cissp_studyguide中文版
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
传输日志(Transmission Logging)
传输错误更正(Transmission Error Correction)
续传控制(Retransmission Controls)
E-MAIL安全
(Facsimile Security)
安全语音通信
安全范围和如何安全政策到控制其范围(Security Boundaries and How to translate security policy to controls)
Certified
Information
System Security
Professional
CISSP证书
公共知识体系学习指南
如何使用本学习指南
本指南针对那些对由CISSP认证感兴趣的安全实践人员开发。它分为三个部分,第一部分是介绍,本解释了CBK,它是CISSP认证考试的基础。此外,CBK也是对由(ISC)2TM提供的CBK复习研讨会(CKBReview Seminar)的基础,也是对想在谈论CISSP证书考试之前正式研究CBK的个体的基础。
当前版本的CBK已更新,由于美国政府的法律和政策删除了一些特殊的参考,增加了国际标准的参考。CBK被组织成十个领域和多个子领域。本学习指南有对CBK中的领域的一节每一,用来帮助应试者准备CISSP认证考试。这十个领域是:
1.访问控制系统和方法
2.
3.电信和网络安全
4.
5.安全管理准则
6.
7.应用和系统开发安全
传输层安全协议(SSL)
应用层安全协议(S/MIME,SSL,SET,PEM)
Challenge Handshake Authentication Protocol(CHAP)和Password Authentication Protocol(PAP)
点到点协议(PPP)/串行线路互联网协议(SLIP)
访问权利和限制许可
建立(认可)
文件和数据拥有人,管理人和用户
最小特权准则(Principle of Least Privilege)
责任和义务分离(Segregation of Duties and Responsibilities)
维护
撤消
访问控制模型
Bell-LaPadula
Biba
Clark and Wilson
应试者应完全清楚系统开发过程,系统生存期,应用控制,改变控制,以及用于确保数据和应用完整性,安全和可用性的数据集合,数据发掘,基于知识的系统,程序界面和概念念中的安全和控制。
服务
HDLC
帧中继
SDLC
ISDN
X.25
防护,侦测和纠正错误,以维护通过网络事务的完整性,可用性和机密性的通信安全技术
隧道(Tunneling)
虚拟私用网络(VPN)
网络监控和Packet Sniffers
网络地址翻译(Network Address Translation)
透明度
全部无用信息
记录顺序检查(Record Sequence Checking)
安全管理计划
7、应用和系统源自文库发安全(Applications & Systems Development Security)
8、
概要
应用和系统开发安全的控制,以及一些控制,包含在系统和应用软件和开发中使用中步骤。应用涉及代理(agents),小程序(applets),软件,数据库,数据集合,以及基于知识的系统。这些应用可能在分布式或集中环境中使用。
风险管理
风险管理原则
威胁和弱点
确定(Probability Determination)
资产评估
风险评估工具和技术
定性和定量的上的风险评估方法
单一事件损失(Single Occurrence Loss)
年度损失期望计算(Annual Loss Expectancy (ALE) Calculations)
分类安排的目标(Objective of a Classification Scheme)
通过什么样的数据分类标准分类
商业数据分类
政府数据分类
信息/数据
价值/估价(Worth/Valuation)
收集和分析技术
行业佣政策和惯例(Employment Policies and Practices)
背景检查/安全调查(Background Checks/Security Clearances)
公共知识体系(CBK)
一般而言职业是特征化的,部分上讲,通过该职业的从业由一种人员共享的,的知识主体他们在工作中应用刻划。它通常是抽象的和稳定的。它独立于必要的技能,工作,行为或技术。CBK语言会专业人员之间的交流。这样一个CBK的存在是必要的,但并不足以证明有资格的专业人员。
CBK委员会由(ISC)2TM执行董事会,对定期为信息安全专业的知识体系进行更新。委员会成员从相关领域中最有经验的和知名的领军人物中选取。委员会鉴定该知识体的边界和主题领域。在决定CBK中应包含什么内容时,决定CBK包含什么委员会的依据是依赖于知识的深度和广度以及中委员对知识的期望。就是,如果委员们认同其它安全专业人员的信息安全领域的某些知识,同时并不认为这些知识不在此领域内,则这些知识就确定为CBK的一部分。但是,如果通常一些特殊的知识认为不在信息安全专业内,则它的知识不包含在CBK内。
攻击特征标识(Attack Signature Identification)
入侵激活响应(Intrusion Reactive Response)
不规则标识(Anomaly Identification)
入侵响应(Intrusion Response)
报警(Alarms)
发信号(Signals)
