CISSP备考中文详解超详细的中文备考资料.pdf
《CISSP备考中文详解超详细的中文备考资料.pdf》由会员分享,可在线阅读,更多相关《CISSP备考中文详解超详细的中文备考资料.pdf(60页珍藏版)》请在冰点文库上搜索。
CISSP备考资料中文详解备考资料中文详解目录目录1.复习流程及资源复习流程及资源.22.复习信息安全管理复习信息安全管理.33.复习信息安全管理复习信息安全管理.64.复习信息安全管理复习信息安全管理.85.复习信息安全管理复习信息安全管理.116.安全意识教育介绍安全意识教育介绍.137.安全架构和设计安全架构和设计.158.安全架构和设计之安全模型安全架构和设计之安全模型.179.系统架构和设计之保护机制系统架构和设计之保护机制.2110.系统架构和设计之安全标准系统架构和设计之安全标准.2511.复习访问控制
(一)复习访问控制
(一).3012.复习访问控制
(二)复习访问控制
(二).3113.详述网络威胁类型详述网络威胁类型.3414.详述安全威胁控制手段详述安全威胁控制手段.381.复习流程及资源复习流程及资源在51CTO安全频道特别策划的CISSP的成长之路系列的前几篇文章里,J0ker向大家简要介绍了CISSP认证考试的基本情况,但对于想要进一步深入了解CISSP认证体系、或者想要获得一个CISSP认证的朋友来说,内容还是稍微简单了点。
所以,从本文开始,J0ker将用大概15篇文章的篇幅,向大家详细的介绍CISSP认证考试的复习流程、各种复习资源和CISSP的10个CBK的内容,本文要介绍的即是CISSP认证考试的复习流程及资源。
J0ker先给大家说说CISSP考试的复习流程,和其他考试一样,CISSP考试的复习也需要循序渐进,不断巩固,由于CISSP考试的广度和深度”OneMilewide,Oneinchdeep”,决定了复习的同时也是一个学习过程。
因为要报考CISSP的朋友大多是各自单位的技术骨干和中高层管理,日常事务十分繁忙,所以复习的时间安排和计划对考试的成功显得无比重要。
怎么制定复习计划知己知彼,方可百战不殆。
考生应该先了解一下CISSP考试的10个CBK的组成和内容,根据自己的情况将掌握得较好、较差的CBK分别列到表里,并以此为根据安排各CBK复习的优先度。
考生还需要根据自己空闲时间的多少,合理的进行分配,比如,如果有半年的准备时间的话,每天保证1到1个半小时复习即可,如果准备的时间较短,可以斟酌增加每天复习的时长。
进行复习制定好复习计划之后,考生便可每天按照计划好的优先度和时间安排进行复习。
复习中有2个要点,其一复习贵在坚持,持续的复习可以保持考生对CISSP知识的掌握程度,三天打鱼,两天晒网只不过是在浪费时间;其二复习不可偏颇,考生应该对自己掌握较好的章节也进行全面复习,CISSP考试的广度往往出乎过分自信的考生意料之外。
如何巩固复习效果在CISSP考试的复习过程中做些模拟题是必须的,但因为CISSP考试出题相当灵活,如果考生想靠猜题、押题来通过CISSP考试,恐怕只会换来一个失败的结果。
J0ker的建议是,CISSP考试说到底是考察考生的能力和经验,如果考生有条件的话,对掌握不好,平时也没有机会接触的内容自己做个模拟环境来实践一下,比如TelecommunicationandNetworksecurity、OperationalSecurity等CBK,都可以自己实验一下。
另外,考生可以精选1到2个模拟题库,时不时对自己的复习情况进行检查,做错的题目应该记录起来,重新对涉及到的CBK内容进行复习。
CISSP考试复习中可以用到的资源:
复习书籍目前市面上CISSP考试复习的书籍不少,内容虽然大同小异,但写作风格写作水平是大不相同,有的追求语言生动易懂,有的则比较详细枯燥。
考生如何选择适合自己的CISSP复习材料?
