最新CISSP培训笔记.docx
《最新CISSP培训笔记.docx》由会员分享,可在线阅读,更多相关《最新CISSP培训笔记.docx(165页珍藏版)》请在冰点文库上搜索。
最新CISSP培训笔记
据调查统计在对大学生进行店铺经营风格所考虑的因素问题调查中,发现有50%人选择了价格便宜些,有28%人选择服务热情些,有30%人选择店面装潢有个性,只有14%人选择新颖多样。
如图(1-5)所示
5、你认为一件DIY手工艺制品在什么价位可以接受?
1、现代文化对大学生饰品消费的影响
调研结论:
综上分析,我们认为在学院内开发“DIY手工艺品”商店这一创业项目是完全可行的。
5、就业机会和问题分析
(2)物品的独一无二
根据调查资料分析:
大学生的消费购买能力还是有限的,为此DIY手工艺品的消费不能高,这才有广阔的市场。
2、传统文化对大学生饰品消费的影响
合计50100%
“碧芝”隶属于加拿大的beadworks公司。
这家公司原先从事首饰加工业,自助首饰的风行也自西方,随着人工饰品的欣欣向荣,自制饰品越来越受到了人们的认同。
1996年'碧芝自制饰品店'在迪美购物中心开张,这里地理位置十分优越,交通四八达,由于是市中心,汇集了来自各地的游客和时尚人群,不用担心客流量问题。
迪美有300多家商铺,不包括柜台,现在这个商铺的位置还是比较合适的,位于中心地带,左边出口的自动扶梯直接通向地面,从正对着的旋转式楼拾阶而上就是人民广场中央,周边4、5条地下通道都交汇于此,从自家店铺门口经过的90%的顾客会因为好奇而进看一下。
CISSP最新学习笔记
此文是我班2014年高分考生袁同学在准备CISSP考试过程中的边看书边整理的一个学习笔记,整理的非常细致到位,特借此供各位备考学员参考。
第1章节到第10章节主要是学习allinone第六版资料时笔记;第11章到18章节主要是在学习完allinone后做cccure网站上面练习题后,补充的知识点;第19章到25章节为学习officeialguide教材后补充的知识点;最后第26章是总复习时作actual练习题时补充的知识点。
在看书3遍allinone后,主要补充学习了preguide的学习笔记,cccure练习题和officialguide进行知识点的补充,最后总复习阶段(1周左右)以本复习笔记为基础,配合actual练习题进行。
一.Chapter3:
Securitymanagementpractices
记住几个公式P65
ARO是年发生概率,10年发生一次,则ARO=1*0.1
SLE是发生一次造成的损失,如37500,那么ALE=0.1*37500=3750
EF(暴露因素)*ssetvalue=SLE
SLE*ARO=ALE(年损失期望)
Dataowner等多种角色的职责
商业公司和政府的集中分级(4、5)
一.1安全管理
1.安全管理需要自顶向下(Top-Downapproach)的来进行,高层引起足够的重视,提供足够的支持、资金、时间和资源。
Incontrast,bottom-upapproach。
P48
2.安全评估分为定性和定量评估,方法有:
人员访谈、问卷调查,技术评估等等。
解决风险的4种办法:
降低风险reduce、接受风险accept、转嫁风险transfer、和拒绝风险reject。
3.安全控制有一个说法是,三种类型的控制,物理、技术和管理shouldworkinasynergisticmannertoprotectacompany’sassets.
1)物理:
cd-rom,优盘,警卫,环境,IDS,cctv
2)技术:
acl、加密、安全设备、授权与鉴别
3)管理:
策略、标准、方针、screeningpersonnel、培训
一.2风险管理
4.弱点、威胁、风险、暴露、对策
1)Vulnerability:
weakness,haveunauthorizedaccesstoresources.
