2015年CISSP 更新之：资产安全

huizhe2015

2015年CISSP 更新之：资产安全

2015年CISSP更新带来的新观点覆盖了这个认证的关键领域。CISSP已经是所有信息类证书中最广泛的，覆盖的领域最惊人的。不过，把信息安全分解成这些知识领域和章节,可以帮助去了解它的点点滴滴。每次更新，让每个域是更精简，更易于整体画面管理的，也变得更容易理解。

如果您刚开始学习CISSP，我们将深入到各个领域在未来数周的过程中，让您去了解需要知道些什么。首先我们要说的是，除了极少数例外旧知识域都没有了，其它信息还是存在的，只是发生了章节安排上发生了一些变化。CISSP认证一直是一个信息安全管理者层级的认证，对于很多主题理解是广泛被要求的。随着新的更新，用一种归零上的概念：使其更容易用鸟瞰的视角来看特定场景的东西。

考虑到这一点，让我们来看看我们的今天要讨论的这个领域：资产安全性（保护资产的安全性）。

1、有效权限

权限在信息时代是绝对必要的。并不是每个用户都需要能够读取，编辑或删除组织中的每个文件，因此减少他们的权限，这样做好自己的工作的需要是最首要的要求。然而在大型组织，如果你想一个一个的管理用户，这将是个问题。因此最简单的代替方法是使用“组”代替同时管理大量用户。这允许管理员一次调整对多个用户的权限，而无需单独调整。然而，这也意味着，如果用户被分配给“组”时在相同的对象上具有不同的权限级别，他们会比预期具有更多的权限。检查用户的有效权限可以确切地告诉他们被允许做什么，并允许管理员进行调整，也许不仅仅是审查用户。

2、数据分类

不是每个用户需要去访问每个文件。在这种情况下为了有一个标准，数据在一系列变量中需要进行分类：这是属于什么部门？是否包含身份标示信息（PII）？是否有机密信息？这个信息是否仅供C’X’O阅读？如果向公众发布会不会危害组织或更糟？以这种方式，特定用户的职责可以相应地被分配，让他们履行自己的职责，也能更好的防止由于偶然或恶意的原因导致对组织的威胁

另外，它允许特定的指令给予特定情况下的用户。例如，如果用户需要对所有信息进行最高级别的保护，对用户来说很累。但是，如果他们知道在不同的层面来看待特定的信息，然后剩下的在其它不同的级别，就变得更容易和更整体了。对用户来说越容易，也越有可能会遵循标准和流程。

3、文件权限术语和概念

然而文件权限的实现可以有成千上万不同的组合，实际上用户可以将特定文件或目录缩减成三个不同的概念：（r）读，（W）写和（x）执行 。‘读’允许用户阅读该存在文件，如果它是一个不可执行文件，可以将其打开。‘写’允许用户创建的文件，并根据不同的操作系统允许对现有文件的修改。‘执行’允许用户运行的程序或脚本。

虽然这这些似乎是添加的权限（在许多情况下它们确实是），如：用户被要求在被允许写文件之前有读的权限，但它并不总是如此。例如：我遇到过一个问题，当我正上在线课程时，要求我们把论文提交到一个特定的目录。我们有了写的权限，但是没有读的权限。意思就是我们能够将要提交的文件拖放指定的文件夹，但不能看该目录中有什么文件。作为一项规则，某些权限，如“拒绝”很麻烦，因为这可能导致很多潜在的问题。

4、访问控制的方法

也有涉及到的工作权限的实践模型，以及关键方面不同的结构。大多数人会定期碰上基于关闭角色的访问控制的操作方法：如果您一个机构以特定的职位开始工作，将有和特定的职位相关的默认权限。很多时候，管理员会给现有的人一个权限模板，并告诉他们“给他们初始权限”。然而这可能是巨大问题的开始，如果这个模板已经有权限修改他们需要特别访问的区域，不是每个人都具有这样的职位，例如：可能会因新员工履行自己的职责的时候超出权限而引发潜在问题。

5、准备限制提权攻击

权限升级可采取两种不同的形式：将权限授予给不同的或更高级别的用户，授予给操作系统相关联的不同级别。例如：如果一个恶意用户闯入了一套有漏洞认证的环境时，应先有一个特定用户的权限。如果他们能够再渗透到同一部门的另一用户，他们可能获得更多的数据。然而，如果它们再移动到该部门的任一个经理，或不同的部门另一用户，他们将获得大量的新的信息等等。在另一方面，如果当他们侵入到环境时使用了用户凭据，他们决定，从一个标准的用户转移到一个管理员级别的用户，他们需要使用系统或网络上的漏洞获取该访问。有很多不同的方式来完成这两个任务，所以用户保护他们的证书和并采用最佳做法对待特权帐户，最好的方法就是培训。

6、“休息”数据的保护

“休息”数据就是存储的数据-无论是在硬盘，磁带，光学介质，或其他存储设备。这种保护可以采取多种形式：加密，保险柜，柜子上锁，这样的例子不胜枚举。需要知道哪些是可用于特定的选项，以及当用户在环境中尝试访问重要数据时的最佳选择怎么影响性能。

7、传送时保护数据

传输中的数据，数据将通过线路，无论是通过Web服务器，电子邮件，即时消息等等。取代传统的协议（如FTP）与使用新的更强的协议可以帮助确保数据在传输过程中走的更远，然而实际中不是一直都这样。使用加密的点对点连接，如VPN可以帮助保护数据不被窥视，但再次使用会根据您的要求各不相同的具体方法。

为什么把保护资产摆在安全首位？不管守着一个文件柜或一个人，都是安全性的工作，以确保被保护的对象没有被危害。需要保护一个具体的目标需要多少安全？什么是最有可能被攻击的目标？谁可能知道这些攻击来自何处？是否有新的漏洞，我们需要警惕还是反击？是否有烦恼的用户会容易被人收买？是否有更高级别的官员用自己的方式，并觉得没有必要保护自己或他们的凭据？在管理资产这些都是需要考虑的，需要更多的关注。

上海近期开课时间：

（上海）8月26-30日、10月28日-11月1日

如需了解课程详情，请联系汇哲小宝

联系方式：手机：18516268011 微信：spisecxiaobao

QQ:1109871256