CISSP 第1章：实现安全管理的原则和策略_过渡的掩护可用性为什么完备性受限 ...

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！
王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，题目不大。
对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！
【完备版领取方式在文末！！】
93道网络安全面试题

内容着实太多，不逐一截图了
黑客学习资源推荐

末了给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！
对于从来没有打仗过网络安全的同学，我们帮你准备了具体的学习成长门路图。可以说是最科学最系统的学习门路，大家跟着这个大的方向学习准没题目。
1️⃣零基础入门

① 学习门路

对于从来没有打仗过网络安全的同学，我们帮你准备了具体的学习成长门路图。可以说是最科学最系统的学习门路，大家跟着这个大的方向学习准没题目。

② 门路对应学习视频

同时每个成长门路对应的板块都有配套的视频提供：

网上学习资料一大堆，但如果学到的知识不成体系，遇到题目时只是浅尝辄止，不再深入研究，那么很难做到真正的技能提升。
需要这份系统化资料的朋友，可以点击这里获取
一个人可以走的很快，但一群人才能走的更远！岂论你是正从事IT行业的老鸟或是对IT行业感爱好的新人，都接待到场我们的的圈子（技能交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

• NIST风险管理框架 RMF：联邦机构的强制要求，包含 6 个阶段：分类、选择、实行、评估、授权和监控
  

Due Care

应尽关心：在精确的时间采取精确的举措。应尽关注原则形貌了一个人应该在一种情况下用正常人所期望的雷同级别的关注来相应。
如果一个公司没有做到充实的安全策略、适当的安全意识培训，则没有达到 DC。
Due Diligence

应尽检察：职责是什么，应该做什么，制定计划。在一样平常管理中尽到责任。应尽职责原则是应尽关注的一个更具体的组成部分，它形貌被指派责任的个人应该以应尽关注的方式精确和及时的完成责任。
在做信息安全时，应该尽可能收集信息以进行最佳决议，查看并相识风险。
审慎人规则

审慎人规则要求高级管理职员为信息安全事务承担个人责任，为了确保普通，审慎的个人在雷同情况下会表现出应尽关注。该规则最初适用于财务事项，但联邦量刑指南于1991年将其应用于美国的信息安全事项。
安全策略、标准、步伐、指南

策略

规范化的最高层级文件被称为安全策略。

• 方法、规定
  
• 界说要掩护的对象和目标
  
• 安全框架
  
• 分配职责、界说角色、明白审计需求、概述实行过程等
  

AUP 可接受的使用策略

属于安全文档的一部分，界说了可接受的绩效级别和期望的行为、举措。不执行 AUP 可能会被告诫甚至开除。
标准

• 强制性要求
  
• 同等性，比如实行标准，采购标准
  

基线

• 每个系统需要满足的最低安全级别
  
• 一般参考行业标准
  

指南

• 怎样实现上面的标准和基线的建议，非强制的
  

安全流程（安全步伐） SOP

Standard Operating Procedure，具体的分步实行文档。
可以是整个系统的部署利用，也可以是单个产物的。
威胁建模 - 关注威胁

威胁建模是识别、分类和分析潜伏威胁的过程。贯穿系统的整个生命周期。

• 自动式：在产物研发阶段进行威胁建模
  
• 被动式：在部署后执行
  
• 自动式和被动式都需要，因为并不是所有的威胁都能在开辟阶段识别。
  

1. 识别威胁

关注资产、关注攻击者关注软件。
威胁建模的终极目标：对危害组织有代价资产的潜伏威胁进行优先级排序。
STRIDE 威胁分类

微软开辟的。

• 欺骗 Spoofing
  
• 篡改 Tampering
  
• 否认 Repudiation
  
• 信息走漏 Information Disclosure
  
• 拒绝服务 DoS
  
• 提权 Elevation of Privilege
  

PASTA 威胁建模

以风险为焦点。
Trike 威胁识别模型

VAST 敏捷开辟威胁建模

2. 确定潜伏的攻击

绘制数据流图。确定每个环节涉及的技能，可能受到的攻击类型，比如逻辑、物理、社会工程学攻击等。

3. 简化分析

**分解数据流图中的应用和环境。**更好地相识产物逻辑、内部单元、交互等等。
分解过程需要关注 5 个要素：

• 信任界限：信任级别、安全级别发生变革的地方
  
• 数据流路径：两个位置间的流动
  
• 输入点：吸收外部输入的地方
  
• 特权利用
  
• 安全声明和 Method （方法）
  

4. 优先级排序和相应

对威胁进行评级和排序，使用 DREAD 评级方案。
DREAD 总分 100 分，包含发生可能性*潜伏丧失 。此中每个值都是 1~10，10 表现最高。
DREAD 关注下列 5 个题目：

