第七域包括 16、17、18、19 章。
事件的预防和响应是安全运营管理的核心环节,对于组织有效识别、评估、控制和减轻网络安全威胁至关重要。这一过程是循环往复的,要求组织不断总结经验,优化策略,提升整体防护能力。通过持续的监测、评估与改进,组织能更好地应对日益复杂的网络安全挑战。
1、事件管理步骤。
CISSP 的“安全运营"域列出了事件管理步骤:检测、响应、 抑制、报告、恢复、补救和总结教训。检测并证明有事件发生后,第一响应是限制或控制事件的范围,同时保护证据。根据相关法律,组织可能需要把事件上报相关部门。如果个人身份信息(PII)受到影响,则还需要把情况通知相关个人。补救和总结教训阶段包括进行根本原因分析,以确定原因和提出解决方案,以防事件再次发生。
2、 基本预防措施。
基本预防措施可以防止许多事件发生。这些措施包括保持系统即时更新、移除或禁用不需要的协议和服务、使用入侵检测和预防系统、使用配备了最新签名的反恶意软件程序以及启用基千主机和网络的防火墙。
3、 白名单与黑名单的差异。
软件白名单提供一个得到批准的软件的列表,以防止未被列入名单的任何其他软件被安装到系统中。黑名单则提供一个未得到批准的软件的列表,以防止被列入名单的任何软件被安装到系统中。
4、 沙箱。
沙箱提供了一个隔离的环境,可阻止沙箱内运行的代码与沙箱外的元素交互。
5、第三方提供的安全服务。
第三方安全服务可帮助组织增强