CISP
2019-07-12 10:00:51 2 举报
AI智能生成
CISP资格考试关键知识点
作者其他创作
大纲/内容
安全评估
安全评估基础
风险评估包含安全评估,反之不成立
评估标准
TCSEC(可信计算机系统评估标准)
美国国防部
1983年国家计算机安全中心发布
1985年国防部更新
橘皮书
4大级7小级
ITSEC(信息技术安全评估标准)
欧盟发布
功能
共10级
功能评估
共6级
FC(联邦评估准则)
1992年12月公布
TCSEC的升级
引入了保护轮廓(PP)
CC(信息技术安全评估通用标准)
目前最全面的评估标准
通用的表达方式,便于理解
半形式化语言,比较难以理解
重点关注人为的威胁
功能
九类63族
保证
七类29族
1999年以ISO/IEC 15408-1999列入国际标准
2008年我国等同采用ISO/IEC 15408-2005形成GB/T 18336
关键概念
TOE(评估对象)
PP(保护轮廓)
安全需求
ST(安全目标)
解决方案
安全评估实施
相关要素
资产
威胁
脆弱性
信息安全风险
安全措施
残余风险
途径
基线评估
详细评估
组合评估
方式
自评估
检查评估
以发起人来区分,而不是评估的具体实施人
自身评估为主,相互结合、互为补充
常用方法
基于知识分析
基于模型分析
定量分析
EF(暴露因子)
SLE(单一预期损失)
ALE(年度预期损失)
ARO(特定威胁发生的频率)
AV(资产价值)
定性分析
采用最广泛的方法
主观性很强
基本过程
风险评估准备
《风险评估计划书》
《风险评估方案》
《风险评估方法和工具列表》
风险要素识别
资产识别
《资产清单》
威胁识别
《威胁列表》
脆弱性识别
《脆弱性列表》
确认已有的控制措施
《已有安全措施列表》
风险分析
《风险计算报告》
风险结果判定
《风险程度等级列表》
《风险评估报告》
风险处理计划
残余风险评估
信息系统审计
信息安全技术控制审计
脆弱性测试
渗透测试
战争驾驶
日志
合成交易
滥用案例测试
代码审查
接口测试
信息安全管理控制审计
账户管理
备份验证
灾难恢复和业务连续性
安全培训和安全意识培训
关键绩效和风险指标
工作流程
计划
现场工作和文件
问题发现和验证
开发解决方案
报告起草和执行
问题跟踪
审计报告
SAS70
SOC
安全支撑技术
密码学
古典密码学
1949年之前
西方:源自古埃及
中国:传说源自姜子牙——阴阳符
数据安全基于算法保密
分类
替代密码
凯撒密码
频率攻击
置换密码
替代与置换组合
近代密码学
1949-1975年
数据安全基于密钥的保密
科克霍夫原则
密码学从此成为一门科学
现代密码学
1976年之后
解决了密钥分发和管理
密码学真正在商业中广泛应用
对称加密
DES,3DES,AES,IDEA
管理复杂
提出了非对称密钥密码
RSA,ECC,EIGamal
计算复杂,消耗资源大
密钥交换
数字信封
哈希函数
MD5、SHA-1
数据完整性检查
性质
单向性
弱抗抵抗型
强抗碰撞行
数字签名
PKI(公钥基础设施)
CA(认证权威)
签发
更新
管理
验证
RA(注册权威)
受理证书申请
提供证书生命周期维护
证书库
证书存放管理
CRL(证书撤销列表)
终端实体
量子密码
身份鉴别
标识
鉴别
类型
单项
双向
第三方
方式
基于实体所知
密码
实现简单、成本低
提供弱鉴别
基于实体所有
短信验证码
IC卡
难以复制、安全性高
威胁
复制
损坏
基于实体特征
指纹
笔迹
易于实现,安全度不高
错误拒绝率(FRR)
错误接受率(FAR)
交叉错误率(CER)
FRR=FAR的点
单点登录
一次认证访问所有网络资源
实质是安全凭证在多个应用系统之间的传递或共享
Kerberos协议
1985年麻省理工学院开发
体系
KDC(密钥分发中心)
系统核心
AS(认证服务器)
TGT(票据许可票据)
TGS(票据授权服务器)
SGT(服务许可票据)
应用服务器
客户端
三次通信
1.获得票据许可票据
2.获得服务许可票据
3.获得服务
AAA协议
认证、授权、计费
常见
RADIUS
TACACS+
Diameter
访问控制
组成
主体
访问控制实施
