CISSP安全概念与风险管理精要

"CISSP Summary.pdf 是一个关于CISSP（Certified Information Systems Security Professional）认证的概要文档，涵盖了信息安全领域的核心概念、原则、风险管理和安全专业人员的职责等关键点。" CISSP是信息安全领域的一个高级认证，强调理解和应用信息安全的最佳实践。文档中的"Concepts"部分提到了信息安全的三个基本属性，即CIA三元组： 1. **机密性（Confidentiality）**：防止未经授权的披露，确保信息只对授权的程序、用户和进程开放。这涉及到最小权限原则，通过加密和逻辑及物理访问控制来确保信息不被泄露。 2. **完整性（Integrity）**：防止未经授权的修改，保持数据的一致性，保护数据或资源免受未经授权的改动。这通常包括数据验证和版本控制，以及使用哈希函数和数字签名等技术。 3. **可用性（Availability）**：确保信息和服务可靠且及时地提供，具备容错能力和恢复策略，以便在需要时能正常访问。 文档还提到了IAAA（Identity, Authentication, Accountability, and Authorization），这是确保信息安全操作可追溯性的关键： - **身份识别（Identification）**：用户声明自己的身份，用于用户访问控制。 - **认证（Authentication）**：通过验证用户身份的证据，如密码、生物特征或令牌。 - **问责制（Accountability）**：确定行动与特定个人的关系，以实现责任追踪。 - **授权（Authorization）**：授予用户权利和权限，定义他们可以访问和操作的资源。 对于风险，文档指出不可能完全消除风险，目标是将其降低到可接受或可容忍的水平。ISO 27005提供了风险管理框架，并且可能需要根据预算来设定基线标准。同时，ISO在组织中的角色，如信息安全经理（ISO），负责确保书面安全政策的制定，以及事件响应团队（CIRT）的建立和运行。