CISP认证是当前从事信息安全行业人员必备认证之一,学员在授权机构参加培训,给予培训证明后方可考试。培训内容包含信息安全保障、安全工程与运营、软件安全开发、业务连续性、网络安全监管等课程。接下来给大家详细讲解一下课程模块-信息安全保障课程的体系介绍。
CISP认证的指定教材《注册信息安全专业人员培训教材》的第一章系统地介绍了信息安全的意义,以及信息安全保障所涉及的方方面面。
第一章的信息安全保障所涉及的核心内容总结如下:
1、信息安全的保障目标是对组织机构有价值的信息资产的CIA三要素不被破坏;
2、CIA是指保密性(Confidentiality)、完整性(Integrity)和可用性(Availability);
3、保密性:也称机密性,保护敏感的信息不被非授权的泄漏或窃听。比如说公司的保密性的邮件或你自己私密的照片不能被不相关的人看到;
4、完整性:确保数据、信息或软件的精确和完备。它强调的是系统相关数据的完整性,没有被篡改。通常指数据库的数据交易失败的回滚机制,还有交易的一致性,比如说你在ATM机上取钱,你所取的金额和实际上银行扣除的金额要相符;
5、可用性:确保信息和重要的IT服务是在有访问需求的时候总是可用的,没有被恶意破坏。我们都希望当你每次想在ATM机上取钱都能够取到,尤其是在过节或过年的时候,ATM一定要有钱可以取;
6、我们都知道一个系统的保密性通常与可用性是一对矛盾共同体。要想提升保密性,有时就需要牺牲系统的可用性或访问的便捷性。比如企业设置多重防火墙和严格近乎苛刻的访问策略(比如只开特定的网络访问端口)就是在提升保密性,但是也无形中降低了一定系统可用性和访问的便捷性;
7、如果我们把保密性和可用性比喻成跷跷板两头,那么完整性是跷跷板的支点。由完整性引申出更多的安全要素,如真实性、可问责性、不可否认性和可靠性等;
8、针对安全,国家倡导技术和管理并重,保护和震慑并举的战略指导原则。企业可以通过建立威胁情报和态势感知平台,对潜在入侵等信息安全事件进行主动管理,并起到一定的威慑作用。我们也需要做好针对企业员工的安全教育,逐步降低社会工程学攻击所带来的任何负面影响;
9、社会工程学是一种通过对受害者心理弱点,如本能反应、好奇心、信任、贪婪等进行利用,实现对受害者进行欺骗以获得自身利益的方法;
10、通过信息安全保障框架的诸多模型来对企业人员进行有针对性的安全教育。比如PDR(保护-检测-响应)模型是基于时间的安全模型,强调系统能够支持的防护时间(Pt)一定要大于检测时间(Dt)和响应时间(Rt)之和。检测时间是从发起攻击到检测到攻击的时间。响应时间是从发现攻击到做到有效处置的时间。只有Pt>Dt+Rt,才能证明系统是安全的;
11、安全需要从企业的战略和架构层面来考量。企业架构我们可以参考开放组织(Open Group)推出的TOGAF架构体系,而安全架构可以参考舍伍德商业应用安全架构,即SABSA。
建议CISP学员需要在培训过程中跟着老师认真听讲,掌握CISP认证全部课程体系,当然CISP考试大纲从我国国情出发,结合我国网络基础设施和重要信息系统安全保障的实际需要,明确规定了注册信息安全专业人员应掌握的知识要点是知识体系的全面性和实用性。CISP教材编制、讲师教学、学生学习和考试命题的重要依据。CISP考试大纲是考生复习CISP的重点参考资料,主要考查Web安全、中间件安全、操作系统安全、数据库安全,渗透测试,内网安全六个知识块。
有关CISP认证资料可以向在线客服领取。
106
天
扫码关注我们