访问控制决策
客体
访问控制模型
自主访问控制模型(DAC)
访问矩阵
访问控制列表(ACL)
集中放置在客体中
权能列表(Capacity List)
分布式存放在各个主体中
客体属主决定客体的访问权限
灵活
安全性不高
强制访问控制模型(MAC)
BLP模型
多级安全模型
安全级
4个密级
范畴
安全策略
简单安全规则(向下读)
*-规则(向上写)
机密性高
缺乏完整性
Biba模型
强调完整性
与BLP相补充(策略相反)
安全策略
向上读
向下写
Clark-Wilson模型
商业数据对账,保证数据完整性
操作前后数据必须保持一致性
Chinese Wall模型
防止恶意竞争
同一类中仅可以与一个条目建立关系
基于角色的访问控制模型(RBAC)
权限与角色关联
用户成为角色获取权限
需要激活
RBAC96模型
美国开发
RBAC0
基本模型
四个要素
用户
角色
会话
权限
RBAC1
角色继承
RBAC2
职责分离
RBAC3
结合了1和2
PMI(特权管理基础设施)
授权服务管理
架构
SOA(信任源点)
AA(签发属性证书)
ARA(证书签发请求)
LDAP(属性证书发布查询)
与PKI结构相似
物理与网络安全
物理与环境安全
场地选择
避开自然灾害高发区
远离危险因素
治安
加油站
化工厂
抗震及承重
火灾
阻燃
耐火
抑制剂
水
周边使用
气体
二氧化碳
七氟丙烷
三氟甲烷
防水
水浸探测器
供电
双路供电——来自两个不同的变电站
柴油发电机
一定量的燃料储备
一定范围内的加油站获取
UPS
空气调节
23-26摄氏度
湿度60%
空调下送风
机房内正压
电磁防护
电磁屏蔽
信号干扰
Tempest技术
雷击及静电
法拉第笼
电涌保护器
静电——有电压无电流
设施安全措施
建立安全区域
边界防护
审计监控
OSI通信模型
模型(上三层为高层)
应用层
表示层
会话层
传输层
网络层
数据链路层
物理层
各层独立
安全结构
五类安全服务
鉴别服务
访问控制服务
数据完整性服务
数据保密性服务
抗抵赖服务
八种安全机制
加密
数据签名
访问控制
数据完整性
鉴别交换
业务流填充
路由控制
公正
8种机制实现了5类服务
TCP/IP通信协议安全
模型
应用层(对应OSI中上三层)
HTTP
FTP
SMTP
邮件服务器之间传送数据
TCP 25端口
ASCII传输
缺少严格身份认证
不能远程管理邮件
POP3
离线协议
TCP 110端口
IMAP4
在线协议
TCP 143端口
DNS
加密协议
E-mail
S/MIME
PGP
PEM
SET
SNMP
SFTP
S-HTTP
DNS安全扩展
传输层
TCP
面向连接到,可靠的
加密协议
SSL
TLS
UDP
面向事务的,不可靠的
互联网络层
IP
无连接,不可靠
IP欺骗
加密协议
IPsec(AH)
IPsec(ESP)
ICMP(英特网控制消息协议)
IGMP(英特网组管理协议)
网络接口层(对应OSI中底两层)
ARP
IP地址到MAC地址到转换
无状态,无需请求可以应答
ARP欺骗
RARP
硬件接口
加密协议
PPTP
L2TP
PPP
L2F
无线通信安全
无线局域网
WEP(有线等效协议)
无保护,任意接入
弱密钥
WAP(802.11i 草案)
WAP2(802.11i 正式)
WAPI
国产
双向三鉴别
蓝牙
RFID
典型网络攻击及防范
欺骗攻击
IP欺骗
ARP欺骗
DNS欺骗
拒绝访问攻击(DoS)
分布式拒绝服务攻击(DDoS)
类型
利用系统、协议漏洞
Teardrop(分片攻击)(IP协议中偏移量数据错误造成数据包无法正常组合)
超长URL链接(IIS5.0的漏洞)
消耗资源
UDP Flood(UDP)
Ping Flood(ICMP)
SYN Flood(TCP)
MAC Flood
ARP Flood
Smurf攻击(虚假源地址的ICMP请求群发)
混合型
网络安全防护技术
入侵检测系统
检测技术
误用检测技术
异常检测技术
局限性
对用户知识要求高
高虚警率
防火墙
无法实现对应用层信息过滤
安全隔离与信息交换系统(网闸)
虚拟专网
隧道技术
二层隧道
PPTP(微软)
L2F(思科)