(Audit Trails)检查入侵痕迹
网络监控和Packet Sniffers
Internet/Intranet/Extranet
防火墙
路由器
开关
网关(Gateways)
代理(Proxies)
协议
Transmission Control Protocol/Internet Protocol(TCP/IP)
网络层安全协议(IPSEC,SKIP,SWIPE)
令牌(token)
门票(ticket)
一次性口令
基于令牌(智能卡,密钥卡)
管理
单点登录唯一签名(Single Sign On,SSO)
访问控制方法和应用
集中/远程鉴别访问控制
RADIUS
TACACS
分散访问控制(Decentralized Access Control)
领域
信用
文件和数据所有者和管理人地位
侵害报告(Violation Reports)
纠正(Corrections)
穿透测试(Penetration Testing)
3、电信和网络安全
4、
概述
电信和网络安全领域包含结构,传输方法,传输格式和用于为个人及公共通信网络媒体的传输提供完整性、可用性、鉴别和机密性安全(Security Measure)。
行业许可佣(Employment Agreement)
解雇用和解雇实践(Hiring and Termination Practices)
职业描述
任务和职责
义务和职责分离(Separation of Duties and Responsibilities)
职业转换(Job Rotations)
政策,标准,方针和过程
应试者应弄清楚通信和网络安全,它涉及语音通信;数据通信包括本地,广域和远程访问;Inernet/Intranet/Extranet包括防火墙,路由和TCP/IP;以及护侦通信安全管理和技术包括预防,检测和纠正手段。
知识主要领域
ISO/OSI
物理层
数据链接层
网络层
传输层
会话层
表示层
应用层
通信和网络安全
应试者应该完全清楚访问控制的概念,方法和在企业计算机系统中核心的和非核心环境的应用。访问控制技术,侦测和纠正尺度应当研究用以明晰潜在风险,弱点和暴露。
关键知识域
责任
访问控制技术
自由访问控制(Discretionary Access Control)
强制访问控制(Mandatory Access Control)
第二部分包括十个CBK领域。第一领域包含一个概要和主要知识范畴。
第三部分提供来发展证书考试的参考目录。根据技术和方法的变化,此参考化同时,此参考的且并不试图包揽一切。本部分的目的提供参考类型的例子,它们也许对CISS证书考试的准备工作有帮助,并且它不是由(ISC)2TM或它的执行委员会直接或间接发行这些参考的。
(Lattice-based Access Control)
基于规则的访问控制(Rule-based Access Control)
基于角色的访问控制(Role-based Access Control)
访问控制列表(Access Control Lists)
访问控制管理
帐户管理
帐户,登录和日志管理日记(Journal Monitoring)
知识主要领域
安全管理概念和原则
秘密
机密性
完整性
可用性
委托
鉴定和鉴别
责任
抗抵赖
文档(Documentation)
审查
CIA三元组
保护机构
分层
抽象
数据隐藏
加密
改变控制/管理(Change Control/Management)
硬件设置
系统和应用软件
改变控制过程
数据分类(Data Classification)
对策选择(Countermeasure Selection)(Countermeasure Evaluation)
风险降低/分配/接受(Risk Reduction/Assignment/Acceptance)
任务和职责
管理
所有者
管理者
用户
IS/IT功能
其它个体(other individual)
安全意识训练
攻击方法
强力攻击(Brute Force)
(Denial of Service)
字典攻击
欺骗攻击(Spoofing)
中间人攻击(Man-in-the-middle attacks)
垃圾邮件(Spamming)
嗅探(Sniffers)
Crackers
监控
侦察入侵
入侵类型
预防入侵(标识,鉴别)
侦察入侵(数据提取,取样,认事,通行)
风险管理是对不确定事件和风险相关损失的鉴定,度量,控制和最小化的损失。它包括所有的安全检查,风险分析;安全措施的选择和评估,费用收获分析,管理决策安全的选择和评估,定,安全措施安全应用和有效性的检查。
应试者应弄清楚计划,组织和在鉴定和安全组织的信息资产的每一部分的作有用;陈述管理概念的政策和进展和使用,特殊课题的地位和方针,标准和过程的使用以支持这些政策;安全意识训练以使职员懂得信息安全的重要性,它的意义与它们的地位相关的特殊的与安全相关的设备;机密性,所有者和私有的信息的重要性;雇用协议;职员录用和解雇准则;和风险管理准则和工具以鉴定,评估,降低对针对特殊资源的风险。
网络攻击和对策
ARP
强力攻击
蠕虫(worms)
扩散(flooding)
窃听(eavesdropping)
(匿名)(sniffers)
Spamming
PBX欺骗和滥用(PBX Fraud and Abuse)
5、安全管理准则
6、
概要
安全管理承担组织信息资产的识别,以及那些发展的鉴定,文档和政策,标准,过程和方针的化的应用以确保机密性,完整性和可用性。使用管理工具(如数据分类,风险评估和风险人析)来识别脉络,分资产,评估脆弱性以确保有效的安全控制应用。
8.