J0ker觉得选择的标准应该由考生自身的语言水平、信息安全从业经验等来决定,在语言水平差不多的情况下,如果考生的从业经验较多,但对概念的把握上仍有欠缺,可以选择CISSPofficialguide解释概念较为详细的材料;如果考生平时主要从事咨询或管理类的工作,具体技术方面的经验不足,则可以选择CISSPAllinOne3rd或者Preguide2nd这样的材料,它们生动的描述会使技术方面的难题变得容易理解;还可以准备一本ExamCram的CISSP小书,出差或旅行时可以随手翻阅。
在线资源在准备CISSP考试时,考生同样有丰富的在线资源可以选择,不过首选的依然是(ISC)2的官方网站,考生可以从上面得到最新的考试通知、考试资源等,(ISC)2官方所提供的ResourceGuide也包含了许多对CISSP考试很有用的在线资源、参考资料等。
另外,国外的ccure.org也有不少的在线资源可供选择,比如电子杂志、论坛、免费的在线视频等。
模拟题库模拟题库在CISSP考试的复习中可以起到查漏补缺的作用,也可以帮助考生熟悉CISSP考试的难度和出题方式,不过选择模拟题库也不是题越多越好,关键还是要看模拟题库的题量是否适中,出题的难度和问法是否和真实考试接近。
J0ker认为,Ccure.org上所提供的CISSP在线测试题库(1000题)和Acutaltest提供的CISSP模拟题库都比较好用,Ccure.org的题较浅但覆盖知识点也较全,Acutaltest的题的问法更接近真实的CISSP考试。
J0ker当时主要用的就是Acutaltest的题库,尽管在真实CISSP考试中找不到和Acutaltest题库相同的题目,但Acutaltest题贴近真实考题的特点使J0ker在考试能得以提高不小作答的速度和准确率。
Wheretoask如果考生在复习CISSP知识的过程中遇到问题,可以选择论坛等在线途径向CISSP们请教,国外较好的是Ccure.org的论坛,因为在ccure.org的论坛上回答一定数量的问题可以得到CPE的奖励,CISSP们通常会比较乐意回答论坛上的问题。
中文方面的资源可以选择国内的的论坛,上面同样有许多热心的CISSP会回答考生各方面问题,不仅仅是CISSP知识点,还包括CISSP考试的方方面面。
J0ker也欢迎大家来询问CISSP方面的问题,J0ker会尽自己一份微薄之力为大家的CISSP历程提供尽可能多的帮助:
)2.复习信息安全管理复习信息安全管理在51CTO安全频道特别策划的CISSP的成长之路系列的上一篇文章复习流程和资源里,J0ker给大家介绍了一般的复习流程和对复习比较有帮助的资源。
从本文开始,J0ker将带大家进入CISSP考试的正式复习过程:
2007年(ISC)2修改过CISSP考试的各CBK名称和内容,虽然新内容绝大部分和原来的CISSPCBK相同,但还是增加了一些新内容。
J0ker手上只有比较老的CISSPOfficialGuide和CISSPAllinOne3rd(J0ker准备考试时也是用这两本资料,对增加新内容的考试还可以应付),所以在本系列文章中依然沿用(ISC)2修改前的CBK名称和内容,J0ker会按照CISSPOfficialGuide的内容安排给大家介绍一下复习中的心得和要点,限于J0ker自己水平和各人的情况不同可能有所不足,请大家原谅。
CISSP复习的第一章InformationSecurityManagement安全行业有句行话,“三分技术,七分管理”,意为安全技术应该从属于管理。
不少安全厂商在推销自己的产品时,常常只顾鼓吹说自己的产品有多好,却没有向客户说明产品是否适用于目标企业的实际环境。
CISSP需要明白,安全技术也好,安全产品也好,都是必须从属于安全管理,只能因管理而技术,从安全技术和产品的使用去推导安全管理应该怎么做,就是本末倒置了。
因此CISSPCBK中引入了InformationSecurityManagement这一概念,假如把企业的信息安全计划比作一艘船,信息安全管理就如同灯塔,指挥着船往哪里走,怎么走,如果舵手(CISSP)不按照灯塔(InformationSecurityManagement)的指示走,船就很可能触礁沉没(安全项目失败,或达不到想要的效果)信息安全管理,或者说所有的信息安全项目,都是围绕着实现信息资产的A-I-C三角而设计和实施的。
所谓的A-I-C三角,也即信息资产的三个重要属性:
Availability,可用性,保证信息资产对授权的用户随时可用;Integrity,完整性,保证信息资产不受有意或无意的未授权修改;Confidentiality,保密性,保证信息资产不受未经授权的访问。
A-I-C三角也是贯穿整个CISSPCBK内容的宗旨。
因此,对一个组织实体来说,信息安全管理的内容就是识别信息资产的类型价值,并通过开发、记录和实施安全策略(Policies)、标准(Standards)、流程(Procedures)和指导(Guidelines)来确保信息资产的A-I-C属性。
在这个过程中,需要对信息资产进行识别和分级、识别可能威胁信息资产的威胁、并对可能存在的漏洞进行评估,我们可以使用数据分级(Dataclassification)、安全意识教育(SecurityAwarenessTraining)、风险评估(RiskAssessment)和风险分析(RiskAnalysis)这些工具来完成。
J0ker将在接下去的文章里面再给大家详细解释上面提到的各个名词。
在CISSPCBK中还可以看到一个和信息安全管理相似的名词风险管理(RiskManagement),信息安全管理是从管理流程的角度实现信息资产的保护,而风险管理则是从风险防范的角度出发,将风险对信息资产的损害降到最低。
风险管理是识别、评估、控制和最小化风险或未确定因素对信息资产的损害的过程,它包括整体安全评估(OverallSecurityReviews)、风险分析(RiskAnalysis)、防御方案的选择和评估(EvaluationandSelectionofSafeguard)、效能分析(Cost/BenefitAnalysis)、管理决策(ManagementDecision)、防御方案部署(SafeguardImplementation)和效能评估(EffectivenessReviews)等步骤。
A-I-C三角是贯穿CISSPCBK的宗旨,这也是我们在CISSP复习中遇到的第一个重点,如何把抽象的A-I-C概念,转化成具体的知识?