2)Threat:
threatagent,威胁因素,hacker、worm…
3)Risk:
threat利用vulnerability造成危害的一种可能性。
4)Exposure:
instance,一次威胁因素造成loss的实例。
5)Countermeasure(safeguard):
降低潜在的风险risk。
举例:
主机系统没有打上相关的系统补丁(vulnerability),有一个针对此漏洞最新的蠕虫病毒(threatagent),网络没有部署边界安全系统,蠕虫渗透网络引起了风险(risk),直接导致了主机的性能降低、死机。
这整个过程就是一次exposure。
然后安装补丁进行更新(safeguard)。
5.InformationRiskManagement
风险管理是一个过程:
是识别风险、评估风险、将之降低到一个可接受的程度识别风险级别,运用合适的机制来维持风险在此程度P53
6.RiskAnalysis4个主要目标P55
1)识别资产和资产的价值
2)识别风险和威胁
3)量化潜在风险对商业影响的可能性
4)预算平衡在威胁影响和对策的花费之间
7.RiskAnalysisTeam最好要有高层管理人员参加,而且最好有来自各个部门的成员组成。
如果没也需要面对面与他们沟通,了解他们的运作情况。
P56
8.风险管理的一些重要因素:
P56-58
1)管理层支持;
2)team由来自于不同的团队;
3)识别资产的价值;
4)识别威胁;
5)还需要关注潜在和延迟的损失;
6)下面就需要用定性或定量的方式来评估风险了。
9.quantitativeandqualitativeP63
定量和定性
10.StepofaRiskanalysisP64
1)给资产赋值
2)估计每项风险的潜在损失
3)进行威胁分析
4)计算每项风险的全部潜在损失ALE,EF*assetvalue=SLE,SLE*ARO=ALE
5)Reduce、transfer、accepttheRisk、ruject
11.风险分析的成果P66
1)资产赋值
2)理解威胁的特征和可能性
3)每种威胁发生的可能性
4)每种威胁在一年内发生对公司造成的潜在损失
5)建议安全防护
12.定性评估:
Delphi,brainstorming,storyboarding,focusgroups,surveys,questionnaires,checklists,one-on-onemeetings,andinterviewsP66
13.Delphi技术(定性评估)
让每个人都拿出自己真实的观点,不被人影响。
14.Riskdelayedlossand/ordamage:
从被破坏到恢复到正常的损失。
15.风险保护的步骤
1)明确需要保护的资产及范围,花费的money
2)风险分析和评估(选择最合适的safeguard,功能;)
3)选择合适的措施和执行(评估safeguard的成本,并做比较;)
16.ResidualRiskP72
TotalRisk=threats*vulnerability*assetvalue
ResidualRisk=(threats*vulnerability*assetvalue)*controlgap
一.3Policies、standards、baselines、guidelines、procedures
策略policies是提高信息安全,支持的标准standards是数据用高度加密AES,程序procedurces是一步一步怎么来进行,方针guidelines是指导,建议作哪些(要求审计,建议审计ID、口令、事件等信息)。
P45。
baseline(clippinglevel)是最低级别的安全。
安全策略提供基础,过程、标准、指导提供安全框架。
策略是战略目标,过程、标准、指导等是战术目标。
P78
17.Policies:
1)最高的战略目标,emailpolicy,那些能看不能看。
如何使用数据库,如何保护数据库等等。
P76
2)Thepolicyprovidesthefoundation.Theprocedures,standards,andguidelinesprovidethesecurityframework.plicy是基础,程序、标准、方针是框架。
P77
3)三类:
regulatory规章性的、advisory建议性的、informative提示性的(给信息)P77
18.standards:
ismandatory、compulsory、enforce,强制P78
19.baselines:
最低安全标准P78
20.guidelines:
指导行动,建议具体作哪些,如审计哪些内容(登录ID、时间等)。
P79
21.procedures:
stepbystep,spellout(讲清楚)策略、标准等具体怎么做。
P79
一.4Classification
22.先分级,然后划分安全域
23.Securityisnotaproduct,it’saprocessP91
24.不同的人有不同的责任responsibility
1)Manangement对资产的安全最终负责
2)Dataowner:
一般是管理者,负责,进行数据的定级,定义安全机制,哪些人可以访问等。
委派custodian对数据进行保护。
P89
3)Datacustodian:
对数据进行维护和保护,一般的ITdepartment
4)Systemowner:
关注系统,向dataowner汇报
5)Supervisor:
发密码,解雇收回密码
6)User:
routinely
7)management管理者的工作是确定个人的安全需求,如何授权;securityadministrator是具体执行这些需求。
一.5employee
25.Separationofduties有两个方面:
splitknowledge(一个人知道整体的一部分)anddualcontrol(一个人知道一个整体,需要多个确认才能ok,发射nuclear)P92
26.rotationofduties,岗位轮换,mandatoryvacationP93
27.培训三类:
管理者、一般雇员、技术雇员
二.chapter4:
AccessControl
1.accesscontrol:
physical、technical、administrative。
subjectandobject
2.Threeprinciples:
1)Availability:
stockbroker,accuracy、timely,noprivacy。
2)Integrity:
美国总统的邮件被修改。
3)Confidentiality
3.一次性口令,可以同步认证,也可以异步认证
