1 / 18

第 3 章 認證計劃與通識體系

第 3 章 認證計劃與通識體系. 學習目標. 分析資訊系統安全專家認證( CISSP )為何是 IT 安全認證中的公認標準 定義與描述國際資訊系統安全認證聯盟的角色 區分通識體系的十門領域 區分 CISSP 與業界其他的安全認證計劃. 簡介. CISSP 與 SSCP 的測驗範圍,涵蓋安全專家通識體系( Common Body of Knowledge , CBK) 中的知識與實務經驗。 CBK 乃是針對資訊安全專家關心的主題,彙整國際上相關的安全資訊。

jermaine-huffman
Download Presentation

第 3 章 認證計劃與通識體系

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第3章 認證計劃與通識體系

  2. 學習目標 • 分析資訊系統安全專家認證(CISSP)為何是IT安全認證中的公認標準 • 定義與描述國際資訊系統安全認證聯盟的角色 • 區分通識體系的十門領域 • 區分CISSP與業界其他的安全認證計劃

  3. 簡介 • CISSP與SSCP的測驗範圍,涵蓋安全專家通識體系(Common Body of Knowledge,CBK)中的知識與實務經驗。 • CBK乃是針對資訊安全專家關心的主題,彙整國際上相關的安全資訊。 • 本書介紹資訊安全(Information Security,IS,亦稱InfoSec)領域所用的架構,乃是參考CBK的十個領域,以協助讀者決定將來要投身何種領域。

  4. 認證與資訊安全 • 企業對於技術、架構與流程等與資訊相關的投資,大多由資訊安全專家負責。因此,若要達到高安全標準,資訊系統專家與從業人員的業界標準、倫理與認證至為重要。是故,雇主與員工皆受益於認證。 • ISC2組織的目的,是為了監督與控管專業認證的流程,維持認證的重要性與認可度,以及協助各類專業人員共同解決問題或尋找工作。

  5. 國際資訊系統安全認證聯盟 • ISC2為非營利的全球性組織,致力於: • 維護資訊安全的通識體系。 • 依國際IS標準,認證業界專家與從業人員。 • 管理訓練與認證考試。 • 持續透過教育,以維護認證的有效性。 • CISSP是針對監督多重資訊安全領域的管理階層或資深人員而設計,SSCP則是針對安全作業專長人員而設計。

  6. 資訊安全通識體系 • CBK乃是針對資訊安全專家關心的主題,彙整國際上相關的安全資訊。由於先前並無任何業界標準,因此ISC2的目的之一,便是彙整、標準化與維護CBK。 • ISC2確保具有CISSP證書的資深IS專家,擁有CBK所有領域的知識(詳述於ISC2網站,www.isc2.org)。

  7. 安全管理實務 • 安全管理實務領域強調安全規劃的重要性,包括安全政策、保護資料的程序,以及相關的管理方式。

  8. 安全架構與模型 • 安全架構領域是CBK中較為技術取向的領域,涉及網路分層、組態、存取控制清單,以及攻擊類型。

  9. 營運持續計畫 • 營運持續計畫領域涵蓋以下主題: • 角色與責任 • 企業衝擊分析 • BCP的發展流程 • 備份選項與技術 • 異地備援設備的類型 • BCP實作與測試

  10. 法律、調查與道德規範 • 此一領域亦涵蓋以下主題: • 電腦罪犯的特徵 • 犯罪類型 • 責任相關主題 • 隱私權法律與相關考量 • 電腦犯罪調查的複雜性 • 證據類型與收集方法 • 犯罪鑑識 • 司法制度 • 資訊安全專業中的道德規範

  11. 實體安全 • 實體安全領域涵蓋以下主題: • 設備地點與建造相關議題 • 實體弱點與威脅 • 門、窗與安全空間的考量 • 硬體標準與備份選項 • 電力相關議題與解決方案 • 火災偵測與撲滅 • 圍牆、照明與周邊保護 • 實體入侵偵測系統

  12. 作業安全 • 作業安全領域涵蓋以下主題: • 作業部門的責任 • 人員與角色 • 資源保護 • 入侵偵測系統的類型 • 弱點與滲透測試

  13. 存取控制系統與方法 • 此一領域涵蓋以下主題: • 身分識別、驗證與授權方法及技術 • 生物特徵辨識、智慧卡與多元驗證 • 密碼管理 • 單一登入的技術與風險 • 自訂式與強制性存取控制模型 • 以規則為基礎與以角色為基礎的存取控制 • 社交工程相關議題 • 特定攻擊與對策

  14. 加密法 • 此一領域的主題常見於許多間諜小說中。加密法主要是談資料加密,只讓獲得授權的人員讀取敏感性資料,未獲授權的人員則無法看到。加密法是相當複雜的主題。資訊安全專家通常只需要瞭解其功能,而毋須深入相關的機制。

  15. 電信、網路與網際網路安全 • 這也是CBK中較為技術取向的領域。此一領域包括網路拓撲學,及其弱點與防禦措施。除了防火牆等眾多工具外,亦涵蓋以下主題: • 開放系統互連(Open System Interconnect,OSI)七層模型 • TCP/IP協定組合 • LAN、MAN與WAN的拓撲及技術 • 路由器與防火牆之類的網路設備 • 防火牆的類型與架構 • 撥號與VPN協定 • 網域名稱服務(DNS) • 無線區域網路與安全議題 • 網路攻擊的類型

  16. 應用程式開發安全 • 此一領域涵蓋以下主題: • 軟體開發模型 • 軟體開發生命週期 • 物件導向程式設計 • ActiveX與Java • 資料庫安全 • 關聯式資料庫元件 • 惡意軟體的類型

  17. IT安全業界的其他認證計劃 • 資訊系統稽核師認證:「資訊系統稽核師認證」(Certified Information Systems Auditor,CISA)以往只有IT稽核師才會有興趣,但是目前在資深技術人員與主管之間也頗受歡迎。 • 資訊安全管理師認證 :此認證在於認可IT安全管理師的知識與經驗。 • 全球資訊保證認證 :涵蓋從業人員與管理階層所需的基本資訊安全知識。 • CompTIA Security+ 認證: CompTIA Security+ 認證考試乃是針對擁有兩年網路安全實務經驗的人士,測試其安全知識的專業程度。 • 特定廠商的認證

  18. 總結 • 資訊安全CBK由十門領域所組成,涵蓋從業人員與管理階層所需的資訊安全知識,不但可精進本身的專業,也可提供企業歷經業界考驗的最佳實務。 • 安全專家的角色不斷擴展,這主要是起因於IT產業與政府面臨日益頻繁的攻擊,使得電腦系統與操作遭受嚴重威脅。

More Related