J0ker打算用实际应用中的例子说明一下:
Availability,是确保信息资产对授权用户随时可用的能力,在实际应用中,我们可以把有可能损害可用性的威胁分成2类:
1、DenialofService拒绝服务2、会造成数据处理所需设备损失的自然灾害(火灾、水灾、地震等)或人为因素(恐怖袭击等)拒绝服务通常指因为用户或入侵者的原因导致某个数据服务无法向其用户提供服务的故障,比如计算资源的耗尽导致的计算机锁死、存储器资源的耗尽导致的文件读写失败、网络资源耗尽导致的网站无法访问等,但拒绝服务通常不会物理损坏数据服务所依靠的设备,进行释放资源之类的相关处理便可恢复正常。
而自然灾害和人为因素则是物理损坏,只能重新购置部署设备才能使数据服务恢复正常。
我们可以制定业务持续性计划(ContingencyPlanning),并通过物理(PhysicalControl,物理安全及设备备份)、技术(TechnicalControl,设备冗余、数据备份及访问控制)和管理(AdministrativeControl,各种策略流程等管理措施)手段来保证可用性。
Integrity,是确保信息资产不被有意或无意的未授权修改的能力,完整性通常由访问控制(AccessControl,各种验证、授权手段)和安全程序(SecurityProgram,保证信息和处理流程按照设计好的来执行,并提供数据完整性检查能力)这两者提供。
另外,完整性控制还有以下三个原则:
1、Needtoknow/LeastPrivilege,最低权限策略,用户应该只获得完成其工作的最低限度的资源访问和操作权限。
2、SeparationofDuties,职权分离,确保较为重要的工作流程由多人完成,防止出现欺诈行为。
比如常见的财务人员和审计人员分属于不同的部门便是职权分离的例子。
3、RotationofDuties,职务轮换,定期轮换重要职务上的人员,有助于防止出现欺诈,也可以在当前人员缺席的情况下很快使用其他人员替代。
Confidentiality,是确保信息资产不被未授权用户访问的能力,最近几年很受关注的身份管理和隐私问题也属于保密性这一范畴。
常见的保密性威胁有:
1、Hacker/Cracker,系统的未授权访问通常是由于黑客或骇客的入侵造成的。
2、Masqueraders,授权用户伪装成另外一个授权用户,或未授权用户伪装成授权用户的非法访问行为。
3、UnauthorizedUserActivity,授权或未授权用户对不属于其授权范围的资源的访问行为。
4、Unprotecteddownloadedfiles,用户违规把保密文件下载并存储在没有保护措施的地方。
5、Networks,保密文件未经加密便在网络上传输。
6、TrojanHorses,木马病毒盗取保密文件是近年来发生比较多的安全事故7、SocialEngineering,社会工程欺骗是这两年的一个关注热点。
3.复习信息安全管理复习信息安全管理在51CTO安全频道特别策划的CISSP的成长之路系列的上一篇文章复习信息安全管理
(1)里,J0ker给大家介绍了信息安全管理要实现的A-I-C目标和原则。
在接下去的文章,J0ker将带大家逐步深入信息安全管理的领域,并结合实际例子给大家解释该CISSPCBK中提到的诸多关键名词。
本文将介绍InformationSecurityManagementCBK中的风险评估(RiskAnalysisandAssessment)。
我们经常可以从媒体或者各种安全资讯上看到一个词风险(Risk),但具体到它的含义,以及它在信息技术领域所代表的意思,却没有太多的人可以说的清楚。
所谓“风险中存在机遇“,人们在选择机会的同时,也会遇到许多会造成损失的不确定因素,这些不确定的因素便称之为”风险“。
例如,买车能带来出行方便,但同时也会因为燃料费上涨、路费、维修等等不确定的因素导致意外的支出,而且尽管几率很小,也依然存在发生交通事故危害生命的情况。
因此,我们在选择一个机会之前,常常会或多或少的考虑机会之中包含着的不确定因素有哪些,更进一步的,我们还会想办法去了解机会之中的不确定因素到底有多大的可能发生,并准备一些可以降低发生几率或损失的措施。
