1. 理解和应用机密性、完整性、可用性概念
《概念的理解》 2. 评估和应用安全治理原则
1. 安全功能与业务战略、目的、使命、目标一致 (例如:商业案例、预算和资
源 ) 《战略一致性》
2. 组织流程(例如:收购、剥离、治理委员会) 3. 组织角色和责任 4. 安全控制框架
5. 尽职关注/尽职勤勉(尽职调查) 3. 确定合规要求
1. 合同、法律、行业标准和监管要求 2. 隐私要求
4. 理解在全球范围内涉及信息安全的法律和监管问题
1. 计算机犯罪和数据泄露 2. 许可与知识产权的要求 (例如:版权、商标、数字版权管理 3. 进口 /出口控制 4. 跨境数据流 5. 隐私
5. 理解、遵循和促进职业道德
1. ( ISC)2职业道德规范 2. 组织道德规范
6. 制定、记录和实施安全政策、标准、程序和指南 7. 对业务连续性(BC )需求进行识别、分析和排优先级
1. 制定和记录范围和计划 2. 开展业务影响分析(BIA)
《风险评估-业务影响分析-制定策略-开发计划-培训测试-维护》
)8.促进和执行人员安全政策和程序
1. 候选人甄选和聘用 (例如 :证明人核实、教育背景查证 ) 2. 雇佣协议和政策 3. 入职和聘用终止过程
4. 供应商、顾问和承包商的协议和控制 5. 政策合规要求 6. 隐私政策要求 9. 理解和应用风险管理概念
1. 识别威胁和漏洞
2. 风险评估 /分析 (定性分析、定量分析、混合分析 ) 3. 风险响应 风险分配 /接受 (例如 :系统授权 )
4. 对策的选择和实施 控制适用类型(例如:预防性、检测性、纠正性)术、管理》
5. 安全控制评估( SCA ) 6. 监测和衡量 7. 资产估值 8. 报告 9. 持续改进 10. 风险框架
10. 理解和应用威胁建模的概念和方法
1. 威胁建模概念 2. 威胁建模方法
11. 将基于风险的管理理念应用到供应链中
1. 与硬件、软件和服务相关的风险 2. 第三方评估和监测 3. 最低安全要求 4. 服务级别要求
12. 建立并维持安全意识宣贯、教育和培训计划
1. 意识宣贯与培训的方法和技术 2. 定期内容评审 3. 方案效果评价
《物理、技第2章.资产安全-知识点
1. 识别与分类信息和资产 (例如 : 敏感性、关键性)
1. 数据分类
2. 资产分类 《资产分类排序:记录、分配、标记、评审、解除》 2. 确定与维护信息与资产所有权 3. 保护隐私
《隐私保护的第一步是数据最小化》 1. 数据所有者 2. 数据处理者
3. 数据残留 《清除、根除、净化 Sanitizing 》 《排序:物理销毁 >消磁>覆写 >格式化》
4. 数据收集限制 4. 确保适当的资产保留 5. 确定数据安全控制
1. 理解数据状态 《静态数据、动态数据》 2. 确定范围和剪裁 3. 标准的选择 4. 数据保护方法
6. 建立信息和资产处理要求 ( 例如 :敏感信息的标记、存储和销毁 )
第3章.安全工程-知识点
1. 使用安全设计原则实施和管理工程流程 2. 理解安全模型的基本概念 3. 基于系统安全要求选择控制
4. 理解信息系统的安全能力(例如:内存保护、可信平台模块( 5. 评估和减轻安全架构、设计和解决方案的脆弱性
1. 客户端系统 2. 服务器端系统
3. 数据库系统(例如:数据推理、聚合、挖掘、分析、数据仓库 4. 密码系统
5. 工业控制系统(ICS)
《人机界面控制服务器历史数据应用服务器工作站》
TPM )、加密/解密)
《BLP、Biba》
)
6. 基于云的系统 7. 分布式系统 8. 物联网(IoT)
6. 评估和缓解Web系统中的漏洞(例如,XML,OWASP)
《XSS,SQL注入攻击》 《SAML :安全断言标记语言》
《XACML :用于决定请求/响应的通用访问控制策略语言和执行授权策略的框架》 《OAuth 2.0:使用的是令牌》
《CVE (Common Vul nerabilities & Exposures)
公共漏洞和暴露》
7. 评估和缓解移动系统中的漏洞 8. 评估和缓解嵌入式设备中的漏洞 9. 应用密码学
1. 密码生命周期(例如:密钥管理、算法选择) 2. 加密方法(例如:对称,非对称,椭圆曲线) 《 ECC 的优点 效率高》
3. 公钥基础设施( PKI ) 《数字证书》 《 CA 交叉认证》 4. 密钥管理实践 5. 数字签名 6. 不可否认性
