开放系统互连-基本参考模型第4部分:管理框架》中建议的网络管理的主要功能。 进行执行。系统管理可以划分为:**系统配置**和**系统维护**。 **:认证指验证用户、进程或设备的身份,通常作为允许访问信息系统中的资源的先决条件。此功能通常被称为用户认证,以区别消
阅读全文
摘要:## 一、应用程序管理的概念 应用程序管理(Application Management,AM)提供应用程序的各种服务、流程和方法,用于维护、增强和管理定制的应用程序,打包的软件应用程序和网络交付的应用程序。AM是一种企业范围的IT治理方法,旨在为组织提供最佳的应用程序性能基准程序,并同时整合业务和
阅读全文
摘要:## 一、系统开发生命周期 系统开发生命周期(System Development Life Cycle,SDLC)指开发、实现和淘汰信息系统的整个过程 ### 2.1 NIST SDLC模型 该模型在[SP 800-64 Rev. 2, 系统开发生命周期中的安全注意事项](https://csrc
阅读全文
摘要:## 一、硬件生命周期管理 **硬件**生命周期管理(也称子硬件资产管理(Hardware Asset Management, HAM)):负责管理用于支持企业信息系统的硬件设备的整个生命周期,包括产品的选择、测试、部署和评估。 ``` 硬件是用于支持公司信息或系统(如服务器、网络设备等)的任何物理
阅读全文
摘要:## 一、信息分类和处理 开发保护信息的安全控制和政策的必要基本步骤是,**必须根据信息资产的重要性和信息信息安全受到破坏时对组织的影响,对组织的所有信息资产进行分类**。此外,**组织需要有明确的程序,以确保在信息的整个生命周期内保持该类型的信息与其分类之间的联系,并且这个程序应指明如何处理信息*
阅读全文
摘要:## 一、安全管理功能 从广义上讲,安全管理功能需要在高级负责人的指导下建立、实施和监控信息安全程序(Information Security Program)。安全管理涉及多个层次,不同级别的管理利用各类专家的专业知识、权威和资源为整体安全计划做出贡献。 **首席信息安全官**(CISO):全面负
阅读全文
摘要:风险评估的最终目标是使组织管理人员能够确定适当的安全预算,并在该预算范围内实施安全控制以优化保护级别。这一目标,可以通过定量风险分析或定性风险分析以及其他风险分析方法进行。 在风险评估过程中如果规模过大、过分强调量化评估,项目回变得庞大、复杂且难以进行审查,并且还可能会遗漏一些不易量化的事物;相反,
阅读全文
摘要:**信息安全治理(Information Security Governance)** 是这样一个过程:**为了管理风险、建立和维护一个框架,支持管理架构和流程,以确保信息安全战略与业务目标保持一致并支持业务目标,通过遵守政策和内部控制与适用的法律法规保持一致,并对职责进行分配**。 ## 一、安全
阅读全文
摘要:## 一、基础概念 1、美国国家研究委员会在《网络安全与公共政策的联系》给**网络空间**做出了如下的定义: **网络空间**:网络空间的组成部分包括:以计算机和通信技术为基础或依赖于计算机和通信技术的人造设备,这些人造设备使用、存储、处理或加工的信息,以及这些设备之间的连接设施。 国际电信联盟电信
阅读全文
