记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

CISSP的含金量升级:“等效”硕士学位

点击蓝字关注我们信息系统安全认证专家(CISSP)认证是网络安全行业炙手可热的安全认证之一,也是含金量最高的认证之一。那么,CISSP的含金量到底有多高呢?近日,负责提供全球资历的信息和专家指导服务的英国国家机构UK NARIC认定CISSP认证的资质级别相当于RQF7级,也就是说,在整个欧洲范围内,CISSP的资质与硕士学位相当。这是CISSP首次被获得官方的学历“定级”,这意味着在英国和整个欧洲,网络安全专业人员可以将CISSP认证用于高等教育课程学分,并为持有CISSP认证的网络安全人才打开那些要求硕士学位的就业机会。
发布时间:2020-08-27 17:48 | 阅读:8923 | 评论:0 | 标签:CISSP

cissp | 评估和应用安全治理原则

  第一章 实现安全治理的原则和策略   1.2 评估和应用安全治理原则安全治理是与支持、定义和指导组织安全工作相关的实践集合。安全治理原则通常与公司和IT治理密切相关,并常常交织在一起。这三类治理的工作目标一般是相同的或相互关联的。例如,组织治理的共同目标是确保组织能持续存在并随着时间不断成长或扩张。因此,治理的共同目标是维护业务流程,同时努力实现增长和弹性。     1.2.1 与业务战略、目标、使命和宗旨相一致的安全功能安全管理计划确保正确地创建、执行和实施安全策略。
发布时间:2020-08-27 17:48 | 阅读:8082 | 评论:0 | 标签:CISSP 安全

听说有CISSP的人也会考它(CCSP指南2020版)

CCSP国际注册云安全专家认证由CSA与 (ISC)²合作推出,发证机构是(ISC)² 。通过拥有最新的技术技能知识,来管理和保护云中的数据、应用程序和基础设施。(ISC)² 的认证在全球170个多个国家和地区受到广泛认可,具有毋庸置疑的权威性。持有(ISC)²认证将彰显安全专业人员的职业身份与自信,可谓国际化信息安全精英人才。
发布时间:2020-03-05 18:24 | 阅读:37483 | 评论:0 | 标签:安全课堂 CCSP认证 云计算 信息安全认证 CISSP

老赵说安全系列:破解CISSP-AIO7模拟Exam DB后的反思

大家好, 我是热爱安全的老赵,喜欢琢磨,不将就,典型的理科男。 但真正全职从事安全岗位,是从2017年才开始的,其实是个嘎嘎新的“老new comer”。 最喜欢和大伙分享自己的学习和心得,期待和也同样热爱安全的朋友们一块交流。 这次的话题是“破解 CISSP-AIO7-模拟Exam DB后的反思”。
发布时间:2020-02-12 09:00 | 阅读:47190 | 评论:0 | 标签:数据安全 CISSP-AIO7 破解 CISSP AI

这些知识点你都了解了吗?CISSP-D2:资产安全

内容概述 资产安全知识域涵盖信息和信息资产在其生命周期中的安全保护,包括恰当的收集、分类、处置以及控制措施的选择和使用。本知识域的重要概念包括数据的所有权、隐私、数据安全控制和相关密码学的应用。安全和风险管理知识域包含了许多基本的信息安全概念、原则以及信息安全管理相关活动和方法。 资产安全知识域在CISSP CBK中包括(源自于:CBK5): 一、资产安全概念 数据管理必须遵循一套广泛适用于组织的原则和程序。完善的数据策略可以指导组织仅仅收集所需的信息、确保这些信息安全,并且在不需要的时候安全的销毁它们。
发布时间:2020-02-11 14:09 | 阅读:28793 | 评论:0 | 标签:安全管理 CISSP CISSP-D2 资产安全

世界100强企业的首席信息安全官是啥样?