9.密码学
10.
11.安全体系结构和模型
12.
13.操作安全
14.
15.业务连续性计划(BCP)和空难性恢复计划(DRP)
16.
17.法律,调查研究和道德规范
18.
19.物理安全
20.
公共知识体系领域
1、访问控制系统和方法
2、
概要
访问控制是构成集合,它允许系统管理员行使指导和限制系统行为,使用和内容的影响。它允许管理设置用户可以做什么,他们可以访问什么资源和他们可以在系统上执行什么操作。
物理介质特征(如,光纤/同轴电缆/双绞线)
网络拓朴(例如,星型/总线/环型)
IPSec鉴别和机密性
TCP/IP特性和弱点
局域网
广域网
远程访问/远程办公(Telecommuting)技术
安全远程过程调用(Secure Remote Procedure call)(S-RPC)
RADIUS/TACACS(Remote Access Dial-In User System/Terminal Access Control Access System)
无干扰模型(Non-interference Model)
(State Machine Model)
访问矩阵模型(Access Matrix Model)
信息流动模型(Information Flow Model)
鉴定和鉴别技术
基于知识的口令,个人标识码(PINs),短语
口令
选择
管理
控制
基于特征(生物测定学,行为)
传输错误更正(Transmission Error Correction)
续传控制(Retransmission Controls)
E-MAIL安全
(Facsimile Security)
安全语音通信
安全范围和如何安全政策到控制其范围(Security Boundaries and How to translate security policy to controls)
Certified
Information
System Security
Professional
CISSP证书
公共知识体系学习指南
如何使用本学习指南
本指南针对那些对由CISSP认证感兴趣的安全实践人员开发。它分为三个部分,第一部分是介绍,本解释了CBK,它是CISSP认证考试的基础。此外,CBK也是对由(ISC)2TM提供的CBK复习研讨会(CKBReview Seminar)的基础,也是对想在谈论CISSP证书考试之前正式研究CBK的个体的基础。
当前版本的CBK已更新,由于美国政府的法律和政策删除了一些特殊的参考,增加了国际标准的参考。CBK被组织成十个领域和多个子领域。本学习指南有对CBK中的领域的一节每一,用来帮助应试者准备CISSP认证考试。这十个领域是:
1.访问控制系统和方法
2.
3.电信和网络安全
4.
5.安全管理准则
6.
