CISSP培训笔记.doc
《CISSP培训笔记.doc》由会员分享,可在线阅读,更多相关《CISSP培训笔记.doc(114页珍藏版)》请在咨信网上搜索。
1、CISSP 最新学习笔记 此文是我班2014年高分考生袁同学在准备CISSP考试过程中的边看书边整理的一个学习笔记,整理的非常细致到位,特借此供各位备考学员参考。第1章节到第10章节主要是学习all in one第六版资料时笔记;第11章到18章节主要是在学习完all in one后做cccure网站上面练习题后,补充的知识点;第19章到25章节为学习officeial guide教材后补充的知识点;最后第26章是总复习时作actual练习题时补充的知识点。在看书3遍all in one后,主要补充学习了pre guide的学习笔记,cccure练习题和official guide进行知识点的
2、补充,最后总复习阶段(1周左右)以本复习笔记为基础,配合actual练习题进行。目 录一. Chapter 3:Security management practices61.1 安全管理61.2 风险管理71.3 Policies、standards、baselines、guidelines、procedures81.4 Classification91.5 employee10二. chapter 4:Access Control112.1 Identification, Authentication(= Validating), and Authorization(标识、认证、授权)11
3、2.2 Access Control Models(访问控制模型)132.3 Access Control Techniques and Technologies(方法和技术)142.4 Access Control Administration(访问控制管理)142.5 Access Control Methods(访问控制方法)152.6 Access Control Type162.7 access control practices162.8 Access Control Monitoring162.9 A few threats to access control17三. Chapt
4、er 5:Security Models and Architecture183.1 Computer Architecture183.2 Operation System Architecture213.3 System architecture213.4 安全模型223.5 运行的安全模式security modes of operation243.6 Systems Evaluation Methods243.7 A Few Threats to Security Models and Architectures25四. Chapter 6:Physical Security274.1
5、Planning process274.2 Protecting assets294.3 Internal Support Systems294.4 Environmental issues304.5 Perimeter security32五. Chapter 7:Telecommunications and Networking Security345.1 开放系统模型345.2 TCP/IP355.3 Type of transmission365.4 LAN Networking365.5 介质访问技术Media access technology375.6 LAN Protocols
6、385.7 Networking Device385.8 Networking services and protocols405.9 MAN、WAN415.10 远程访问remote access445.11 wireless technologies45六. Chapter 8:Cryptography486.1 加密方法methods of encryption496.2 对称算法的类型Type of symmetric methods506.3 非对称算法的类型516.4 Message Integrity hash MD5 SHA526.5 PKIPublic Key infrast
7、ructure546.6 链路加密和端到端加密546.7 E-mail标准546.8 Internet security556.9 Attack56七. Chapter 9:Business Continuity Planning577.1 Make BCP Part of the Security Policy and Program587.2 业务连续性计划的需求587.3 Recovery Strategies恢复策略597.4 Developing Goals for the Plans617.5 testing and revising the plan测试和修改计划61八. Cha
8、pter 10:Law, investigation and Ethics638.1 Computer Crime Investigations64九. Chapter 11:Application and system development669.1 Database Management669.2 System Development689.3 Application Development Methodology719.4 攻击72十. Chapter 12:Operation Security7410.1 Security Operations and Product Evaluat
9、ion7410.2 Network and Resource Availability7610.3 Email security7610.4 Hack and Attack Methods77十一. Cccure security management79十二. Cccure AC80十三. Cccure CPU82十四. Cccure AP84十五. Cccure encryption86十六. Cccure telecommunication88十七. Cccure OS运行安全89十八. Cccure 法律91十九. official guide 法律92二十. official gui
10、de BCP93二十一. official guide 安全管理93二十二. official guide AP94二十三. official guide密码96二十四. official guide Network97二十五. official guide OS9925.1 Information Protection Environment99二十六. Actual10026.1 One day10026.2 two10426.3 three108一. Chapter 3:Security management practices记住几个公式 P65ARO是年发生概率,10年发生一次,则A
11、RO1*0.1SLE是发生一次造成的损失,如37500,那么ALE0.1*375003750EF(暴露因素)*sset value = SLESLE*ARO=ALE(年损失期望)Data owner等多种角色的职责商业公司和政府的集中分级(4、5)1.1 安全管理1. 安全管理需要自顶向下(Top-Down approach)的来进行,高层引起足够的重视,提供足够的支持、资金、时间和资源。In contrast, bottom-up approach。P482. 安全评估分为定性和定量评估,方法有:人员访谈、问卷调查,技术评估等等。解决风险的4种办法:降低风险reduce、接受风险accept
12、、转嫁风险transfer、和拒绝风险reject。3. 安全控制有一个说法是,三种类型的控制,物理、技术和管理should work in a synergistic manner to protect a companys assets.1) 物理:cd-rom,优盘,警卫,环境,IDS,cctv2) 技术:acl、加密、安全设备、授权与鉴别3) 管理:策略、标准、方针、screening personnel、培训1.2 风险管理4. 弱点、威胁、风险、暴露、对策1) Vulnerability:weakness,have unauthorized access to resources.