同时为了更有效的准备和评估应对不确定因素的防御措施,我们还必须认真的了解不确定因素的各个组成元素,并搞清楚它们之间的关系,这个不确定因素的识别、分析和评估的过程,便是本文要介绍的风险分析和评估(RiskAnalysisandAssessment)。
进行过风险分析和评估之后,接下去自然就是如何应对风险在CISSPCBK中,风险的应对方式可以分成三种,J0ker还是用上面买车的例子来介绍:
假设买了车之后,在路上发生追尾事故的可能性为每三个月一次,如果车主采取了在交通繁忙时刻降低车速,选择另外车流量较小的道路或者在车上添置防追尾的设备,这都属于车主接受了风险存在的事实,并采取的降低风险发生可能性或损失的措施,我们称之为AccepttheRisk或MitigatetheRisk;如果车主认为部署防追尾的设备成本比追尾后修一次车还贵的多,或者因为其他原因而无视追尾危险,这样称之为RejecttheRisk,或IgnoretheRisk,风险并没有减轻,只是被忽略了。
还有一种较为常见的情况是车主通过购买保险,将追尾可能产生的各种费用转移到保险公司身上,这称之为TransfertheRisk,即风险转移。
Accept和Transfer是对待风险的常用方式,但在某些不太重要的场合,也可以选择用不作为的方式。
风险的识别、分析和评估、消除、转移整个流程我们称之为风险管理(RiskManagement),在进行风险管理的流程时,以下的关键的问题需要弄清楚:
1、Whatcouldhappen(Threatevent,风险的具体形式,威胁)2、Ifithappened,howbadcoulditbe(Threatimpact,威胁的影响程度)3、Howoftenitcouldhappen(Threatfrequency,威胁发生的频率)4、Howcertainaretheanswerstothefirstthreequestions(Recognitionofuncertainty,威胁发生的几率和不确定性)这些问题都可以从风险分析和评估中获得答案,威胁发生的不确定性是风险管理中的核心问题,当然,谁都希望为所有可能发生的情况做好充分的准备,但现实常常不允许我们这样考虑,我们只能够保证优先度最高的部位和风险最有可能发生的部位能部署到风险管理方案。
通过风险分析和评估,我们可以从上述4个问题中发现一些无法忽视的风险(UnacceptableRisks),我们需要部署相应的方案来应对它们,以下的问题需要了解清楚:
1、Whatcanbedone(RiskMitigation,风险消除方案)2、Howmuchwillitcost(annualized,方案每年平均成本)3、Isitcosteffective(Cost/BenefitAnalysis,费效比分析)上述问题的解答将最终决定一个实体对风险对象的最终解决方案,并执行管理层批准、财务提供预算、采购、部署、维护等流程进行实施。
对于IT领域,风险管理则更进一步的细化为InformationRiskManagement(IRM),因为IT技术不断的发展,IRM也是一个没有结束期,需要持续关注的行为。
在进行下面的内容之前,J0ker打算先向大家列出几个关键的名词:
SLE:
SingleLossExpectancy,风险发生时的单个对象的损失ARO:
AnnualizedrateofOccurrence,一年内风险发生的几率ALE:
AnnualizedLossExpectancy,风险发生时每年平均损失,ALE=SLEARO,即如果一个对象遭遇风险时损失(SLE)是10万元,每年发生该风险的几率(ARO)是1/100,那每年平均损失就是1000000.01=1000InformationAsset:
信息资产,对组织运作起关键作用的信息相关实体,比如客户资料、交易情况等等,信息资产的价值由许多元素组成,包括最基本的信息本身的价值、信息处理支持软件的价值、信息的Availability、Confidentiality、Integrity属性、信息处理所需的硬件设备也可认为属于信息资产,信息资产的价值还可以根据损失它后会对组织造成信息本身价值之外的损失的大小来进行评估。
Qualitative/Quantitative:
