CISSP的成长之路(二十三):逻辑访问控制方案
[2008-03-28]
内容摘要:以生物特征为验证凭证的访问控制方案能够提供比使用其他两种凭证的同类产品高得多的安全性,但生物特征的访问控制方案的部署和维护成本也最高,而且用户的接受程度也不是很好。
CISSP的成长之路(二十二):用户的生物特征
[2008-03-28]
内容摘要:在许多要求更高安全级别的场合,往往需要使用更为安全的访问控制手段,这就是J0ker在本文将要介绍到的第三种验证因素——用户的生物特征(What you are)。
CISSP的成长之路(二十一):用户持有凭证
[2008-03-28]
内容摘要:用户所有的凭证,和传统的密码方式最大的不同在于,用户所有的凭证,对用户来说是他所有的一个物品,用户不需要了解它们具体是怎么运作的,只需要在系统要求用户进行身份验证时提供它们即可。
CISSP的成长之路(二十):讲解身份验证过程
[2008-03-28]
内容摘要:用户要访问自己的文件,必须先向系统提供自己的身份识别,然后系统验证用户的身份,如果验证通过,用户才能获得对自己文件的访问。可以这样理解,在访问资源的过程中,身份识别是用户提供给系统的,而身份验证及其结果则是系统提供给用户的。
CISSP的成长之路(十九):详述安全威胁控制手段
[2008-03-28]
内容摘要:传统上,访问控制的手段可以分成管理访问控制(Administrative Access Control,包括人员控制)、物理访问控制(Physical Access Control)和逻辑访问控制(Logical Access Control),它们都是通过限制对信息系统及资源的访问来实现控制的。
CISSP的成长之路(十六):复习访问控制(1)
[2008-03-28]
内容摘要:访问控制(Access Control)是CISSP知识体系中的第三个CBK,它的内容包括如何使用多种系统提供的安全功能来控制对组织的信息和数据处理资源的访问,这些访问控制措施通过管理、物理和逻辑控制的手段
CISSP的成长之路(十五):系统架构和设计之安全标准
[2008-03-28]
内容摘要:世界上的许多国家和组织推出了自己的产品安全评估标准,其中使用最广泛的就是CISSP CBK中介绍到的TCSEC(橘皮书)、TNI(红皮书)、ITSEC和CC这几种。
CISSP的成长之路(十四):系统架构和设计之保护机制
[2008-03-28]
内容摘要:保护机制实现的目标是将系统内的所有实体(数据、用户、程序等)进行隔离,并通过一定的规则允许实体间进行访问。因此从所执行的动作,保护机制可以分成主动(Active)和被动(Passive)两类
CISSP的成长之路(十三):安全架构和设计之安全模型
[2008-03-28]
内容摘要:J0ker给大家介绍了系统架构和设计的第一部分,因为这个部分里的安全模型概念是CISSP考试考察的一个重点,同时目前所有的系统和软件都是基于这些安全模型来设计安全原则的,所以J0ker打算在本文中详细介绍这些安全模型:
CISSP的成长之路(十二):安全架构和设计(1)
[2008-03-28]
内容摘要:在51CTO安全频道特别策划的CISSP的成长之路系列的上几篇文章里,J0ker给大家介绍了CISSP学习内容的第一个CBK—— Information Security Management的内容,接下去J0ker将给大家介绍第二个CBK—— Security Architecture and Design,安全架构和设计。
CISSP的成长之路(十一):安全意识教育介绍
[2008-03-28]
内容摘要:我们都知道,各种安全规章制度制定之后,最终也需要组织的每一个成员都理解并自觉遵守才能发挥其应有的作用,要达到这个目的,就要用到本文将介绍的安全意识教育(Security Awareness)这一工具。
CISSP的成长之路(十):复习信息安全管理(4)
[2008-03-28]
内容摘要:J0ker给大家介绍了Information Classification的相关内容,完成风险分析和信息分级之后,安全计划的下一步需要做什么?这便是本文将要介绍的Policy/Standard/Baseline/Guideline/Procedure等一系列安全文档的准备工作。
CISSP的成长之路(九):复习信息安全管理(3)
[2008-03-28]
内容摘要:本文J0ker将向大家介绍的Information Classification(信息分级),便是这样一个帮助组织更有效的进行安全项目的重要工具。
CISSP的成长之路(八):复习信息安全管理(2)
[2008-03-28]
内容摘要:本文将介绍Information Security Management CBK中的风险评估(Risk Analysis and Assessment)。
CISSP的成长之路(七):复习信息安全管理
[2008-03-28]
内容摘要:从本文开始,J0ker将带大家进入CISSP考试的正式复习过程:2007年(ISC)2修改过CISSP考试的各CBK名称和内容,虽然新内容绝大部分和原来的CISSPCBK相同,但还是增加了一些新内容。
CISSP的成长之路(六):CISSP复习流程及资源
[2008-03-28]
内容摘要:从本文开始,J0ker将用大概15篇文章的篇幅,向大家详细的介绍CISSP认证考试的复习流程、各种复习资源和CISSP的10个CBK的内容,本文要介绍的即是CISSP认证考试的复习流程及资源。
CISSP的成长之路(五):怎样获得CISSP认证(3)
[2008-03-28]
内容摘要:J0ker向大家介绍了CISSP考试前的食住行和考试中要注意的问题。那么,成功通过CISSP考试之后还要通过什么手续才能拿到CISSP认证?获得CISSP认证之后如果保持认证?J0ker将在本文中为大家一一解答。
CISSP的成长之路(十七):复习访问控制(2)
[2008-01-06]
内容摘要:我们知道,信息安全和每个安全相关的技术,目标都是为了保护信息资产的保密性、完整性和可用性(CIA)中的一个或全部不受损害,访问控制也是如此。因此,J0ker打算给大家介绍一下访问控制CBK所对应的C-I-A保护范围和涉及访问控制的一些常见威胁。
CISSP的成长之路(十八):详述网络威胁类型
[2008-01-06]
内容摘要:J0ker给大家介绍了访问控制CBK里面一些常见的破坏信息资产保密性的威胁类型,那么什么类型的威胁会破坏信息资产的完整性和可用性?这便是本文将要介绍的两种具体威胁类型——拒绝服务(Denied of Services)和恶意代码(Malicious Code)。