L2TP(ISO)
IPsec
SSL
密码技术
计算环境安全
操作系统安全
目标
对用户身份鉴别
对操作访问控制
监督系统运行的安全性
保证系统自身完整性
机制
表示与鉴别
Windows
安全标识符SID
用户信息在注册表中,运行时锁定
密码散列值LM-Hash
Linux
用户标识号 UID
root用户UID=0
/etc/passwd
/etc/shadow
访问控制
Windows
访问令牌
访问控制列表(ACL)
NTFS文件系统支持
Linux
UGO管理机制
模式位
特权管理
最小特权管理
Linux限制root使用
Windows用户账户控制(UAC)
信道保护
安全审计
内存保护
段式保护
页式保护
段页式保护
文件系统保护
访问控制列表
加密
系统安全配置
最小化部署
远程访问控制
不允许连接公网地址
修改默认端口
设定允许连接的主机
采用密钥访问
不允许管理员登陆
信息收集
信息展示最小化原则
修改默认配置
安全加固
系统攻击
缓冲区溢出
最大数量的漏洞类型
程序编写不够严谨
需要精确控制内存条转地址
防范
补丁
防火墙
安全编写代码,使用安全函数
对输入进行验证
缓冲区不可执行技术
虚拟化技术
恶意代码防护
类型
二进制代码
脚本语言
宏语言
表现形式
病毒
蠕虫
后门
木马
流氓软件
逻辑炸弹
传播方式
文件传播
网络传播
软件部署
检测
特征码扫描
行为检测
分析
静态分析
动态分析
清除
感染引导区
修复/重建引导区
感染文件
附着型
逆向还原
替换型
备份还原
独立文件
内存退出
删除文件
嵌入型
更新软件/系统
重置系统
应用安全
web应用安全
服务器端
客户端
协议
明文传输
弱验证
无状态跟踪
web防火墙
网页防篡改
针对web应用的攻击
SQL注入攻击
闭合
联合查询(union)
注释
URL编码
跨站脚本攻击(XSS)
反射型(非永久)
存储型(永久型)
DOM型
电子邮件安全
数据安全
数据库不可以随意升级版本
运行监控
安全审计
软件安全开发
开发生命周期
软件生命周期模型
瀑布模型
最早出现的模型
没有对开发周期后期发现错误做出相应规定(只能返回前一工序)
迭代模型
瀑布模型的小型化应用
加快进度
增量模型
融合了瀑布和迭代
每个增量发布一个可操作产品的迭代
螺旋模型
第一个加入了风险分析的模型
快速原型模型
增量模型的另一种形式
净室模型
应用数学和统计学理论
力图达到/接近零缺陷
软件危机
第一次危机
程序日益庞大和复杂
软件工程
第二次危机
软件规模持续扩大,难以维护
面向对象的编程
第三次危机
软件安全问题
软件安全开发生命周期管理
软件安全生命周期模型
SDL(可信计算安全开发生命周期)微软
CLASP(轻量应用安全过程)来自OWASP
BSI模型
软件安全三根支柱
风险管理
接触点
安全知识
BSIMM(BSI成熟度模型)
CMMI(软件能力成熟度集成模型)
共五级
SAMM(软件保证成熟度模型)
开放框架
软件安全需求和设计
威胁建模
流程
确定对象
识别威胁
STRIDE六类威胁
评估威胁
消减威胁
需求分析
建立在风险分析的基础上
软件安全设计
软件安全实现
安全编码原则
验证输入
避免缓冲区溢出
外部数据比目标空间大
非常普遍且严重
程序/服务器崩溃
执行代码
C系列语言
解决方案
填充数据时计算边界
动态分配内存
控制输入
使用无缓冲区溢出问题的函数
使用替代库
基于探测方法的防御
在返回地址前加一个“探测”值
非执行的堆栈防御
不可在堆栈上执行代码
程序内部安全
接口安全
异常的安全处理
最小化反馈
避免竞争条件
安全使用临时文件
安全调用组件
尽可能不调用外部命令
正确处理返回值
禁用不安全函数
代码安全编译
编译环境安全
运行环境安全
代码安全审核
人工审核
工具审核
软件安全测试
软件测试
成功的测试就是发现了错误的测试
需要应用和软件两方面的专业知识
软件安全测试
功能性安全测试
对抗性安全测试
方法
模糊测试
黑盒测试
提供非预期输入,监视异常结果
非常有效
已知大部分漏洞都是通过这种技术发现的
渗透测试
通过模拟恶意攻击者进行攻击来评估系统安全
只能到达有限的测试点
静态源代码审核
软件安全交付
供应链安全
