CISA高分考生复习笔记知识要点

TASK STATEMENTS

1. 2. 3. 4. 5.

评估逻辑访问控制的设计，部署和监控，以确保信息资产的CIA 评估network infrastructure的安全性 评估环境控制 评估物理访问控制

评估存储，retrieve，传递和处理机密信息资产的过程和流程

Knowledge STATEMENTS

1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16.

安全的设计，部署和监控的技术 逻辑访问控制

逻辑访问架构（SSO,用户识别，身份管理） 攻击手段和技术 安全事件响应

挽留过和internet安全设别，协议和技术： SSL,SET,VPN,NAT IDS,IPS,Firewall的部署，操作，配置和维护 加密算法技术， PKI

病毒检测工具和控制技术 安全测试和评估工具 环境保护实践和设备 物理安全系统和实践 VoIP

机密信息资产的生命周期保护

手动，无线设备的控制和相关风险。

信息安全管理的重要性

1. 信息安全的目标C I A

一、 信息安全管理的关键要素

1. ? ? ? ? ? ?

IS安全不仅仅是一种机制，同样反应的是企业的文化。 高层支持 策略和流程 组织

安全意识和交易 监控和合规性 事件处理和响应

二、 信息安全管理角色和职责

1. IS security steering committee：不同管理层的人员足赤回忆

2. Eexcutive management：对信息资产保护、发布和维护信息安全策略框架负责

3. security advisor group：需要由bussiness人员设计，检查组织的安全计划，想CSO提供

安全建议，以及向业务部门沟通安全项目是否符合业务需要 4. CPO 首席隐私官

5. CISO 首席信息安全官

6. process owner：确保适当的安全措施与机构的策略一致，并得到维护 7. information asset owners and data owner： 8. users

9. external parties

10. security administrator： staff级别的而为之，提供适当的物理和逻辑安全项目 11. security specialists、advisor 12. IT developers

13. IS auditor：独立性assurance

三、 信息资产的目录和分级

1. 信息资产分级将安全与业务目标有效结合起来，减少风险，节省成本 2. classification应该根据机构规模尽量简化。

3. data是核心的信息资产，data classification应该定义：

? owner

? access rights （ need to know ） ? level of access to be granted ? 决定访问权限和级别的人 ? 谁审批访问需求

? 安全控制的范围和深度

4. 数据分级应该考虑CIA,还有隐私和合规等事务。

四、 System access permission

1. 物理或逻辑系统访问应该基于一个书面的NEED-TO-KNOW的基础，这个基础是基于

最小授权和职权分离的合法的业务需求。

2. 逻辑安全下的信息技术资产可以分为：networks，platforms，databases 和applications 3. 信息owner应该书面授权对信息的访问

4. 对访问的授权情况应该定期检查，检查应该与HR流程结合。 5. 非组织雇员的访问活动同样需要合规性控制

五、 MAC,DAC

1. MACs强制访问控制：缺省实施，不受用户或者data owner的控制 2. DACs可以由用户或者data owner来配置和更改

3. MAC比较的是信息资源的sensitivity和访问实体的security clearance安全许可。MACs

是禁止性的prohibitive，任何没有例外管理的都要禁止。只有管理员可以更改。 4. DACs, data owner决定访问权限，DACs不允许超越MACs。 5.

六、 隐私管理事务，IS审计师的角色

1. privacy必须从一开始就要进行关注，执行privacy impact analysis 2. IS审计师为管理成的隐私合规提供合理保证

? 识别理解合规要求

? 检查个人数据的管理合规性 ? 验证是否采用恰当的安全措施 ? 检查管理层的隐私策略。

七、 信息安全管理的关键成功因子

1. 管理层对安全培训的有力支持 2. 基于风险的资产识别、风险评估

八、 信息安全和外部parties

1. 2. 3. 4. 5.

对customer，third party等的控制

为防止未授权访问，所有打印的文档必须在站访问

建立DRM digital rights management来限制对文档的复制，打印等

若信息安全管理外包，则相关协议应该定义第三方如何保证安全要求。 要考虑第三方无法提供服务时的应急处理（replacement serives）

九、 HR安全和third parties

1. 2. 3. 4. 5.

通过恰当的job description来落实安全责任 入职调查

基于安全角色签订协议，含保密协议等

根据公司安全策略来书面定义雇员合同，第三方的用户的安全责任

与合同方和第三方签订的协议中应该包含背景调查的内容 background verification checks

十、 Computer crime and exposure

1. ? ? ? ? ? ? 2. ? ? ? ? ? ?

计算机犯罪造成的影响： Financial loss

Legal repercussions

Loss of credibility of competitive edge

Blackmail、industrial espionage、organized crime

Disclosure of confidential，sensitive or embarrassing information Sabotage怠工 犯罪分子类型 Hackers crackers Script kiddies Crackers Employees IS personnal End users

? ? ? ? ? 3. 4. 5. 6. 7.

Former employees

Interested or educated outsiders Part time and temporary personnel Third parties

Accidential ignorant

计算机是犯罪对象图： DoS, hacking 计算机是犯罪的subject：DDoS,virus

计算机是犯罪工具：fraud，未授权访问，phishing，安装key loggers 计算机symbolizes 犯罪： 社会工程 一般的攻击机制和技术

? Altertion attack：篡改工具破坏数据的完整性，对策使用加密哈希 ? Botnets僵尸网络 ? 暴力破解： ? DoS

? Smurf attack：误配置的网络设备允许通过广播地址发送到特定网段的所有hosts

? Ping flood： ? SYN Flood：

? Teardrop attack： 发送损毁的IP fragments ? Peer to peer attack：

? PDoS phlashing ：伤害的是硬件， ? 应用层级的flood 攻击：

? buffer overflow， ? 暴力破解，

? 带宽饱和型flood 攻击，

? banana attack（将客户端发送的消息重定向回客户端）， ? pulsing zombie：

? nuke： 损坏的ICMP包发送给受害目标 ? DDoS

? Reflected attack： ? Unintentional attack

? 拨号渗透攻击，wai dialing ? Eavesdropping

? Email Bombing and spamming ? Email spoofing ? Flooding

? Interrupt attack ? Malicious codes

? Logic bombs ? Trap doors ? Trojan horses ? 中间人攻击

? Masquerading伪装

? ? ? ?

Message madificaiton Network analysis Packet replay

Phishing钓鱼：包括社会工程，link manipulation，和web site forgery ? Spear phishing：

? Pharming：将流程或网页重定向到一个bogus web site。防病毒以及防间谍软件不能阻止pharming ? 社会工程学 ? Piggybacking

? Race conditions：TOC/TOU 攻击：竞争状态由于nonatomic，

deadlock failure造成。需要良好的编程和管理来控制

? Remote 维护工具

? Resource enumeration and browsing：资源穷举，其中browsing攻击时使用手动搜索

的方式来耗尽资源

? Salami攻击 把末尾删掉

? Rounding down：把末尾数减小

? Spam： uce， junk email 垃圾邮件：使用贝叶斯过滤来控制 ? Traffic analysis

? 通过WWW的非授权访问 ? 病毒，蠕虫，间谍软件 ? War driving战争驾驶 ? War walking ? War chaclking

十一、 安全事件处理和响应

逻辑安全

一、 逻辑安全exposures

1. 生物认证技术：

? FRR 第一类 错误拒绝率 ? FAR 第二类 错误接受率 ? EER

? FER错误注册的比例

? Retina的FAR比例最低，成本高，用户接受度低

2. SSO单点登录

? Kerberos-分布式环境中使用 二、 授权事务

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库CISA高分考生复习笔记知识要点在线全文阅读。