iT邦幫忙

第 11 屆 iT 邦幫忙鐵人賽

DAY 8
0
Security

認證信息系統安全專業人員(CISSP)學習筆記系列 第 8

安全架構與設計(Security Architecture and Design)

使用安全的設計原則實施和管理流程

計算機系統安全管理分為4層:硬體,運算核心和驅動程序,操作系統,應用程序。物理安全是外圍防護。在每個需要保護的組件上應該有多層防護。

了解安全模型的基本概念

  • 訪問控制和最小權限:安全策略(Bella-lapadula, BLA)
  • 複雜的環境:網格存取控制(Lattice-based access control)
  • 完整性:完整性模型(Biba Integrity Model)
  • 利益衝突:中國牆模型(Chinese Wall Model)

根據系統安全要求選擇元件

通常,使用哪些框架對資訊系統或業務進行分類,然後它會告訴您哪些元件或標準適用。

了解信息系統的安全功能

  • 存取控制:使用保護環(Protection Rings)
  • 記憶體保護:防止程序影響另一個程序的完整性
  • 可信平台模組(Trusted Platform Module, TPM):硬體處理器,協助執行加密操作,可以進行安全啟動和整個磁碟加密
  • 加密:可以根據使用的加密類型提供機密性和完整性

評估並緩解安全體系結構,設計和解決方案元件的漏洞

  • 客戶端系統:當用戶使用脆弱瀏覽器或在惡意網站下載內容時
  • 伺服器系統:客戶端攻擊連接接受命令的系統
  • 資料庫系統:數據挖掘,多重性問題(Polyinstantiation),推理和關聯
  • 加密系統:使用弱式工具變量(Instrumental Variable, IV),金鑰大小,金鑰交換或對稱加密演算法
  • 工業控制系統(ICS):泛指從恆溫器到監視器等工業儀器
  • 雲端系統:
    • 基礎架構即服務(IaaS): 伺服器託管
    • 平台即服務(PaaS): 網業伺服器服務託管
    • 軟件即服務(SaaS):郵件網路應用程式
    • 分佈式系統:使用許多不必要的高性能設備。認為Docker群或貝奧武夫叢集(Beowolf cluster)
  • 物聯網(IoT):
    微型的嵌入式系統,具有降低資料儲存和查詢API等基本功能的功能

上一篇
存取控制(Access Control)
下一篇
安全架構與設計(Security Architecture and Design)
系列文
認證信息系統安全專業人員(CISSP)學習筆記30

尚未有邦友留言

立即登入留言