软件安全开发生命周期中新的威胁
覆盖到第三方代码库
软件安全验收
软件安全部署
软件加固
安全配置
信息安全保障
信安保障基础
信息安全概念
属性
CIA
保密性
完整性
可用性
其他属性
真实性
不可否认性
可问责性
可控性
视角
发展阶段
通信安全
计算机安全
信息系统安全
跨越计算机本身的实施能力
保障新领域
工控
云大移物智
安全保障框架模型
保障模型
PDR
防护 Protection
检测 Detection
响应 Response
PPDR
+策略 Policy
技术框架(IATF)
美国国家安全局
深度防御——层层设防
三要素
人
第一位
最脆弱
技术
操作
四焦点
保护网络和基础设施
保护区域边界
保护计算环境
支持性基础设施
评估框架
信息系统保护轮廓(ISPP)——安全需求
信息系统安全目标(ISST)——解决方案
企业安全架构
舍伍德商业应用安全架构(SABSA)
Zachman框架
开放群组架构框架(TOGAF)
网络安全监管
网安法律体系建设
计算机犯罪
特点
多样化
复杂化
国际化
趋势
无意识->有组织
个体侵害->国家威胁
低龄化
立法是网络空间治理的基础工作
我国采用多级立法机制
《网络安全法》
2017年6月1日生效
共七章79条
确立网络主权原则——第五空间
国家网信办统筹协调
安全保护义务要求留存网络日志不少于六个月
定义 关键信息基础设施 内涵
公共通讯和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的关键信息基础设施,其他一旦遭到破坏,丧失功能或者数据泄漏,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。
范围由国务院制定
安全技术措施同步规划、同步建设、同步使用
运营产生数据必须境内存储
明确我国实行网络安全等级保护制度
《网络产品和服务安全审查办法(试行)》
2017年5月2日发布
中央网信办
2017年6月1日实施
《互联网新闻信息服务管理规定》(国信办1号令)
2017年5月2日发布
国家互联网信息办公室
2017年6月1日实施
《互联网信息内容管理行政执法程序规定》(国信办2号令)
2017年5月2日发布
国家互联网信息办公室
2017年6月1日实施
《国家安全法》
《保密法》
《电子签名法》
《反恐怖主义法》
《密码法》
行政法相关法规
民法相关法规
刑法相关法规
网安国家政策
七种机遇
信息传播的新渠道
生产生活的新空间
经济发展的新引擎
文化繁荣的新载体
社会治理的新平台
交流合作的新纽带
国家主权的新疆域
六大挑战
网络渗透危害政治安全
网络攻击威胁经济安全
网友有害信息侵蚀文化安全
网络恐怖和违法犯罪破坏社会安全
网络空间的国际竞争方兴未艾
网络空间机遇和挑战并存
四项原则
尊重维护网络空间主权
和平利用网络空间
依法治理网络空间
统筹网络安全与发展
九大任务
坚定捍卫网络空间主权
坚决维护国家安全
保护关键信息基础设施
加强网络文化建设
打击网络恐怖和违法犯罪
完善网络治理体系
夯实网络安全基础
提升网络空间防护能力
强化网络空间国际合作
发展战略目标
和平、安全、开放、合作、有序
网安等保政策
《中华人民共和国计算机信息系统安全保护条例》
计算机系统实行安全等级保护
我国对所有非涉密信息系统采用等级保护标准
涉及国家秘密的信息系统以不低于等级保护三级的标准进行设计和建设
GB 17859
细化等保要求
划分五个级别
《关于信息安全等级保护工作的实施意见的通知》
网安道德准则
道德约束是建立在完善的法律基础上
惩戒性条款是有效手段之一
培训和教育是不可或缺的途径
CISP职业道德准则
维护国家、社会和公众的信息安全
诚实守信、遵纪守法
努力工作,尽职尽责
发展自身,维护荣誉
信安标准
中国国家标准化管理委员会
我国最高级别的国家标准机构
全国信息安全标准化技术委员会(TC260)
1984年成立数据加密技术分委会
改名信息技术安全分技术委员会
2002年4月国家标准委决定成立信安标委
由国家标准委直接领导
组织结构
委员会
秘书处
7+1个工作组
国标分类
GB 强制性国家标准,一经颁布必须贯彻执行