7. 完整性(例如:散列)
8. 理解密码攻击方法 ( 例如暴力破解、唯密文攻击、已知明文攻击数字版权管理( DRM ) 《密码学的实际应用》
10. 将安全原则应用于场地与设施设计 11. 实施场地和设施安全控制
1. 配线间 /中间配线设施 2. 服务器机房 /数据中心 3. 介质存储设施 4. 证据存储
5. 限制区和工作区安全
6. 公用设施与供热通风空调系统( HVAC ) 《机房正气压》 7. 环境问题 (例如 :渗漏、洪灾 ) 8. 火灾预防、检测和灭火 《 5 类火》
《 CPTED : Crime Prevention Through Environmental Design
)
第4章.通信与网络安全 -知识点
1. 在网络架构中实现安全设计原则
1. 开放系统互连( OSI )与传输控制协议 / 互联网协议( TCP/IP )模型 《7 层协议、 TCP /IP 4 层》
2. 互联网协议( IP )网络 3. 多层协议的含义 ( DNP3 ) 4. 聚合协议 ( MPLS, VoIP, iSCSI ) 5. 软件定义网络( SDN ) 6. 无线网络 2. 安全网络组件
1. 硬件操作
(例如 :调制解调器、交换机、路由器、无线接入点、移动设备 2. 传输介质
3. 网络访问控制( NAC )设备 (例如 :防火墙、代理服务器 ) 4. 端点安全
5. 内容分发网络 ( CDN ) 3. 根据设计实现安全通信通道
1. 语音
2. 多媒体协作 (例如 :运程会议技术、即时消息 )
3. 远程访问(例如:VPN、屏幕截取、虚拟应用 /桌面、远程办公) 4. 数据通信 (例如 :VLAN, TLS/SSL)
5. 虚拟网络 (例如 :SDN 、虚拟 SAN 、来宾操作系统、端口隔离 )
)
第5章.身份与访问控制-知识点
1. 控制资产的物理和逻辑访问
1. 信息 2. 系统 3. 设备 4. 设施
2. 管理 人员、设备、服务的身份标识和验证
1. 身份管理实施 (例如: SSO, LDAP)
2. 单/多因素认证 (例如 :因素、强度、错误、生物识别 ) 《生物识别: FRR 、 FAR ,精度比较 》 3. 问责
4. 会话管理 (例如:超时、屏保) 5. 身份注册与证明
6. 联合身份管理 (例如: SAML )
SAML 安全断言语言( Security Assertion Markup Language ), 是一个基于 XML 的协议。 是一个联合身份标准。
用于传送身份信息,可用于实现单点登录。
类似于 Kerberos 依赖于 KDC , SAML 依赖于 IDP(Identity provider) SAML 有一项功能叫策略执行( policy enforcement )。 7. 凭证管理系统 3. 集成第三方身份服务
1. 内部部署 2. 云
3. 联合 (federated) 4. 实施和管理授权机制
1. 基于角色的访问控制 (RBAC) 2. 基于规则的访问控制 3. 强制访问控制( MAC ) 4. 自主访问控制( DAC ) 5. 基于属性的访问控制( ABAC )
5. 管理身份和访问供给( provisioning )生命周期
1. 用户访问评审 2. 系统帐户访问评审
3. 供给与解除供给 《 SPML 》
第6章.安全评估和测试 -知识点
1. 设计和验证 评估、测试和审计策略
1. 内部 2. 外部 3. 第三方
《安全评估标准 CC》《 ISO/IEC 15408 ——信息技术—安全技术— IT 安全评估准则》 CC 7 个评估保证级别 (EAL) 功能、结构、系统、半正式、正式地验证设计和 测试。 EAL1: Functionally Tested; EAL2: Structurally Tested;
EAL3: Methodically Tested and Checked;
EAL4: Methodically designed, Tested, and Revised; EAL5: Semi-formally Designed and Tested; EAL6: Semi-formally Verified Design and Tested; EAL7: Formally Verified Design and Tested. 《 CC 里面的 PP 定义了可重用的安全需求》 《 BSIMM, 15408 ,soc3 ,27001 》 2. 执行安全控制测试