• 潜伏粉碎（丧失）
  
• 受影响用户（丧失）
  
• 复现率（概率）
  
• 漏洞可利用性（概率）
  
• 漏洞发现难易度，可发现性（概率）
  

风险矩阵/风险热图

供应链风险管理

SCRM Supply Chain Risk Management
目标：确保所有供应商和环节都是可靠的。
重点：对供应商进行评估、连续监控和管理
SLR 与 SLA：

• SLR：服务级别需求
  
• SLA：服务品级协议，规定最低的安全要求
  
• SLR 产生 SLA
  

职员管理

1. 岗位形貌和职责

• 确定岗位形貌清单，比如角色和要执行的任务
  
• 一样平常的具体工作内容，访问其他资源的权限
  

2.职员筛选、调查和招聘

• 配景调查：减少风险、减少招聘成本、低落员工流通率
  
• 资质考核
  

3. 职员任命（onboarding）

• 签署雇佣协议
  
• 入职培训（认同企业文化可以减少离职率）
  
• 保密协议签署：掩护公司敏感信息，入职时签署，离职重申
  
• 服从 AUP（界说公司的安全标准，即哪些活动可接受，哪些不行）
  
• 为用户创建账号（Provision），并分配相应的访问权限
  

4. 员工监督

• 岗位轮换（防串通，防滥用）
  
• 交叉培训（A/B 角色）
  
• 员工评估：针对关键角色进行全面评估，针对其他员工抽查
  
• 检察员工，早期发现可能对安全造成风险的行为
  
  
  
  • 不满的员工
    
  • 强制休假（强制检察，一般表现有欠好的行为发生）
    
  
  

5. 离职

• 禁用、删除用户账号
  
• 打消证书
  
• 取消访问代码权限
  
• 解雇过程需要安全部分和 HR 到场，恭敬员工的同时低落风险，离职面谈需要重申之前签署的安全协议
  

第三方职员管理

• 签署 SLA，SLA 需要包含安全改进相干的内容（保密相干仍然需要签署 NDA，SLA 不能满足）
  
• 使用 VMS 供应商管理系统
  

合规策略

在职员层面，合规=员工是否遵循公司的策略。
合规是一种行政或管理情势的安全控制。
隐私策略

隐私内容包含：

• 未授权访问个人可识别信息（PII），比方电话号、所在、IP 等
  
• 未经授权的个人机密信息访问
  
• 未经同意的监督
  

要遵照法律要求掩护和存储隐私数据：

• HIPAA 康健保险流通与责任法案
  
• SOX 萨班斯-奥克斯利法案
  
• FERPA 家庭教诲权利和隐私法案：学生相干的数据
  
• GDRP 通用数据掩护条例
  

风险管理 - 关注资产

风险管理的目标：将风险降至可接受的程度。
绝对安全的环境是不存在的，需要均衡收益/成本，安全性/可用性。
风险来自很多方面，可能优劣 IT 的灾难，比如自然灾难等。
风险管理包含两大部分：

• 风险评估/风险分析：基于代价/性质分析每个系统的风险
  
• 风险相应：使用成本/收益的方式评估风险控制步伐
  

风险相干的术语解释

• 资产：可以是业务流程或者使用到的任何事物，可以是有形的也可以是无形的
  
• 资产估值 AV：资产对应的货币代价，综合重要性、使用情况、成本、支出等元素得出
  
• 威胁：可能导致资产粉碎、变更、走漏等的行为
  
• 威胁主体：主体利用威胁来危害目标
  
• 威胁事件：对脆弱性的意外和故意利用
  
• 威胁向量（Threat Vector）：攻击者为了伤害目标而使用的路径和手段，比如 Wifi、物理访问、社会工程学等
  
• 脆弱性：资产中的弱点，使威胁可以或许造成侵害的缺陷、漏洞、疏忽，可以是技能上的，也可以是管理逻辑上的
  
• 袒露：资产丢失袒露的可能性
  
• 风险：
  
  
  
  • 风险=威胁*脆弱性
    
  • 风险=侵害的可能性*侵害的严重程度
    
  
  
• 攻击：威胁主体进行的脆弱性利用尝试
  
• 粉碎：成功的攻击
  

1. 风险分析

风险分析的目标是：确保只部署具有成本效益的步伐。
定性风险分析 - 基于定性的更容易分析

基于分级来进行。基于场景，而非计算，依靠经验和判断。

• 场景：针对单个威胁的形貌
  
  
  