GB/T 推荐性国家标准,自愿采用
GB/Z 国家标准指导性技术文件,实施后三年内必须复审
信安标准体系
基础类
安全术语
管理基础
物理安全
安全模型
安全体系架构
技术与机制
密码技术
鉴别机制
授权机制
电子签名
公钥基础设施
通信安全技术
涉密系统通用技术要求
管理与服务
涉密服务
安全控制与服务
网络安全管理
行业/领域安全管理
测评
密码产品
通用产品
安全保密产品
通用系统
涉密信息系统
通信安全
政府安全检查
安全能力评估
等级保护
等保体系
安全等级类
GB/T22240-2008《信息安全技术 信息系统安全保护等级保护定级指南》
各类行业定级准则
方法指导类
GB/T25058-2010《信息安全技术 信息系统安全等级保护实施指南》
GB/T25070-2010《信息系统等级保护安全设计技术要求》
状况分析类
GB/T28448-2012《信息安全技术 信息系统安全等级保护测评要求》
GB/T28449-2012《信息安全技术 信息系统安全等级保护测评过程指南》
基线要求类
GB/T22239-2008《信息安全技术 信息系统安全等级保护基本要求》
技术类
GB/T20271-2006《信息系统通用安全技术要求》
GB/T21052-2007《信息系统物理安全技术要求》
管理类
《信息系统安全管理要求》
《信息系统安全工程管理要求》
产品类
《操作系统安全技术要求》
《数据库管理系统安全技术要求》
《网络与终端设备隔离部件技术要求》
工作流程
系统定级
信息系统运营单位
依据《等保定级指南》
共分五级
系统备案
安全保护等级确定后30日内
所在地区市级以上公安机关办理
建立立项申请后30日内办理
差距分析
建设整改
依据《等保安全设计技术要求》
依据《等保差距分析报告》
设计《等保安全建设整改方案》
验收测评
定期复查
三级系统每年至少一次
四级系统每半年至少一次
信息安全管理
基础
信安管理是组织管理体系的重要环节
基于风险评估
对象:包括人员在内的各类信息相关资产
价值
对内:加强整体防护水平
对外:向相关方提供信心
信安风险管理
风险
事态的概率及其结果的组合
客观存在的
基于风险的思想,是所有信息系统安全保障工作的核心思想
模型
内部控制整合框架(COSO)
三个目标
可靠性
经验效率和效果
合规性
五个管理要素
内制环境
风险评估
控制活动
信息与沟通
监控
ISO31000(等效GB20984)
最佳实践结构和指导
COBIT
区分IT的管理和治理
基本过程
GB/Z 24364《信息安全风险管理指南》
两个贯穿
监控审查
及时发现已出现或即将出现的问题
保证风险管理主循环的有效性
沟通咨询
口头,书面
正式,非正式
四个阶段
背景建立
确立对象和范围
系统调查、分析
安全分析
风险评估
方案
方法
识别威胁、脆弱性和现有控制措施
分析风险发生的可能性和影响程度
判定风险等级
风险处理
现存风险判断
选择处理方法
实施
批准监督
是否认可
环境是否变化
是否有可能引入新风险
信安管理体系建设
成功因素
PDCA过程方法(戴明环)
ISO27001定义的过程方法
所有ISO标准都以其格式编写
建设过程
P:规划与建立
风险评估为基础
符合组织安全目标
获得资源
D:实施与运行
实施风险评估
C:监视与评审
根据组织政策和目标
A:维护与改进
信安管理体系最佳实践
信安管理体系控制类型
预防型
检测型
纠正型
信安管理体系控制措施结构
ISO27002规定的14个类别
信息安全方针
信息安全组织
人力资源安全
资产管理
访问控制
加密技术
物理与环境安全
操作安全
通信安全
信息系统获取、开发及维护
供应商关系
信息安全事件管理
业务连续性管理
符合性
信安管理体系度量
ISO27004测量模型
业务连续性
业务连续性管理(BCM)
生命周期
需求、组织和管理程序确定
业务分析
制定业务策略
开发并执行业务持续计划(BCP)
一套管理要求和规章流程
建立在风险评估之上
RTO(恢复时间目标)
从系统中断到系统恢复到时间
决定冗余机制
RPO(恢复点目标)
从最新一次备份到系统中断到时间
决定备份机制
意识培养和建立
计划演练
信息安全应急响应
是我国信息安全保障工作的重点之一