1. 漏洞评估
2. 渗透测试 《盲测、双盲、针对性测试》 《得到管理层书面批准授权》 《发生在运维阶段》 《目的是评估而不是检测》 3. 日志评审 4. 合成交易
5. 代码评审和测试 (例如:静态、动态、模糊测试 ) 6. 误用例测试 7. 测试覆盖率分析
8. 接口测试 《单元测试、集成测试、系统测试、验收测试》 《回归测试、结构测试、功能测试、非功能测试》
3. 收集安全流程数据(例如 技术和行政)
1. 账户管理 2. 管理评审和批准 3. 关键绩效和风险指标 4. 备份验证数据 5. 培训和意识宣贯
6. 灾难恢复( DR )和业务连续性( BC) 4. 分析测试输出与生成报告 5. 执行或促进安全审计
1. 内部 2. 外部
3. 第三方
第7章.安全运营-知识点
1. 理解与支持调查
1. 证据采集与处理 (例如:监管链、访谈 ) 2. 报告与记录 3. 调查技术
4. 数字取证工具,手段和程序 《 forensics , e-discovery 》 2. 理解调查类型的要求
1. 行政 2. 刑事 3. 民事 4. 监管
3. 执行记日志和监测活动
1. 入侵检测和防御
2. 安全信息和事件管理( SIEM ) 3. 连续监测
4. 出流( Egress )监测 (例如 :数据丢失防护、信息伪装、数字水印 ) 4. 安全供给资源
1. 资产清单 2. 资产管理 3. 配置管理
5. 理解和应用基本的安全运营概念
1. 知所必须 /最小权限 2. 职责分离 3. 特权帐户管理 4. 岗位轮换
《防止共谋的方法是岗位轮换,而不是职责分离(导致共谋)》 5. 信息生命周期
6. 服务级别协议( SLA ) 《 SLA 需要定期审查》 6. 应用资源保护技术
1. 介质管理
2. 硬件和软件资产管理 7. 执行事件管理
1. 检测 2. 响应 3. 缓解 4. 报告
5. 恢复 6. 补救 7. 经验教训
8. 运营和维护、检测和预防措施
1. 防火墙 《包过滤 /状态检测 /动态包过滤》 2. 入侵检测和防御系统 《 HIDS/NIDS, 特征/行为》 3. 白名单/黑名单 4. 第三方提供的安全服务 5. 沙箱 《行为阻断》
6. 蜜罐/蜜网 《检测性控制、 Enticement / Entrapment 》 7. 反恶意软件 《考各种攻击:
smurf 攻击 (基于 ping 程序利用 ICMP 协议的攻击 ) SYN FLOOD 攻击
TCP 序列号劫持 / 会话劫持——中间人攻击 DNS 中毒 /域欺骗 pharming 竞争条件》 9. 实施与支持 补丁和漏洞管理 10. 理解并参与变更管理流程 11. 实施恢复策略
1. 备份存储策略 《RPO 》
2. 恢复站点策略 《 RTO 》 《冗余站点、热站、温站、冷站》 3. 多处理站点
4. 系统韧性、高可用性、服务质量( QoS )和容错 《RAID 0 、1、3、5、10》 12. 实施灾难恢复( DR )过程
1. 响应 2. 人员 3. 通信 4. 评估 5. 恢复
6. 培训和意识宣贯 13. 测试灾难恢复计划( DRP )
1. 核对测试 /桌上测试 2. 穿行测试 3. 模拟测试 4. 并行测试 5. 全面中断测试
14. 参与业务连续性( BC )计划和演练 15. 实施和管理物理安全
1. 周边安全控制 2. 内部安全控制 16. 解决人员安全问题
1. 旅行人员 2. 安全培训和意识 3. 应急管理 4. 胁迫
第8章.软件开发安全-知识点
1. 理解安全并将其融入软件开发生命周期( SDLC )
1. 开发方法
《瀑布模型、 V 字模型、原型法、快速开发、敏捷开发》 2. 成熟度模型 3. 运营和维护 4. 变更管理 5. 集成产品团队
2. 在开发环境中识别和应用安全控制
1. 软件环境安全
2. 配置管理作为安全编码的一个方面 3. 代码库安全 3. 评估软件安全的有效性
1. 审计变更与记变更日志
2. 风险分析与缓解 《验证、确认、认证、认可》 4. 评估获取的软件的安全影响 5. 定义和应用安全编码指南和标准
1. 源代码级安全弱点和漏洞 《堆栈溢出,可以执行任意代码》 2. 应用编程接口安全 3. 安全编码实践
2018CISSP考纲变革及备考重点解析知识点解读 - 图文