  • 通常比力概要，限制在一页纸，方便到场的人分配品级
    
  • 威胁怎样产生
    
  • 对组织带来的影响
    
  • 可能的防护步伐
    
  
  
• Delphi 技能：匿名的反馈和相应
  
  
  
  • 对于每个反馈，到场者通过数字消息匿名写下反馈，末了汇总给风险分析小组，重复这个过程直至告竣共识
    
  
  

定量风险分析

几个关键词：

• AV 资产代价
  
• EF 袒露因子：潜伏的丧失，EF 仅表现单个风险发生时对整体资产代价造成的丧失（比如硬件故障带来的丧失），以百分比计算
  
• SLE 单一丧失期望（Single Loss Expectancy）：SLE = AV * EF
  
• ARO 年发生率
  
• ALE 年度丧失期望
  

ALE = ARO * SLE = ARO * AV * EF
定性分析和定量分析的对比

特性定性分析定量分析使用数学计算否是使用成本/收益分析可能是需要估算是有时支持自动化否是涉及大量信息否是客观的较少较多依靠于专家意见是否泯灭的时间一般多提供有效的意义和效果是是 2. 风险相应

风险相应的情势：

• 风险缓解：最常用，通过实行防护步伐、安全控制来减少脆弱性，阻止威胁。比如加密和防火墙
  
• 风险转让：购买服务、保险等。可以转让风险，但无法转移责任
  
• 风险威慑：比如实行审计、监控、告诫 banner、安保职员等
  
• 风险规避（risk avoidance）：灾难制止，比如关闭重要系统以低落安全风险
  
• 风险接受：可以接受安全风险，通常意味着掩护成本>资产代价
  
• 风险拒绝：不接受但是可能发生，不应该有
  

残余风险处理（除已经防护的，剩下的风险）：

• 定期进行评估
  

风险控制的成本和效益

几个关键词：

• ACS （ annual cost of the safeguard）年度防护成本
  
• ALE 年度丧失期望
  
• 实行步伐前的 ALE
  
• 实行步伐后的 ALE
  

防护步伐对公司的代价=实行步伐前的 ALE-实行步伐后的 ALE-ACS
安全控制分类

按照方式：

• 管理行政类：数据分类、配景调查、工作说明书、检察、监督、培训
  
• 技能/逻辑类：IPS、防火墙、IAM、加密
  
• 物理类：门禁、锁、保安、看门狗、围栏、物理环境入侵检测等
  

按照作用：

• 防备性控制：部署防备控制以阻止非预期的或未经授权的活动发生，身份认证、门禁、报警系统、岗位轮换、IPS、培训等
  
• 威慑控制：锁、保安等，可能和防备性的重叠
  
• 检测控制：保安、IPS 、检察
  
• 赔偿控制：另一种控制手段的增补或加强，比如重要手段是防止删除，赔偿手段是存在备份可规复
  
• 纠正：比方杀毒、阻止入侵行为、备份规复等，将环境从非预期的活动中进行规复
  
  
  
  • 规复性控制：纠正的扩展，不像纠正是单一的行为，规复性可能更复杂，安全策略被粉碎后，规复控制尝试修复或规复资源、功能和能力
    
  
  
• 指令式/指示控制：比如关照、公司标准等，强制或鼓励主体服从安全策略
  

安全控制评估 SCA

Security Control Assessment
根据基线或可靠性期望对安全机制的正式评估。可作为排泄测试报告的增补。
目标：确保安全机制的有效性。评估组织风险管理过程中的质量和彻底性，天生已部署安全步伐的优缺点报告。
对应的标准为 NIST SP 800-53 Rev5，信息系统和组织的安全和隐私控制。
风险管理成熟度模型 RMM

Risk Maturity Model
RMM 5 个级别：

• 初始级 （ad hoc）：混乱的状态
  
• 预备级（Preliminary）：初步尝试服从风险管理流程，但是每个部分执行的风险评估不同
  
• 界说级（Defined）：在整个组织内使用标准的风险框架
  
• 集成级（Integrated）：风险管理集成到了业务流程中，风险是业务战略决议中的要素
  
• 优化级（Optimized）：侧重于实现目标，而不是被动相应
  

风险管理框架 RMF

Risk Management Framework，被 NIST SP 800-37 Rev2 界说。
风险框架用于评估、解决和监控风险的指南或方法。
1+6个循环的阶段：先辈行准备，准备上下文和优先级（优先处理哪些系统）