4.一般来说一个标准的权限管理过程应该是这样的,User(copyboy)根据工作需要提出权限申请----〉Owner批准权限申请----〉administrator根据领导(就是Owner)授权开通相应权限
二.1Identification,Authentication(=Validating),andAuthorization(标识、认证、授权)
5.标识/鉴别(用户名)、认证(密码)、授权
6.Authentication:
方式有下面几种
1)Somethingapersonknows知道的
2)Somethingapersonhas有的
3)Somethingapersonis他是谁
4)Strongauthentication/two-factoryauthentication:
需要两个以上的认证方式。
7.Identitymanagement:
1)Biometrics生物(有的),identityuniqueattribute属性和behavior行为。
成本高、复杂、推广难P137
i.TypeIerror:
reject正确的P138
ii.TypeIIerror:
acceptimpostor
iii.Crossovererrorrate,CER,EER,越小越好/精确(accurate)
iv.常见类型:
Fingerprint、retina视网膜、voice、palmscan(creases,ridges,andgrooves,褶皱等)、handgeometry手纹路(宽、长、shape形状)、iris虹膜scan、facescan、(behavior)signaturedynamics动态签名、keyboarddynamics动态键盘、Handtopography(peaksandvalleys)手型P139
2)Passwords(知道的)双因素是PIN+现实的密码:
jeaf+显示的P141
i.密码攻击:
electronicmonitoring(replayattack)、accessthepasswordfile、bruteforceattacks(暴力破解)、dictionaryattacks、socialengineeringP141
ii.Passwordcheckers(检查密码的工具)、passwordhashingandencryption(加密)P142、passwordaging(保存以前5到10次的密码)P143、limitlogonattemptsP143
iii.Cognitivepassword(你妈妈的名字?
XX)
iv.one-timepassword:
tokendevice(我们公司就是这种,分为timeorcounter(初始化),是强密码,用到了两种认证方式:
has和knows),分为同步(输入显示的数字)和异步(显示的东西输入令牌,结果再次输入进行认证)P144
异步
v.Cryptographickeys(密码字):
PKIP145
vi.Passphrase,密码词(ILoveYou,ILY),VirtualpasswordP146
vii.Memorycar(强认证,has&knows)P146
1.memorycard,只存储信息,类似银行卡,需要读卡器cardreader
2.smartcard,能处理信息,接触和不接触/无线。
攻击(faultgeneration产生错误,比较正确和错误的区别找出密码;noninvasive:
side-channelattacks、poweranalysis、softwareattacks(软件bug/flaw))
8.authorization
1)role、group、time、logical&physicallocation、time、transaction(根据动作,能建数据库,但不能访问里面的内容)。
Autorizationcreep(授权蔓延,一个人在转到其他部门,以前的权限没有清除权限就越来越多)P149
2)defaulttonoaccess,默认全部拒绝
3)need-to-know,最小权限,leastprivilege
9.singlesign-on:
SSO单点登录(kerberos、SEMSAME、securitydomain、thinclient)
1)Kerberos,特色是只相信KDC(KeyDistributionCenter),KDC存储所有用户和服务的key,通讯双方之间不信任,只信任KDC。
举例:
A和B两人互相不信任,但都相信KDC,那么A从KDC取得ticket,然后给B看,然后B就相信了并与之通信。
是一个验证协议P153
i.基于C/S(客户端/服务器)结构,symmetrickey对称性key
ii.是异构网络SSO的事实标准facto。
P154
iii.KDC是key分发中心
iv.由于开放性,则不同vendor间的互操作性和兼容性不好
v.timestamp防止replayattackP155
vi.还可以设置认证有效时间,如8小时,过了后需要重新认证。
P156
vii.提供完整性Integrity、机密性privacy,但不提供可用性。
PPP
viii.用户和KDC之间共享secretkey,用于彼此间通讯的认证;sessionkey用于用户和打印机之间通讯的认证,通信结束即destroy。
通信数据不加密。
P155
ix.类似于PKI,彼此不相信,都只相信CA。
CA用digitalcertificates担保vouches,KDC用ticket担保。
P156
x.缺点:
KDC是单点故障;ticket和sessionkey存在本地;P156
2)SEMSAME,在Kerberos基础扩展的一个欧洲。
使用symmetric对称和asymmetric非对称来保护通讯。
PAC=ticket,PAS=KDC,S=serverP157
3)Securitydomains:
高级能访问低级,firewall、routerACLs、directoryservices、differentsubnetmaskaddress。
每个subject在同一时间只能属于一个domain。
P158
4)Directoryservices:
LDAP、NDS(NovellNetWaredirectoryservice)、MSActiveDirectory.P160
5)Thinclient:
本地什么也没有,所有的操作都需要与centralinteractive.P160
二.2AccessControlModels(访问控制模型)
Whatdeterminesifanorganizationisgoingtooperateunderadiscretionary,mandatory,ornondiscretionaryaccesscontrolmodel?