13、2) Threat:threat agent,威胁因素,hacker、worm3) Risk:threat利用vulnerability造成危害的一种可能性。4) Exposure:instance,一次威胁因素造成loss的实例。5) Countermeasure(safeguard):降低潜在的风险risk。举例:主机系统没有打上相关的系统补丁(vulnerability),有一个针对此漏洞最新的蠕虫病毒(threat agent),网络没有部署边界安全系统,蠕虫渗透网络引起了风险(risk),直接导致了主机的性能降低、死机。这整个过程就是一次exposure。然后安装补丁进行更新(saf
14、eguard)。5. Information Risk Management风险管理是一个过程:是识别风险、评估风险、将之降低到一个可接受的程度识别风险级别,运用合适的机制来维持风险在此程度 P536. Risk Analysis4个主要目标P551) 识别资产和资产的价值2) 识别风险和威胁3) 量化潜在风险对商业影响的可能性4) 预算平衡在威胁影响和对策的花费之间7. Risk Analysis Team最好要有高层管理人员参加,而且最好有来自各个部门的成员组成。如果没也需要面对面与他们沟通,了解他们的运作情况。P568. 风险管理的一些重要因素:P56-581) 管理层支持;2) tea
15、m由来自于不同的团队;3) 识别资产的价值;4) 识别威胁;5) 还需要关注潜在和延迟的损失;6) 下面就需要用定性或定量的方式来评估风险了。9. quantitative and qualitative P63定量和定性10. Step of a Risk analysis P641) 给资产赋值2) 估计每项风险的潜在损失3) 进行威胁分析4) 计算每项风险的全部潜在损失ALE,EF*asset value = SLE,SLE*ARO=ALE5) Reduce、transfer、accept the Risk、ruject11. 风险分析的成果 P661) 资产赋值2) 理解威胁的特征和可
16、能性3) 每种威胁发生的可能性4) 每种威胁在一年内发生对公司造成的潜在损失5) 建议安全防护12. 定性评估:Delphi, brainstorming, storyboarding, focus groups, surveys, questionnaires,checklists, one-on-one meetings, and interviews P6613. Delphi技术(定性评估)让每个人都拿出自己真实的观点,不被人影响。14. Risk delayed loss and/or damage:从被破坏到恢复到正常的损失。15. 风险保护的步骤1) 明确需要保护的资产及范围,花
17、费的money2) 风险分析和评估(选择最合适的safeguard,功能;)3) 选择合适的措施和执行(评估safeguard的成本,并做比较;)16. Residual Risk P72Total Risk=threats * vulnerability * asset valueResidual Risk=(threats * vulnerability * asset value) * control gap1.3 Policies、standards、baselines、guidelines、procedures策略policies是提高信息安全,支持的标准standards是数据用高
18、度加密AES,程序procedurces是一步一步怎么来进行,方针guidelines是指导,建议作哪些(要求审计,建议审计ID、口令、事件等信息)。P45。baseline(clipping level)是最低级别的安全。安全策略提供基础,过程、标准、指导提供安全框架。策略是战略目标,过程、标准、指导等是战术目标。P7817. Policies:1) 最高的战略目标,email policy,那些能看不能看。如何使用数据库,如何保护数据库等等。P762) The policy provides the foundation.The procedures, standards, and gui
19、delines provide the security framework.plicy是基础,程序、标准、方针是框架。P773) 三类:regulatory规章性的、advisory建议性的、informative提示性的(给信息)P7718. standards:is mandatory、compulsory、enforce,强制P7819. baselines:最低安全标准 P7820. guidelines:指导行动,建议具体作哪些,如审计哪些内容(登录ID、时间等)。P7921. procedures:step by step,spell out(讲清楚)策略、标准等具体怎么做。P7
20、91.4 Classification22. 先分级,然后划分安全域23. Security is not a product, its a process P9124. 不同的人有不同的责任responsibility1) Manangement对资产的安全最终负责2) Data owner: 一般是管理者,负责,进行数据的定级,定义安全机制,哪些人可以访问等。委派custodian对数据进行保护。P893) Data custodian:对数据进行维护和保护,一般的IT department4) System owner:关注系统,向data owner汇报5) Supervisor:发密
21、码,解雇收回密码6) User:routinely7) management管理者的工作是确定个人的安全需求,如何授权;security administrator是具体执行这些需求。1.5 employee25. Separation of duties有两个方面:split knowledge(一个人知道整体的一部分) and dual control(一个人知道一个整体,需要多个确认才能ok,发射nuclear)P9226. rotation of duties,岗位轮换,mandatory vacation P9327. 培训三类:管理者、一般雇员、技术雇员二. chapter 4:A
22、ccess Control1. access control:physical、technical、administrative。subject and object2. Three principles:1) Availability:stockbroker,accuracy、timely,no privacy。2) Integrity:美国总统的邮件被修改。3) Confidentiality3. 一次性口令,可以同步认证,也可以异步认证4. 一般来说一个标准的权限管理过程应该是这样的,User (copy boy)根据工作需要提出权限申请-Owner批准权限申请 -administrat
23、or 根据领导(就是Owner)授权开通相应权限2.1 Identification, Authentication(= Validating), and Authorization(标识、认证、授权)5. 标识/鉴别(用户名)、认证(密码)、授权6. Authentication:方式有下面几种1) Something a person knows知道的2) Something a person has有的3) Something a person is他是谁4) Strong authentication/two-factory authentication:需要两个以上的认证方式。7.
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CISSP 培训 笔记
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【人****来】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【人****来】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。