• 分类：根据对丧失影响的分析，对信息及系统进行分类
  
• 选择：选择合适的控制手段，可以将风险降到可接受程度
  
• 实行：实行上面形貌的控制
  
• 评估：确保控制实行到位（也就是查抄）
  
• 授权：在确定风险可接受的基础上，授权上线（类似于认可）
  
• 监控：连续监控系统，保证控制的有效性
  

安全培训 SAET

Security Awareness, Education, and Training Program
意识

• 建立对安全认知的最小化通用标准或基础
  
• 讲授、视频、海报、媒体等
  

培训

• 培训是指教导员工执行他们的工作任务和服从安全策略
  
• 定期的培训，加强职员安全意识
  
• 最好是强制的培训
  

教诲

• 教诲是一项更具体的上作，用户学习的内容比他们完成其工作任务实际需要知道的内容多得多
  
• 教诲可能是获取资格认证的培训，或者和晋升相干的教诲
  

改进

• 培训完成后需要做的
  
  
  
  • 制定改进计划、下一步计划
    
  
  

有效性评估

• 考试
  
• 检察事件日志，相识违规发生率
  

业务连续性计划 BCP

**BCP 和业务中断有关。**关注上层，以业务流程和运营为主。
**DRP 容灾规复计划 - 和数据规复有关。**更具细节，形貌站点规复、备份和容错等技能。
BCP 四个阶段：

• 项目范围和计划
  
• 业务影响分析 BIA
  
• 连续性计划
  
• 计划批准和实行
  

1. 项目范围和计划

• 首要职责，组织分析：相识部分职责
  
• 选择 BCP 团队：包罗业务、法务、IT、安全、公关、财务、高层代表等
  
• 资源需求：有职员需求和财务需求（购买软硬件）
  
• 法律和法规要求
  

2. 业务影响分析 BIA

目标：识别关键业务功能及这些功能相干的 IT 资源，分析中断的影响。
支持定量分析和定性分析，BCP 通常喜好使用定量分析，从而忽略定性分析，BCP 团队应该对影响 BCP 过程的因素进行定性分析。
1, 确定优先级

定量分析：

• 确定资产代价 AV
  
• 确定 MTD 最大容忍中断时间
  
• RTO 应该始终小于 MTD（MTD = RTO + 业务确认的时间 WRT）
  

2, 风险识别

识别自然风险和人为风险：

• 暴雨、累计、地动、火山、流行病等
  
• 可怕袭击、火警、互联网终端等
  

3, 可能性评估

确定每种可能性发生的概率，确定 ARO 年发生率。
4, 影响分析

年丧失期望 ALE
ALE = SLE *ARO = AV * EF * ARO
5, 资源优先级排序

3. 连续性计划

• 策略开辟：
  
  
  
  • 目标、范围、需求
    
  • 基本的原则和引导方针
    
  • 职责
    
  
  
• 预备和处理：
  
  
  
  • 制定具体的流程和机制来减微风险
    
  • 职员优先
    
  • 修建办法的掩护，比如加固，或者备用站点
    
  • Infra 掩护，包罗冗余办法，物理性的加固（UPS 及防火等）
    
  
  

4. 计划批准和实行

• 计划批准：计划得到上层的认可，展示业务向导对于业务连续性的承诺，在其他职员眼中更具重要性和可信度
  
• 计划实行：
  
• 培训和教诲：培训的目标是让相干的人认识其职责，以及利用步骤
  

5. BCP 文档

• 文档化可以防止执行时偏离
  
• 文档包含重要性声明
  
• 优先级声明
  
• 组织职责声明：重申组织对业务连续性计划的承诺
  
• 紧急程度和时间限制要求（时间表）
  
• 风险评估的内容
  
• 风险接受、风险缓解的内容，比如哪些风险可接受，哪些风险不可接受需要采取缓解步伐
  
• 重要记录：标识
  
• 应急相应指南
  
• 定期维护
  
• 测试和演练
  

法律法规

知识产权 IP - 掩护创作者

掩护创作者，软件属于知识产权。
作品在创作的那一刻即拥有版权。
仅有源代码属于知识产权，代码使用的逻辑不属于知识产权。
《数字千年版权法》DMCA

受掩护的类型：
还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！
王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，题目不大。
对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！
【完备版领取方式在文末！！】
93道网络安全面试题

内容着实太多，不逐一截图了
黑客学习资源推荐

末了给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！
对于从来没有打仗过网络安全的同学，我们帮你准备了具体的学习成长门路图。可以说是最科学最系统的学习门路，大家跟着这个大的方向学习准没题目。