7.应用和系统开发安全
传输层安全协议(SSL)
应用层安全协议(S/MIME,SSL,SET,PEM)
Challenge Handshake Authentication Protocol(CHAP)和Password Authentication Protocol(PAP)
点到点协议(PPP)/串行线路互联网协议(SLIP)
访问权利和限制许可
建立(认可)
文件和数据拥有人,管理人和用户
最小特权准则(Principle of Least Privilege)
责任和义务分离(Segregation of Duties and Responsibilities)
维护
撤消
访问控制模型
Bell-LaPadula
Biba
Clark and Wilson
应试者应完全清楚系统开发过程,系统生存期,应用控制,改变控制,以及用于确保数据和应用完整性,安全和可用性的数据集合,数据发掘,基于知识的系统,程序界面和概念念中的安全和控制。
服务
HDLC
帧中继
SDLC
ISDN
X.25
防护,侦测和纠正错误,以维护通过网络事务的完整性,可用性和机密性的通信安全技术
隧道(Tunneling)
虚拟私用网络(VPN)
网络监控和Packet Sniffers
网络地址翻译(Network Address Translation)
透明度
全部无用信息
记录顺序检查(Record Sequence Checking)
安全管理计划
7、应用和系统源自文库发安全(Applications & Systems Development Security)
8、
概要
应用和系统开发安全的控制,以及一些控制,包含在系统和应用软件和开发中使用中步骤。应用涉及代理(agents),小程序(applets),软件,数据库,数据集合,以及基于知识的系统。这些应用可能在分布式或集中环境中使用。
风险管理
风险管理原则
威胁和弱点
确定(Probability Determination)
资产评估
风险评估工具和技术
定性和定量的上的风险评估方法
单一事件损失(Single Occurrence Loss)
年度损失期望计算(Annual Loss Expectancy (ALE) Calculations)
分类安排的目标(Objective of a Classification Scheme)
通过什么样的数据分类标准分类
商业数据分类
政府数据分类
信息/数据
价值/估价(Worth/Valuation)
收集和分析技术
行业佣政策和惯例(Employment Policies and Practices)
背景检查/安全调查(Background Checks/Security Clearances)
公共知识体系(CBK)
一般而言职业是特征化的,部分上讲,通过该职业的从业由一种人员共享的,的知识主体他们在工作中应用刻划。它通常是抽象的和稳定的。它独立于必要的技能,工作,行为或技术。CBK语言会专业人员之间的交流。这样一个CBK的存在是必要的,但并不足以证明有资格的专业人员。
CBK委员会由(ISC)2TM执行董事会,对定期为信息安全专业的知识体系进行更新。委员会成员从相关领域中最有经验的和知名的领军人物中选取。委员会鉴定该知识体的边界和主题领域。在决定CBK中应包含什么内容时,决定CBK包含什么委员会的依据是依赖于知识的深度和广度以及中委员对知识的期望。就是,如果委员们认同其它安全专业人员的信息安全领域的某些知识,同时并不认为这些知识不在此领域内,则这些知识就确定为CBK的一部分。但是,如果通常一些特殊的知识认为不在信息安全专业内,则它的知识不包含在CBK内。
攻击特征标识(Attack Signature Identification)
入侵激活响应(Intrusion Reactive Response)
不规则标识(Anomaly Identification)
入侵响应(Intrusion Response)
报警(Alarms)
发信号(Signals)
(Audit Trails)检查入侵痕迹
网络监控和Packet Sniffers
Internet/Intranet/Extranet
防火墙
路由器
开关
网关(Gateways)
代理(Proxies)
协议
Transmission Control Protocol/Internet Protocol(TCP/IP)
网络层安全协议(IPSEC,SKIP,SWIPE)
令牌(token)
门票(ticket)
一次性口令
基于令牌(智能卡,密钥卡)
管理
单点登录唯一签名(Single Sign On,SSO)
访问控制方法和应用
集中/远程鉴别访问控制
RADIUS
TACACS
分散访问控制(Decentralized Access Control)
领域
信用
文件和数据所有者和管理人地位
侵害报告(Violation Reports)
纠正(Corrections)
穿透测试(Penetration Testing)
3、电信和网络安全
4、
概述
电信和网络安全领域包含结构,传输方法,传输格式和用于为个人及公共通信网络媒体的传输提供完整性、可用性、鉴别和机密性安全(Security Measure)。
行业许可佣(Employment Agreement)
解雇用和解雇实践(Hiring and Termination Practices)
职业描述
任务和职责
义务和职责分离(Separation of Duties and Responsibilities)