首席信息安全官应该是什么样子?一般人会觉得这问题挺难回答,也的确是这样。但网络安全公司 Digital Guardian 的一份对《财富》100强企业首席信息安全官的研究给这个问题做了回答。毫不令人惊讶,首席安全官群体中绝大多数都是男性,占总数89%。教育方面,85%的人拥有学士以上学历,40%的人拥有硕士学历,仅有几个人拿到了博士和法律博士学位。首席安全官们学的专业里,最流行的三个是:商务、信息安全/信息技术、计算机科学。80%的信息安全官从事当前职位不超过五年。在认证方面,一半人拥有 CISSP 证书,22%的人拿到了 CISM 证书。
发布时间:2016-03-23 17:40 | 阅读:104492 | 评论:0 | 标签:牛闻牛评 CISSP CSO 首席信息安全官

四大最值得推荐的信息安全从业者认证

01.信息安全国际第一认证——CISSP这个俗称“双SS”的CISSP认证,已经具有二十多年的历史,绝对称得上是全球安全行业最权威认证,拥有十几万持证人员,在全球范围内得到业内的认可。甚至在移民澳大利亚、加拿大和欧洲一些国家时,拥有此证还可加分。无论是做安全产品、售前工程师,还是企业内部的安全管理人员,CISSP几乎可以说是必持之证。CISSP的涉及面很广,基本覆盖了安全的各个领域,而且会根据行业新形势的变化相应加入新的内容。如目前更新的教材中,移动安全、云安全、工控安全等技术全都包括其中。通过学习CISSP,可以与业内绝大多数人员的理念保持基本一致,标准化术语,从而极大的降低沟通成本。
发布时间:2016-03-02 15:40 | 阅读:144391 | 评论:0 | 标签:牛闻牛评 CISA CISP CISSP Security+ 信息安全 认证

企业安全需警惕:流行APP均遭恶意软件克隆

据应用安全公司Arxan的2014移动应用安全报告,安卓和iOS应用中大部分排名前100的付费应用和排名前20的免费应用都被恶意黑客克隆/感染了。这些黑客利用受感染的应用进入企业系统危害他们最宝贵的信息。别以为自带设备(BYOD)安全工具可以保护企业数据不受这些传说中的应用侵害。企业也不应该相信边界安全工具的防护能力。想挫败克隆手机应用需要结合多种方法和资源,而且即使这样,企业也无法保证百毒不侵。让我们看看网络渗透和资料破解是如何夺取合法APP的清白的吧:网络恶棍们逡巡整个互联网寻找最流行、被下载次数最多、最常用的,如愤怒的小鸟一类的手机应用。
发布时间:2015-03-09 13:05 | 阅读:115354 | 评论:0 | 标签:CISSP 安全培训 安全意识 牛管理 牛观点 APP克隆 BYOD

【CS论坛】合规不利于安全?

一直以来,许多企业和安全顾问比较认可的一个安全解决方案就是合规,符合标准规定至少在某种程度上就意味着安全。但有人认为,应该把两者看做并列关系,而不是因果关系。或说两者是互相影响的关系,安全可以有助于合规,合规可以是安全的副产品,但安全并不能自动成为合规的副产品。因为有时完全在合规的情况下,也可以是不安全的。合规是为了让企业达到一个既定的标准,表面上给了客户或股东一个满足整套安全标准的样子,其实是把每个人都拖到了一个最小的安全级别。
发布时间:2015-03-09 00:15 | 阅读:126998 | 评论:0 | 标签:CISSP 安全合规 安全策略 牛管理 牛观点 牛课程 信息安全管理 合规

如何分辨你是否易遭“疯怪”攻击?

本周二曝出的“疯怪”(Freak)漏洞,危及到大量网站和主流浏览器和操作系统。该漏洞影响SSL和TLS安全协议,可插入到用户和服务器之间,劫持流量,破解密钥,进行中间人攻击。但并不是所有人都易遭此漏洞利用的攻击,比如Windows系统的IE 11浏览器就对疯怪免疫。本文告诉你如何轻松的识别你的浏览器或经常访问的网站是否受到“疯怪”的影响。
发布时间:2015-03-06 20:55 | 阅读:102303 | 评论:0 | 标签:CISSP 牛观点 牛课程 freak 中间人攻击 疯怪

