（网络安全）CISSP学习笔录_安全与风险管理_安全基本原则（网络安全管理流程）

（网络安全）CISSP学习笔录_安全与风险管理_安全基本原则（网络安全管理流程）

1、安全对象

主体是安全关系中的主动元素，如用户、程序、计算机客体是安全关系中的被动元素，如文件、计算机、网络连接、应用程序军方单位侧重顺序机密性>完整性>可用性私营单位侧重顺序可用性>完整性>机密性善于发现组织的优先级别，在企业发展过程中制定预算和支出计划，分配专业人员和工作时间，依次解决企业IT需求的优先级

2、机密性

在数据处理的每个环节都实施必要级别的安全保护，并防止未经授权的信息泄露（Disclosure）。攻击者一般通过持续监测(Monitoring)系统、实施肩窥、盗取口令文件、破解加密技术以及实施社交工程(Social Engineering Attacking,SEA)来威胁机密性机制。

采取方法：

静止状态数据加密（全盘加密技术和数据库加密技术）传输状态数据加密（Ipsec\TLS\PPTP\SSH）访问控制技术（物理性和技术性）

3、完整性

是指保证信息准确和可靠性，保护系统和网络免受外界干扰（Interference）和意外篡改的情况下将真实的数据传送至预期目的地。用户权限遵循最小原则

4、不可否认性

保护原则用于确保授权用户对数据和资源访问的可靠性和及时性。如相应设备、程序是否如预期的方式在可接受的范围运行且能够安全快速地从奔溃中恢复，能够提供冗余、维护可靠的备份、防止数据丢失或受损。保护机制应对来自内部或外部的威胁（Threat）

采取方法：

独立磁盘冗余阵列集群技术负载均衡技术冗余数据冗余电源供给软件和数据备份磁盘映像主机代管和异地备用设施回滚功能容灾切换配置

小结CIA三元组的第三个原则是可用性，这意味着授权主体被授予实时的、不间断的客体访问权限破坏可用性的攻击包括：设备故障、软件错误和环境问题（过热、静电、洪水、断电等），还有一些聚焦破坏可用性的攻击形式，包括Dos攻击，客体破坏和通信中断等涉及概念：可用性、可访问性、及时性

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。