信息安全事件分类
GB/Z 20986-2007
共七类
有害程序事件
网络攻击事件
信息破坏事件
信息内容安全事件
设备设施故障
灾难性事件
其他信息安全事件
信息安全事件分级
GB/Z 20986-2007
参考要素
信息系统的重要程度
系统损失
社会影响
共四级
特别重大事件
重大事件
较大事件
一般事件
应急响应组织
国际
计算机应急响应协调中心(CERT/CC)
国内
国家计算机网络应急技术处理协调中心(CNCERT/CC)
架构
领导组
技术保障组
专家组
实施组
日常运行组
应急响应预案
建立在综合防灾规划之上
详细程度和灵活成度之间取得平衡
渐进明细
没有标准格式
可参考《国家网络安全事件应急预案》
演练
方式
桌面演练
模拟演练
实战演练
深度
数据级演练(最底层)
应用级演练
业务级演练
流程
事件通报
评估,确认优先级
启动实施
后期运维
更新现有应急预案
六个阶段
准备
检测
信息收集
确定类别和等级
制定处理人
评估影响
事件通告
遏制
尽快限制事件影响范围和损失
恢复到最小可用状态
根除
确定原因
消除原因
恢复
恢复到正常状态
跟踪总结
应急响应报告编写和提交
进入司法程序的事件,进一步调查
计算机取证
原则
合法(最关键)
充分授权原则
优先保护证据
全程监督
流程
准备
保护
所有操作要有第三方在场监督
提取
优先提取易于小时的证据
分析
提交
灾难备份与恢复
灾备指标
RPO
RTO
灾备标准
灾备技术
存储技术
DAS(直接附加存储)
SAN(网络附加存储)
专用网络
效率高
成本高
实施复杂
NAS(网络附加存储)
直接通过网络接口
有独立IP
有操作系统
性能差
备份技术
方式
完全备份
差量备份
每次备份与上次完全备份时的变化
增量备份
每次备份与上次备份时的变化
介质
磁带
硬盘
冗余磁盘阵列(RAID)
RAID-0
条带写法
RAID-1
镜像写法
RAID-5
奇偶校验
n+1
n个盘条带写法
1个做校验
一块数据盘损坏时可以恢复
可基于软件,也可基于硬件
场所
冷站
温站
热站
移动站
镜像站
灾备能力
0级
1级
2级
3级
4级
5级
6级
灾难恢复等级
1级
2级
3级
4级
5级
6级
灾难恢复规划
需求分析
策略制定
策略实现
预案制定和管理
安全工程与运营
系统安全工程
为什么需要
是信息安全保障要素之一
解决信息系统生命周期的“过程安全”问题
一种方法论
霍尔三维结构图
时间维
逻辑维
知识维
项目管理
项目监理
三管
时间
成本
质量
质量管理
ISO9000系列
机构
程序
过程
对生产的全部过程加以控制
总结
两控
信息
合同
一协调
组织协调
为了实现信息安全的目标采取的一系列活动的集合
系统安全工程能力成熟度模型(SSE-CMM)
一种衡量系统安全工程(SSE)实施能力的方法
作用
获取组织——对系统、产品的采购方
工程组织——对系统开发和集成商
认证评估组织——对评测机构
体系结构
域维——能力的范围
基本实施(BP)
过程区域(PA)
共22个
工程 11个
工程过程 5个
风险过程 4个
保证过程 2个
项目
组织
过程类
能力维——能力的级别
通用实践(GP)
公共特征(CF)
能力级别
0-5共6个级别
未实施
非正规执行——初识级
执行基本实施
计划与跟踪——可重复级
计划执行
规范化执行
跟踪执行
验证执行
充分定义——已定义级
定义标准过程
协调安全实施
执行已定义的过程
量化控制——已管理级
建立可测量的质量目标
客观地管理过程的执行
连续改进——优化级
改进组织能力
改进过程的有效性
安全运营
面向组织机构业务,与IT运营相辅相成
漏洞管理
漏洞检测
漏洞评估
补丁管理
评估补丁
测试补丁
批准补丁
部署补丁
验证补丁
变更管理
配置管理
事件管理
内容安全
内容盗版
版权是天赋人权
数字版权管理(DRM)
数字对象标识符(DOI)
数字版权唯一标识符(DCI)
内容泄漏
非法内容
社会工程学
利用人性弱点进行欺骗获取利益的攻击方法
信任权威
信任共同爱好
获得好处后报答
期望守信
期望社会认可
短缺资源的渴望
永远有效的攻击方法
人是最不可控的因素
人永远是系统弱点
培训教育
0 条评论
下一页