职业转换(Job Rotations)
政策,标准,方针和过程
应试者应弄清楚通信和网络安全,它涉及语音通信;数据通信包括本地,广域和远程访问;Inernet/Intranet/Extranet包括防火墙,路由和TCP/IP;以及护侦通信安全管理和技术包括预防,检测和纠正手段。
知识主要领域
ISO/OSI
物理层
数据链接层
网络层
传输层
会话层
表示层
应用层
通信和网络安全
应试者应该完全清楚访问控制的概念,方法和在企业计算机系统中核心的和非核心环境的应用。访问控制技术,侦测和纠正尺度应当研究用以明晰潜在风险,弱点和暴露。
关键知识域
责任
访问控制技术
自由访问控制(Discretionary Access Control)
强制访问控制(Mandatory Access Control)
第二部分包括十个CBK领域。第一领域包含一个概要和主要知识范畴。
第三部分提供来发展证书考试的参考目录。根据技术和方法的变化,此参考化同时,此参考的且并不试图包揽一切。本部分的目的提供参考类型的例子,它们也许对CISS证书考试的准备工作有帮助,并且它不是由(ISC)2TM或它的执行委员会直接或间接发行这些参考的。
(Lattice-based Access Control)
基于规则的访问控制(Rule-based Access Control)
基于角色的访问控制(Role-based Access Control)
访问控制列表(Access Control Lists)
访问控制管理
帐户管理
帐户,登录和日志管理日记(Journal Monitoring)
知识主要领域
安全管理概念和原则
秘密
机密性
完整性
可用性
委托
鉴定和鉴别
责任
抗抵赖
文档(Documentation)
审查
CIA三元组
保护机构
分层
抽象
数据隐藏
加密
改变控制/管理(Change Control/Management)
硬件设置
系统和应用软件
改变控制过程
数据分类(Data Classification)
对策选择(Countermeasure Selection)(Countermeasure Evaluation)
风险降低/分配/接受(Risk Reduction/Assignment/Acceptance)
任务和职责
管理
所有者
管理者
用户
IS/IT功能
其它个体(other individual)
安全意识训练
攻击方法
强力攻击(Brute Force)
(Denial of Service)
字典攻击
欺骗攻击(Spoofing)
中间人攻击(Man-in-the-middle attacks)
垃圾邮件(Spamming)
嗅探(Sniffers)
Crackers
监控
侦察入侵
入侵类型
预防入侵(标识,鉴别)
侦察入侵(数据提取,取样,认事,通行)
风险管理是对不确定事件和风险相关损失的鉴定,度量,控制和最小化的损失。它包括所有的安全检查,风险分析;安全措施的选择和评估,费用收获分析,管理决策安全的选择和评估,定,安全措施安全应用和有效性的检查。
应试者应弄清楚计划,组织和在鉴定和安全组织的信息资产的每一部分的作有用;陈述管理概念的政策和进展和使用,特殊课题的地位和方针,标准和过程的使用以支持这些政策;安全意识训练以使职员懂得信息安全的重要性,它的意义与它们的地位相关的特殊的与安全相关的设备;机密性,所有者和私有的信息的重要性;雇用协议;职员录用和解雇准则;和风险管理准则和工具以鉴定,评估,降低对针对特殊资源的风险。
网络攻击和对策
ARP
强力攻击
蠕虫(worms)
扩散(flooding)
窃听(eavesdropping)
(匿名)(sniffers)
Spamming
PBX欺骗和滥用(PBX Fraud and Abuse)
5、安全管理准则
6、
概要
安全管理承担组织信息资产的识别,以及那些发展的鉴定,文档和政策,标准,过程和方针的化的应用以确保机密性,完整性和可用性。使用管理工具(如数据分类,风险评估和风险人析)来识别脉络,分资产,评估脆弱性以确保有效的安全控制应用。
8.
9.密码学
10.
11.安全体系结构和模型
12.
13.操作安全
14.
15.业务连续性计划(BCP)和空难性恢复计划(DRP)
16.
17.法律,调查研究和道德规范
18.
19.物理安全
20.
公共知识体系领域
1、访问控制系统和方法
2、
概要
访问控制是构成集合,它允许系统管理员行使指导和限制系统行为,使用和内容的影响。它允许管理设置用户可以做什么,他们可以访问什么资源和他们可以在系统上执行什么操作。
物理介质特征(如,光纤/同轴电缆/双绞线)
网络拓朴(例如,星型/总线/环型)
IPSec鉴别和机密性
TCP/IP特性和弱点
局域网
广域网
远程访问/远程办公(Telecommuting)技术
安全远程过程调用(Secure Remote Procedure call)(S-RPC)
RADIUS/TACACS(Remote Access Dial-In User System/Terminal Access Control Access System)
无干扰模型(Non-interference Model)
(State Machine Model)
访问矩阵模型(Access Matrix Model)
信息流动模型(Information Flow Model)
鉴定和鉴别技术
基于知识的口令,个人标识码(PINs),短语
口令
选择
管理
控制
基于特征(生物测定学,行为)