【安全课堂】五招潜移默化员工安全行为

就像处于青春叛逆期的少年,在面对网络安全问题时,有些员工并不想被人告诫什么该做什么不该做。太多的规矩会导致不经意间做出错误的决定,将公司数据至于网络威胁之中。相反,更加温和的方式则可以帮助他们做出自己更加明智的决定。但是,改变员工的行为并非易事。人是社会性动物,天生需要进行社交活动和分享信息。——阿里桑德罗·阿奎斯特,卡耐基梅隆大学IT与公共策略教授,美国最大的网络安全研究与教育机构卡耐基梅隆大学(CMU)网络实验室(CyLab)成员。据研究,自我表露可以触发脑神经机制中与奖励有关的部分,表明人类非常看重与他人分享想法与感受的能力。在一个实验中,实验体甚至想花钱获取一个披露自身信息的机会。
发布时间:2015-03-02 14:50 | 阅读:104618 | 评论:0 | 标签:CISSP 安全意识 牛管理 牛观点 信息安全意识 安全课堂

无需入侵搞定你 联想网站是这样被黑的

想象一下这个场景:如平常一般的工作日,踏入办公室,打开电脑,公司网站上挂的是黑客放置的消息和图片,推特上还有发送给公司的内部邮件的截屏。这就是昨天联想集团遭遇的状况——尽管没有任何证据表明这家PC巨头自身的服务器被攻陷了。联想最近预装到用户计算机上的快鱼(Superfish)广告软件被指易使用户遭受SSL攻击,先不管一场不可避免的集体诉讼官司,眼下官网上挥手的长发少年就又是一个丑闻。现在问题来了:公司官网是如何在未遭真实入侵的情况下眨眼间就形象大变呢?事实是:你的网站根本就不用遭到攻击才会沦陷到黑客手中。
发布时间:2015-02-28 12:10 | 阅读:141656 | 评论:0 | 标签:CISSP 牛技术 牛观点 牛课程 联想被黑 蜥蜴小组

别让离职员工带走你的数据

员工离职早已是司空见惯的事了。只要员工为公司工作,就很难完全确保公司的专属信息和敏感数据能够得到妥善保护。而对于离职员工乃至即将离职的员工,执行安全策略更是几乎不可能的事情。所以对于组织很重要的一点,就是要有相应的工具能够监控员工访问的数据并能够检查最近的活动,以确定是否有需要关注的事情。最近,风险投资公司美国德克萨斯州太平洋投资集团(TPG)与其前发言人亚当·莱文之间正在进行的官司,让心怀不满的员工离开公司时偷窃公司数据的场景引起了全美上下的关注。TPG起诉亚当·莱文,指控他在升职失利后偷窃了机密文件和其他敏感资料。
发布时间:2015-02-27 23:30 | 阅读:136402 | 评论:0 | 标签:CISSP 牛观点 信息安全意识 数据泄露

首席安全官向首席采购官学习的3件事

首席安全官(CSO)和首席信息官(CIO)的角色一直在发生剧烈变化,有时,想跟上时代的脚步,很难。由于技术对商业战略而言越来越重要,CSO和CIO的角色也随之发生剧烈转变。有时候,适应这种转变并非那么容易。但为什么不能换个角度思考呢?我们来看看,CSO和CIO能从首席采购官(CPO)的身上学到些什么。1. 建立合同模板很多CIO和CSO都要承担与外包商、承包商、临时雇员、软件厂商、数据中心、云服务提供商,以及其他厂商和供应商敲定合同的工作。CPO们浸淫此道已久,其中一个窍门就是建立一个条款用语数据库,这样在需要的时候就可以很方便地应用到合同中。这些条款用语需要与时俱进。
发布时间:2015-02-25 20:50 | 阅读:119049 | 评论:0 | 标签:CISSP 牛观点 CSO 安全策略

社会工程前线:专业渗透测试人员分享入侵员工头脑的真实故事

谈论企业信息安全风险的时候几乎没人关注社会工程攻击,这一点很是令人惊奇。毕竟,让毫无戒心的雇员点击链接,通常不是比在做了一定防护的网页服务器上找可供利用的漏洞要简单得多么?社会工程攻击可从各个方面入手:目标电子邮件、欺诈电话,或者装作服务技工或其他无关痛痒的人进入公司获取他们想要的IT资源和数据。但是,现实中,无论是由白帽子渗透团队还是由网络罪犯实施的社会工程攻击是怎样成功运作的呢?下面是一些安全专家和白帽子黑客的经验和案例,应对或实施社会工程攻击是他们工作的一部分。Rook安全公司技术顾问,数年来做过多次道德社会工程攻击的Chris Blow说:“社会工程攻击是我最喜欢的工作类型之一。
发布时间:2015-02-13 17:30 | 阅读:113596 | 评论:0 | 标签:CISSP 安全意识 牛观点 渗透测试 社会工程

