CISSP(十五)

安全评估与测试安全评估由安全测试、安全评估、安全审计组成。漏洞扫描主要分为四类网络发现扫描、网络漏洞扫描、Web 应用程序漏洞扫描以及数据库漏洞扫描。渗透测试分为白盒、黑盒、灰盒渗透测试。入侵模拟攻击BAS代码审查的六个步骤动态应用安全测试DASTIAST和RASP模糊测试接口测试测试覆盖率分析满足这种需求的安全管理审查包括H 志审查、账户管理、备份验证、关键性能和风险指标。每项审查都应遵循一个标

CISSP
6-安全评估与测试

CISSP(十四)

控制和监控访问隐式拒绝原则隐式拒绝原则是网络安全和网络通信中的一个概念,用于描述在访问控制中的一种安全策略。它是许多计算机网络和系统中用于保护资源免受未授权访问的一部分。 隐式拒绝原则指的是当没有明确的访问控制规则或权限授予时,默认情况下拒绝所有访问请求。这意味着只有在明确授权的情况下,用户或设备才能访问资源。如果没有明确的访问规则,系统会拒绝所有请求,从而确保资源不会被未经授权的用户或设备访问。

CISSP
5-身份和访问管理

CISSP(十三)

管理身份和认证12345678910111213141516171819202122比较主体和客体身份注册、证明和创建智能卡和硬件令牌、生物识别技术多因素身份认证MFA短信服务SMS无口令身份认证设备身份认证服务身份认证身份管理分为集中式和分散式SSO单点登录是集中式LDAP协议身份管理系统FIM基于云的联合本地联合混合联合准时制凭证管理系统取消配置和离职过度权限和权限蔓延主体、客体和实体的区别同

CISSP
5-身份和访问管理

聪明的投资者-读书笔记

风险不可能避免 忘记过去的人,必将重蹈覆辙。 要想成为一个聪明的投资者,重要的是性格而不是智力。 某一行业显而易见的增长前景,并不一定会为投资者带来显而易见的利润。如果所有人都确信某一行业”显然“是最佳投资对象,那么,价格就会被捧得高高在上,没有上升空间,就只可能下跌。 投资和投机投资和投机是两种不同的金融行为,它们在目的、时间、风险和策略上存在明显的区别: 目的: 投资:投资的主要目的是长期

View

CISSP(十一)

网络构架OSI 域名系统安全扩展(Domain Name System Security Extensions,简称DNSSEC)是一种用于增强域名系统(DNS)安全性的扩展技术。DNSSEC旨在解决DNS中的安全漏洞,提供数据完整性和验证机制,防止DNS劫持、欺骗和缓存污染等攻击,确保域名解析的准确性和安全性。 传统的DNS协议是不安全的,存在一些潜在的攻击风险,例如: DNS劫持: 攻击者可

CISSP
4-通信与网络安全

转载-程序员的工资与风投

因为程序员的工资不是公司发的,而是风投发的。风险投资是短期行为,大规模招人跑马圈地,圈好了开始割韭菜,然后人家就退出了。之前发工资的走了,自然就要有人顶上,可如果韭菜不好割,工资顶不上呢?这种现象在移动互联网退潮时,程序员感受得最为明显。这里涉及到一个财务常识,可绝大多数人却一无所知。 你每个月领工资,但知道自己的工资是哪里来的吗?很多人以为工资作为成本或费用来自公司收入。可果真如此的话,你怎么解

View

CISSP(十)

物理安全要求防火、防洪、防停电、防盗 12345678910111213141516171819设施设计CPTED-通过环境设计预防犯罪设备故障配线间服务器间与数据中心智能卡和胸卡接近式设备入侵检测系统(动作探测器、入侵警报、二次验证)摄像头访问滥用介质存储设备证据存储受限区与工作区安全基础设施关注点:1. 电力 2. 噪声 3. 温度、适度与静电 4. 防水UPS不间断电源火灾预防气体消防系统边

CISSP
3-安全构架与工程