【CISSP】安全评估与测试
661页开始,707页结束,一共46页,我差不多花了1天时间,课后26道题,错误率20%
- 审计是对信息系统安全控制的一个系统性评估
- 在计划一个安全审计时,最重要的步骤是制定一套明确的目标
- 内部审计受益于审计师对系统的熟悉程度,但难以把握他人如何攻击和防御系统
- 外部审计通常会带来更广泛的背景经验,并能提供新的洞察力,但也可能是昂贵的
- 一些服务性组织能提供外包服务,它们会直接影响公司客户的控制环境
- 由第三方所执行的SAS70审计可评估一个服务性组织的内部控制
- 服务性组织控制SOC是各个服务性组织的审计标准
- SOC1属于财务控制
- SOC2是一个非常详细的报告,它涉及信任服务(安全性、可用性、保密性、过程完整性和隐私),并且面向管理层和监管机构
- SOC3也涉及信任服务(安全性、可用性、保密性、过程完整性和隐私),但它是一份面向公众公布的、较为详细的报告
- 漏洞测试是对系统的检查,其目的是识别、定义漏洞并对各种漏洞定级
- 黑盒测试将待测系统视为完全不透明的
- 白盒测试使得审计师在第一次扫描之前就能完全了解系统的内部工作原理
- 灰盒测试给予审计师关于系统内部工作的一些信息
- 渗透测试是在所有者的请求下,模拟对网络及其系统的各种攻击的过程
- 盲测是各个评估者仅持有公开可用的数据用于工作的一种测试,而网络安全人员已经获悉该测试的发生
- 双盲测是一项在网络安全人员未被通知的情况下进行的盲测
- 战争拨号允许攻击者和管理员拨打大块的电话号码段,以搜索可用的调制解调器
- 日志审查检查系统的日志文件,以检测各种安全事件,或验证各种安全控制的有效性
- 综合事务是模拟真实用户行为的脚本事件,它允许安全专业人员系统的测试关键服务的性能
- 误用案例是包括威胁角色和他们想要在系统上执行的各种任务的一个用例
- 代码审查是对包含在软件中的各种指令进行的系统性检查,并且由该代码作者以外的人来执行
- 接口测试是对系统或用户之间数据的给定交换点集合进行的系统性评估
- 管理控制主要通过政策或程序来实施
- 特权用户账号对组织构成重大风险,所以应该谨慎的管理和控制
- 当用户永久或长期离开组织时,其账号应该被立即暂停
- 数据备份不应该被视为可靠的,除非它们已被验证为可用于恢复数据
- 业务连续性计划BCP确保组织的关键业务流程不间断,或在严重事件后能够快速恢复
- 灾难恢复计划DRP确保能够支持关键业务流程的信息系统持续运行,或在发生灾难时能够快速的恢复
- BCP和DRP都需要被定期评估,以确保在组织内部和周围的环境变化时它们仍然有效
- 安全培训是传授一种或一组技能的过程,它使人们能够更好的履行特定职能
- 安全意识培训向人们披露安全问题,以便他们能够识别并更好的回应问题的过程
- 在信息安全环境,社会工程是指操作个人以使他们执行各种违法安全协议行为的过程
- 网络钓鱼是通过数字通信进行的社会工程
- 自动下载是一种自动攻击,人们只需访问恶意网站即可触发
- 关键绩效指标KPI衡量组织在给定时间点执行给定任务的有效性
- 关键风险指标KRI衡量执行给定的一个或一组行动时的内在风险
- 必须针对特定的受众去撰写有效的报告
- 管理评审是一个正式的会议,其间,高级组织领导们确定信息安全管理系统是否能够有效的完成其目标
本篇完 ,谢谢大家~
【CISSP】安全评估与测试相关推荐
- 【CISSP备考笔记】第6章:安全评估与测试
第六章:安全评估与测试 6.1 审计策略 信息系统的安全审计是对特定范围的人/计算机/过程和信息的各种安全控制所实施的一个系统性评估. 安全审计流程:确定目标--适合的业务部分领导参与--确定范围-- ...
- 【CISSP备考】第六章-安全评估与测试
构建安全评估和测试方案 安全测试 安全测试时验证某项控制措施是否正常运行,包括自动化扫描,工具辅助的渗透测试,试图破坏安全的手动测试 在安排安全控制措施时信息安全管理者主要考虑以下因素 安全测试资源的 ...
- 第15章 安全评估与测试
15.1构建安全评估和测试方案 安全评估和测试方案(Program)是信息安全团队的基础维护活动. 该方案包括测试.评估和审计,定期验证组织是否已采取足够的安全控制,及这些安全控制是否正常运行并有效地 ...
- Cissp-【第6章 安全评估与测试】-2021-3-15(661页-706页)
1.信息系统安全需要定期评估 2.审计策略 3.信息系统的安全审计流程 4.脆弱性测试 5.漏洞和渗透测试的颜色 6.各种典型的弱点 7.渗透测试 8.渗透测试步骤,执行前切记获得授权书 9.事后检查 ...
- 承诺通过年薪百万的CISSP信息系统安全专家认证,未通过提供第二次认证费749美元
CISSP证书价值特别高,具有CISSP证书资格的人具有非常高的地位,在国内拥有CISSP证书资格的人更是珍贵.许多跨国企业在招聘说明书上写明,具备CISSP证书者优先:不少国内企业也纷纷提出相关要求 ...
- CISSP会学习什么
CISSP 英文全称:" Certified Information Systems Security Professional",中文全称:"(ISC)²注册信息系统安 ...
- CISSP考试的难点到底在哪里
提醒大家,CISSP光靠刷题是不能通过考试的,其难点在于对题目的理解,理解后经过分析,才可能选出最优选项. 谷安CISSP保障班学员:赵先生 感谢谷安老师及班主任的耐心教导.方老师对CISSP课程8个 ...
- 记一次完整的CISSP备考全过程!
2020年随着国家对信息系统安全的愈发重视,提高自身业务水平的要求也迫在眉睫.本人多年服务于一家预付费卡公司,属于非金融第三方支付行业,一直接受中国人民银行监管,每年还要应对中金国盛对系统的信息安全合 ...
- CISSP一次通过指南(文末附福利)
CISSP 英文全称:" Certified Information Systems Security Professional",中文全称:"(ISC)²注册信息系统安 ...
最新文章
- matlab简单程序实例_visual basic VB.NET实例系列教程第一节(简单实用抽奖程序)...
- iOS:Tools:快速注释Doxygen
- android调用flutter aar_Flutter原生混合开发
- 【libcudnn】ImportError: libcudnn.so.7: cannot open shared object file: No such file or directory
- ORACLE中的异常处理
- 反编译Android将状态栏高度,反编译SystemUI.apk 实现状态栏时间居中
- ai中位图转矢量图(扩展与扩展外观)
- 公众号开发:实现一键复制功能
- layabox 场景文件类型有哪些?
- 认识自己,曾经的选择,是否如愿?一位渗透测试工程师的自述感言!!!
- Unity 生命周期
- JavaWeb查漏补缺
- VScode透明主题
- java内存泄露 垃圾回收_Java中内存泄露及垃圾回收机制
- HashMap源码分析图解
- 关于社区团购和菜场买菜的一点感想
- 计算机时钟的工作原理,单片机的周期与系统时钟的工作原理
- pandas一列拆分成多行
- matlab中的A(:)
- Iterator patten 读书笔记