遭遇勒索软件应该怎么办?从17岁中学生自杀说起

不久前,一位名叫约瑟夫·爱德华兹的17岁中学生因电脑感染了勒索软件而自杀的消息得到了确认,不禁令人唏嘘。爱德华兹的电脑被勒索软件Reveton搞得一团糟。这是一种常见类型的恶意软件,它锁定受害者电脑,并声称受害者因为浏览非法网站而受到当局执法部门的指控,要求缴纳罚款方能解除警方调查。在本案中,爱德华兹是一位患有神经发育失调孤独症的优等生,在他母亲看来,或许应该阻止了他去了解骗局的不法性,防止对他后续的行动产生影响。但即便如此,信息安全专业人士也不应该对这个悲剧无动于衷。
发布时间:2015-02-10 13:30 | 阅读:135858 | 评论:0 | 标签:CISSP 牛工具 ransomware 勒索软件

【CS论坛】网络空间威胁:理想与现实的差距

安全高管人员的观念与网络空间安全的现实差距,正在不断的扩大。这并非危言耸听。思科上周发布的《2015年度安全报告》显示,90%的接受调查者声称他们对未来的安全工作持乐观态度,与此相反的是54%的人报告他们的企业被入侵。实际上,现在的攻击者越来越狡猾,攻击手段也越来越高端精密。该调查报告的调查对象为9个国家的1700名信息安全官和安全管理人员。补丁灾难不到50%的人表示,企业使用诸如补丁更新、渗透测试、终端鉴定或漏洞扫描等标准安全工具,但威胁就在其中。拿补丁更新来说,浏览器的更新是经常性的,以防止最新的恶意或漏洞利用软件。但实际上只有10%的公司,其浏览器更新到了最新版。
发布时间:2015-02-04 18:05 | 阅读:135449 | 评论:0 | 标签:CISSP 安全合规 牛管理 牛观点 牛课程 Chromecst 信息安全管理

【安全课堂】七种武器把黑客拒之门外

黑客环伺,银行账号、密码、身份,你的个人信息统统是他们所需。感觉好像电脑随时处于网络大盗攻击威胁之下,令人如坐针毡。网络犯罪很复杂,但防范网络犯罪却十分简单。下面展示可以防范黑客的七种武器,将家里电脑、笔记本、智能手机、iPad统统锁定。第一种:安全网页浏览器火狐浏览器和谷歌Chrome浏览器,这两种网页浏览器是很好安全选择。目前70%的美国人都用其中之一。至于众多漏洞和安全隐患的IE嘛,其用户不是已经成为猖獗的网络攻击受害者,就是正在受害者的道路上沦落。第二种:网上专用信用卡用且只用一张信用卡进行网上购物。避免其他信用卡或储蓄卡置于网络风险之下。
发布时间:2015-02-03 16:55 | 阅读:98519 | 评论:0 | 标签:CISSP 安全策略 牛观点 安全防护知识

【CS讲坛】风险管理中的新维度:eVRM

网络罪犯正在把目光转向第三方供应商,以获得后门访问数据。因此,作为安全从业人员则需要重新考虑风险管理的内容了。虽然基于对供应商的风险管理问卷调查是一个普遍的有效方法,但并不足以应对新出现的与第三方有关的风险威胁。管理规则的变化和演变中的威胁环境无不催生着一种新型的风险管理手段:泛企业供应商风险管理(eVRM: enterprise-wide Vendor Risk Management)塔吉特和家得宝的数据泄露事件已经证明,由第三方供应商引发的系统和业务漏洞能够给企业带来灾难性的后果。因此,仅是简单地第三方供应商实施传统的风险管理机制已经不够。我们还需要保护与第三方相关的风险控制。
发布时间:2015-01-31 02:45 | 阅读:91540 | 评论:0 | 标签:CISSP 安全合规 安全策略 牛管理 牛观点 牛课程

ADS

标签云