CISSP学习笔记(中文)

  • 格式:docx
  • 大小:75.95 KB
  • 文档页数:21

注:此文档为我第一次看完all in one整理出来的,没什么框架,仅仅是一些知识点,里面很大部分内容来源于书中章节结尾的“快速提示”和文中的关键术语。望各位大大勿喷,有错误的地方还望包涵,谢谢!

第二章 信息安全治理与风险管理

1. 安全的目标是对数据和资源提供可用性,完整性和机密性保护

2. 脆弱性指的是缺少防护措施或防护措施存在能够被利用的缺陷

3. 威胁时某人或某物有意或无意地利用某种脆弱性并导致资产损失的可能性

4. 风险是威胁主体利用脆弱性的可能性及相应的潜在损失

5. 对策,也叫防护措施或者控制措施,能够缓解风险

6. 控制可以是行政性的,技术性的或物理性的,能够提供威慑性,防御性,检测性,纠正性或恢复性保护

7. 补偿控制室由于经济或业务功能性原因而采用的备选控制

8. CobiT是控制目标架构,允许IT治理

9. ISO/IEC2701是建立,实施,控制和改进信息安全管理体系的标准

10. ISO/IEC27000系列源自BS7799,是国际上有关如何开发和维护安全计划的最佳实践

11. 企业架构框架用来为特定开发架构和呈现视图信息

12. 信息安全管理体系(ISMS)是一套策略,流程和系统的集合,用来管理ISO/IEC27001中列出的信息资产所面临的风险

13. 企业安全架构是企业结构的额子集,描述当前和未来的安全过程,体系和子单元,以确保战略一致性

14. 蓝图是把技术集成进入业务流程的功能性定义

15. 企业架构框架用来构建最符合组织需求和业务驱动力的单一架构

16. Zachman是企业架构框架,SABSA是安全企业架构框架

17. COSO是治理模型,用来防止公司环境内出现欺诈

18. ITIL是一套IF服务管理的最佳实践

19. 六格西玛用来识别进程中的缺陷,从而对进程进行改进

20. 企业安全架构应该配合战略调整,业务启用,流程改进和安全有效性等

21. NIST800-53的控制类别分为:技术性的,管理性的和操作性的

22. OCTAVE是团队型的,通过研讨会而管理风险的方法,通常用于商业部门

23. 安全管理应该由顶而下进行(从高级管理层向下至普通职员)

24. 风险可以转移,规避,缓解和接受

25. 威胁X脆弱性X资产价值=总风险

26. 总风险X控制间隙=剩余风险

27. 风险分析有下列4个主要目标:1、确定资产及其价值;2、识别脆弱性和威胁;3、量化潜在威胁的肯呢关系与业务影响;4、在威胁的影响和对策的成本之间达到预算的平衡

28. 失效模式及影响分析(Failure Modes and Effect Analysis,FMEA)是一种确定功能,标识功能失效以及通过结构化过程评估失效原因和失效影响的方法

29. 故障树分析是一种有用的方法,用于检测复杂环境和系统中可能发生的故障

30. 定量风险分析会尝试为分析中的各个组件指派货币价值

31. 纯粹的定量风险分析是不可能的,因为定性项无法被精确量化

32. 在执行风险分析时,了解不确定性程度非常重要,因为它表明团队和管理层对于分析数据的信任程度 33. 自动化风险分析工具可以减少风险分析中的手动工作量。这些工具用于估计将来的预期损失,并计算各种不同安全措施的好处

34. 单一损失期望X年发生比率=年度损失期望(SLE X ARO=ALE)

35. 定性风险分析使用判断和直觉,而不是数字

36. 定性风险分析使富有经验的、接受过相关教育的人基于个人经验来评估威胁场景并估计每种威胁的可能性、潜在损失和严重程度

37. Dephi技术是一种群体决策方法,此时每位成员都可以进行匿名沟通

38. 选择正确的防护措施以减弱某个特定的风险时,必须对成本、功能和效用进行评估,并且需要执行成本/收益分析

39. 安全策略是高级管理层决定的一个全面声明,它规定安全在组织机构内所扮演的角色

40. 措施是为了达到特定目标而应当执行的详细的、分步骤的任务

41. 标准指定如何树勇硬件和软件产品,并且是强制性的

42. 基准是最小的安全级别

43. 指南是一些推荐和一般性方法,它们提供建议和灵活性

44. 工作轮换是一种检测欺诈的控制方法

45. 强制性休假是一种有助于检测欺诈活动的控制方法

46. 责任分离确保没有人能过完全控制一项活动或任务

47. 知识分割与双重控制是责任分析的两种方式

48. 数据分类将为数据分配优先级,从而确保提供合理的保护级别

49. 数据所有者指定数据的分类。数据看管员实施和维护控制措施,以强化集分类层级

50. 安全具有功能需求,它定义一个产品或系统的期望行为;此外还具有保证要求,它确定已实现产品或整个系统的可靠性

51. 管理层必须定义安全管理的范围和目的,提供支持,指定安全团队,委托责任,以及查看安全团队发现的结果

52. 风险管理团队应当包括来自组织机构内不同部门的人员,而不应该只是技术人员

53. 社会工程是非技术性攻击,指操纵某人向未授权的个人提供敏感数据

54. 个人身份信息(PII)是指身份数据的集合,可被用于身份偷窃和金融欺诈,因此必须高度保护

55. 安全治理是提供监督、问责和合规的框架

56. ISO/IEC27004:2009是信息安全变量管理的国际化标准

57. NIST800-55是信息安全绩效考核的标准。

第三章 访问控制

1. 主体访问客体所需的四个步骤:身份标识、身份验证、授权和可问责性

2. 逻辑性控制 = 技术性控制

3. 强身份验证有时也叫做多重身份验证,即使用两个或则会两个以上的方法进行验证。也可以使用三因素身份验证,即同时使用所有的验证方法。

4. 创建或发布安全身份应当包括3个关键方面:唯一性、非描述性和签发

5. 身份标识组件要求

向用户发布身份标识值时,应确保以下几点:

1、 每个值应当是唯一的,便于用户问责;

2、 应当遵循一个标准的命名方案;

3、 身份标识值不得描述用户的职位或任务;

4、 身份标识值不得在用户之间共享。 6. 交叉错误率(CER)= 相等错误率(Equal Error Rate,EER)

7. 单点登录技术的实例

1、Kerberos 使用KDC和票证的身份验证协议,基于对称密匙密码学。

2、 SESANM 使用PAS(特权属性服务器)和PAC(特权属性证书)的身份验证协议,基于对称和非对称密码学。

3、安全域 在相同安全策略下运行的资源,由相同的组管理。

4、目录服务 允许资源以标准化方式命名和允许访问控制被集中维护的一种技术。

5、廋客户端 依赖一台中央服务器进行访问控制、处理和存储的终端。

8. 安全标签 = 敏感度标签

9. 访问控制模型

1、 DAC 数据所有者决定谁能访问资源,ACL用于实施安全策略

2、 MAC 操作系统通过使用安全标签来实施系统的安全策略

3、RBAC 访问决策基于主体的角色和/或功能位置

10. 访问控制技术

访问控制技术用于支持访问控制模型

1、访问控制矩阵 表概述了主体和客体之间的访问关系

2、ACL 与客体绑定在一起,规定能够对其进行访问的主体

3、功能表 与主体绑定在一起,规定主体能够访问的客体

4、内容相关访问 访问决策基于数据的敏感度,而不仅仅取决于主体身份

5、上下文相关访问 访问决策基于情况的状态,而不仅仅取决于身份或内容敏感度

6、限制性接口 限制系统内用户的使用环境,从而限制了对客体的访问

7、规范型访问 通过预先定义的规则来限制主体的访问尝试

11. IDS类型

特征型IDS:

模式匹配,类似于防病毒软件

特征必须持续更新

无法标识新的攻击

两种类型:

1、模式匹配:比较数据包和特征

2、状态匹配:立即将模式和几个活动进行比较

异常型IDS:

了解某个环境“正常”活动的行为型系统

能够检测新的攻击

也称为行为型或启发型IDS

三种类型:

统计异常型:创建一个“正常”活动概述文件,并将各个活动与这个文件相匹配

协议异常型:标识在公共边界之外使用的协议

流量异常型:标识不平常的网络流量

规则型IDS:

在专家系统内使用IF/THEN规则型编程

使用一个具有人工智能特点的专家系统 规则越复杂,软件和硬件处理要求就越苛刻

无法检测新的攻击

应用程序型ID

12. 访问是主体和客体之间的信息传输

13. 主体是请求访问客体的主动实体,客体是被访问的被动实体

14. 主体可以是一个用户、程序或进程

15. 能够提供机密性的安全机制包括加密、逻辑性和物理访问控制、传输协议、数据库视图和流量控制

16. 身份管理解决方案包括目录、WEB访问管理、密码管理、遗留单点登录、账户管理和配置文件更新

17. 密码同步降低了保留不同系统的各种密码的复杂性

18. 自助式密码重设通过允许用户重新设置其密码来减少服务台收到的电话数量

19. 辅助式密码重设为服务台减少有关密码问题的决策过程

20. IdM目录包含所有资源信息、用户属性、授权配置文件角色以及可能的访问控制策略,以便其他身份管理应用程序通过一个集中式资源来收集这些信息

21. 提供IdM解决方案的账户管理产品常常采用自动化工作流程组件

22. 用户指配指的是为响应业务过程而创建、维护和删除存在于一个或多个系统、目录或应用程序中的用户对象与属性

23. 人力资源数据库常被认为是用户实体的权威来源,因为这是最早创建并正确维护用户实体的地方

24. 访问控制模型主要有三种:自主、强制型和非自主访问控制

25. 自主访问控制(Discretionary Access Control,DAC)使数据库所有者能够指定哪些主体可以访问他们所有的文件和资源

26. 强制访问控制(Mandatory Access Control,MAC)使用了安全标签系统。用户具有访问许可,资源具有包含数据分类的标签。MAC通过比较两者来决定访问控制能力

27. 角色型访问控制基于用户在公司内部的角色和职责来访问资源

28. 限制性接口主要有三种:菜单和外壳。数据库视图以及物理限制接口

29. 访问控制列表和客体绑定在一起,并且指示什么样的主体才能访问这些客体

30. 功能表和主体绑定在一起,并且列出主体能够访问什么样的客体

31. 访问控制的管理方式主要有两种:集中式和分散式

32. 集中式管理访问控制技术的示例包括RADIUS、TACACS+和Diameter

33. 分散式管理的示例是对等工作组

34. 行政管理性控制的示例包括安全策略、人员控制、监管结构、安全意识培训和测试

35. 物理性控制的示例包括网络分段、周边安全、计算机控制、工作区分隔、数据备份和布线

36. 技术性控制的示例包括系统访问、网络架构、网络访问、加密和协议以及审计

37. 访问控制机制提供下列的一个或多个功能包括:预防、检测、纠正、威慑、恢复、补偿或指令

38. 为了使主体能能够访问资源,主体必须进行身份标识、身份验证和授权,并且其动作应当可被问责

39. 生物测定学、密码、密码短语、感知密码、一次性密码或令牌都可以实现身份验证

40. 生物测定学中的1类错误拒绝一个已获授权的个人;2类错误意味着冒名顶替者通过了身份验证