质化/量化,对于信息资产价值的评估,通常可以采用量化和质化的方式,对于能直接算出资产价值的对象,如设备、软件等,可以用量化的方式,直接算出它的价值。
对于另外一些无法量化的对象,如数据、业务流程等,则可以使用质化的方式,请使用该对象的人员,用分级的方式评估该资产的价值,J0ker觉得简单的五分法可以应付一般的任务,将信息资产按其对组织运营的重要程度,分为非常重要、重要、比较重要、一般、不重要五个级别,并对应1-5分,分值越高,信息资产的重要程度也越高。
Risk:
风险,潜在的损失或伤害,请参考本文前面的内容Threat:
威胁,有可能造成风险的因素,比如各种恶意软件、自然灾害等Safeguard:
风险防御措施,通常也称为Control,风险控制措施Vulnerability:
漏洞,风险防御措施的缺失或弱点,通常出现漏洞就意味着风险发生的频率更高和风险发生时损失更大。
比如没有安装反病毒软件便可认为是一个漏洞,会使恶意软件攻击的发生几率和损失更大。
信息风险管理是一个复杂的流程,它需要根据每个组织不同的信息资产和业务流程情况,并综合企业管理、经营预算、员工行为等来进行制定并执行。
如果大家有兴趣进一步深入IRM的领域,请参考CISSPOfficialGuide、AllinOne或其他CISSP参考书。
4.复习信息安全管理复习信息安全管理在51CTO安全频道特别策划的CISSP的成长之路系列的上一篇文章复习信息安全管理
(2)里,J0ker给大家简单介绍了风险分析和评估的一些要点。
我们都知道,如果同时做多个事情,就需要按照事情的轻重缓急来安排好执行的顺序和投入,实施信息安全项目时也必须如此,需要根据所要保护的信息资产的价值,来部署不同的安全方案,进行费效比评估,本文J0ker将向大家介绍的InformationClassification(信息分级),便是这样一个帮助组织更有效的进行安全项目的重要工具。
什么是信息分级?
信息分级是组织根据信息的业务风险(BusinessRisk)、数据本身价值和其他的标准,对信息进行等级的划分。
组织可以通过信息分级,发现影响影响组织业务的最显著因素,并根据信息等级对信息实施不同的保护、备份恢复等方案。
信息分级的目的在于降低组织保护自身所有信息的成本,同时,信息分级对关键信息的标识,也可以增强组织的决策能力。
组织实施信息分级有什么好处?
信息分级应该在组织级的层次上进行实施,如果在部门级别或更低的层次上进行实施,则体现不出它的优势。
组织实施信息分级的好处有:
1、组织范围的所有数据因为实施了正确的保护措施而提高了保密性、完整性和可用性2、组织可以尽可能有效的利用信息保护的预算,因为组织可以根据信息等级设计和部署最合适的保护方案3、组织的决策能力和准确性得以通过信息分级来增强此外,组织还能通过信息分级的处理过程,重新整理自身的业务流程和信息处理需求。
信息分级的一般流程各个组织因为自身的情况不同,信息分级项目的流程都各不相同。
CISSPOfficialGuide中提供了一个比较有效通用的流程,J0ker将要把它列在下面,并简单说一下CISSP考试中常见的题型和考察的重点,同时,这些知识点也是一个CISSP应该精通的内容。
一个标准信息分级项目的流程有:
1、初始准备,OfficialGuide里面把这个阶段概括为”Questiontoask“,并提供了若干问题,信息分级项目的主管应保证这个阶段的问题都得到满意解答才继续项目。
这些问题分别是:
管理层是否支持这个信息分级项目,不管信息分级项目还是其他更大的安全项目,管理层对项目的支持是项目成功的首要因素,CISSPCBK一直贯彻这个观点,也反映在CISSP考试的试卷上;要保护的信息对象和风险因素是什么,这可以通过接下去的风险分析步骤来得到解答;是否有法律法规上的要求,信息分级项目主管在实施项目时要优先考虑法律法规方面的因素;组织的信息是否为整个业务流程所拥有(Hasthebusinessacceptedownershipresponsibilityforthedata),按J0ker的理解,这个问题问的应该是组织是否已经意识到,信息是来自于并用于组织的整个业务流程,而非只存在于各种IT设施中。
是否
升级会员 