――Securitypolicy
10.Threemodel:
可多种一起使用
1)(DAC)DiscretionaryAccessControl:
owner决定,非中央集中控制。
user-directed,执行了accesscontrolmatrixP161
2)(MAC)MandatoryAccessControl:
覆盖DAC(即owner的决定),操作系统administrator强制控制,subject和object都严格分级,基于Securitylabels(又称SensitivityLabels)访问,有顶级保密级别的并不能访问所有顶级的东西,需要根据授权(但下级绝对不能访问上级)。
分为secret、topsecret、confidential。
一般用在military。
SELinuxNAS、TrustedSolarisP162
3)(RBAC)Role-BasedAccessControl,基于角色、功能任务,集中控制,适合高人员流动highemployeeturnoverP164
二.3AccessControlTechniquesandTechnologies(方法和技术)
11.Rule-BasedAccessControl:
基于规则的访问控制,针对所有用户的强制,没有identity这一步P167
12.ConstrainedUserInterface:
限制用户接口P167
1)MenuandShells:
菜单和命令,functionality、command
2)Dataview
3)Physical:
ATM
13.AccessControlMatrix(矩阵),针对个体,os强制,一般是DAC模型的一个属性,即DAC使用它。
P168
1)CapabilityTables:
Kerberos就是这样的,仅针对individual,因为需要identity
2)AccessControlLists:
ACL,可以针对individualorgroup
14.Content-DependentAccessControl:
基于内容,数据库、关键字等,websurfing、email
15.Context-DependentAccessControl:
基于上下文(次序),状态检测防火墙处理TCP三次握手,syn-syn/ack-ackP169
二.4AccessControlAdministration(访问控制管理)
16.一个安全的过程:
先policy等等、再accesscontrolmodel、再accesscontrol方法和技术,再accesscontroladministration方式(集中、分散和混合)P170
17.Centralize:
集中式,由一个人或者一个部门进行控制。
C/S结构(只能client主动发请求)
1)AAA指:
authentication,authorization,andauditing。
P171
2)三种认证协议:
PAP,CHAP,EAPP171
3)RADIUS:
C/S结构,集成authentication,authorization。
传输只加密帐号、密码等认证信息,其他都是cleartext。
UDP传输,需要另外进行package检查。
ISP上网认证使用,简单环境允许还是deny。
P171
4)TACACS,C/S结构:
TACACS(authentication&authorization)、XTACACS(分开AAA)、TACACS+(增加SSO/双因素)。
TACACS+,TCP传输。
传输内容全部加密。
可结合kerberos。
使用方式更灵活但更复杂。
P172
5)Diameter:
overcomeRADIUS的很多不足,提供AAA,thediameteristwicetheradius,兼容RADIUS,peer-basedprotocol(服务器能主动发送信息)。
提供一个基础协议,支持很多协议。
能支持IPSECORTLS,RADIUS不支持。
AVP更大2的32方,RADIUS为2的8方。
MobileIP,用户从一个网络到另外一个网络仍然使用同一个IP。
P174
18.Decentralized:
分散式管理,closer离的近的分配权限,functionalmanagerP176
二.5AccessControlMethods(访问控制方法)
19.AdministrativeControls管理控制P177
1)PolicyandProcedure:
aHigh-Levelplan
2)PersonalControls:
人员变动,职责分离和职责轮换,人力部门和法律部门参与。
3)SupervisoryControls:
监管控