CISSP认证8大领域
2021-02-09 11:37:12 10 举报AI智能生成
CISSP认证涵盖了8大领域,包括安全与风险管理、资产安全、安全架构与工程、通信与网络安全、身份与访问管理、安全评估与测试、安全运营以及软件开发安全。这些领域涵盖了信息安全的各个方面,从风险评估和安全管理到网络和系统安全,再到身份验证和访问控制。CISSP认证旨在培养具有全面知识和技能的信息安全专业人员,他们能够有效地管理和保护组织的信息系统和数据。
作者其他创作
大纲/内容
D4 通信与网络安全(~D2)
1. 在网络架构中实施安全设计原则
1.1 OSI参考模型
七层协议
1.2 TCP/IP模型与协议
1.3 多层、汇聚协议、SDN、CDN
多层比如SCADA-NDP3
1.4 网络架构和协议常见攻击
拒绝服务:利用漏洞-死亡ping、大流量-SYN泛洪
中间人攻击:TCP会话劫持、DNS劫持、偷听、假冒-重放-ARP欺骗
TCP架构脆弱性
2. 网络组件安全
2.1 网络设备安全
组网类设备
中继器、集线器、网桥-MAC、交换机、路由
访问控制设备
防火墙
不同类型
不同架构:双宿、被屏蔽主机、被屏蔽子网
2.2 网络组网安全
网络拓扑
局域网技术
无线网络
数据传输方式:单播、多播、广播
3. 网络信道安全
3.1 网络安全机制
3.2 语音、多媒体、邮件信道安全
语音信道
VoIP
数据信道
互联网加密
3.3 远程访问和虚拟专用网
VPN、PPTP
D8 软件开发安全
1. 在开发生命周期中应用安全
1.1 软件开发安全的重要性
“外强内弱
不同的环境需要不同的安全
1.2 SDLC生命周期和模型
N 开发模型
集成开发团队和devops
CMMI 能力成熟度模型集成
开发项目管理
1.3 变更控制
开发阶段
生产阶段
1.4 编程语言、分布式、移动代码
1.5 数据库管理
数据库管理系统
数据库模型
数据库术语
数据库编程接口
安全问题和对策
聚合和推理
数据库视图
多实例
联机事物处理
ACID
数据存储和挖掘
1.6 一些安全开发实践
源代码中的脆弱性
安全编码实践
开发环境的安全
2. 应用攻击(漏洞利用)和恶意代码
2.1 扫描和伪造攻击
IP、端口、漏洞、垃圾扫描
2.2 系统和应用软件安全
缓冲区溢出
检验时间到使用时间
后门
权限提升和rookit
密码攻击:猜测、字典、社工
2.3 Web应用安全
SQL注入
XSS CSRF
目录遍历、unicode和url编码 ../ %20
2.4 恶意代码
病毒
蠕虫-火焰
rootkit
特洛伊木马-僵尸网络
逻辑炸弹
间谍软件和广告软件
防恶意软件
特征型检测
启发式检测
行为阻止
防病毒策略
D1 安全与风险管理
1 信息安全管理基础
目标、原则、范围
CIA
保护机制:分层、抽象、隐藏
4A
治理框架思路
安全治理:NIST
流程:变更管理、数据分类
组织的角色与责任
安全控制框架:COBIT5、ISO27002
满足法律合规
OSG1.3 策略、标准/基线、指南、程序
OSG1.5 将基于风险的管理理念应用到供应链:现场评估、文件、过程审查、三方审计
2 安全风险管理
目标定义
活动实施
风险框架
活动中的特点-威胁建模
最终目标:是对危害组织有价值资产的潜在威胁进行优先级排序。
微软 STRIDE、Trike
关注:资产、攻击者、应用程序
3 业务连续性计划
偏向策略,灾难恢复偏向运维
阶段
项目范围和计划
业务组织分析
挑选团队
资源需求
法律和法规要求
业务影响评估BIA
确定优先级:RTO 小于 MTD
风险识别
可能性评估
影响评估
资源优先级排序
连续性计划
策略开发
预备和处理
人员、建筑设施
计划批准和实施
以及培训和教育、BCP文档化、
OSG 2 人员安全和风险管理
D7 运营安全
1 安全运营概述
出事了-调查取证
调查类型
行政调查
犯罪调查
民事调查
监管调查
电子发现参考模型
证据
实物、文档、言辞
调查过程
OSG-19.2 计算机犯罪的主要类别
军事和情报攻击
商业攻击
财务攻击
恐怖攻击
恶意攻击
兴奋攻击
OSG-19.3 道德规范
Y:因为安全专家要处理敏感信息,需要赢得信任
(ISC)2 的道德规范
序言+4准则
互联网道德规范
RFC 1087
运营-职责与管理
2 操作安全实践
部署要做的事
配置管理、变更管理
检测和分析
响应
OSG-17.1 事件响应管理
OSG-17.2 落实检测和预防措施
OSG-17.3 日志记录、检测和响应
3 灾难恢复和备份
概述与能力
OSG-18.1 灾难的本质
自然、人为
OSG18.2 理解系统恢复和容错能力
OSG-18.3 恢复策略
子主题
流程方法与测试
8 DOMAIN
D2 资产安全
1 资产安全概述
1.1 信息资产安全基本概念(背景分析)
数据策略、
数据治理
数据文档化
信息生命周期:获取、使用、归档、处置
1.2 信息分类分级
目的:量化损失和影响
正确分类计划的必要10个步骤
1.3 相关角色和职责
高级管理层
数据所有者、监管者、管理员
系统所有者
安全管理员、审计员
其他角色:主管、变更分析员、数据分析员、用户
2 保护信息资产
2.1 恰当的数据保留
制定保留策略
保留什么数据?
保留多长时间
在哪里保存
保留数据注意什么 -隐私平衡
ESI电子发现
2.2 保护隐私
隐私数据所有者和处理者
隐私数据收集
消除数据残留
覆盖、消磁、加密、物理销毁
2.3 确保恰当的数据安全控制
数据安全控制
数据状态:静止、运动中、使用中
介质控制和管理
电子/非电子
介质管理
保护其他资产
移动设备、纸质记录、保险箱
2.4 数据泄露
常见数据泄露原因
数据泄露保护DLP
大局观,不只是技术
数据清单、数据流、数据保护策略、实现测试和调优
分类:NDLP、EDLP、混合DLP
D5 身份与访问管理(控制措施)
1 身份与访问控制概述
1.1 基本概念
访问:主体与客体间信息流动
资产的分类:物硬系信人无
目标和原则:可用性、完整性、机密性
控制分类
行政管理性
技术性
物理性
4A要素
竞态条件
1.2 标识和认证
身份验证
某人知道什么、某人拥有什么、某人是什么
1.3 授权和可问责性
权限、权利、特权
授权机制和原则
知其所需
最小特权
授权蠕动
击键监控,涉及隐私界限
2 实施身份管理
2.1 身份管理和单点登录
IDM
目录服务
密码管理
单点登录:/kerberos
2.2 联合身份管理FIM
交叉认证模式
SAML、SPML
可信第三方模式
OAuth
OpenID
IDaaS
3 管理授权机制
3.1 访问控制模型
纵深防御策略
自主访问控制 DAC
体现在操作系统
强制访问控制 MAC
安全标签
角色访问控制 RBAC
集中管理
基于规则访问控制 RB-RBAC
基于属性访问控制 ABAC
3.2 访问控制技术、管理和方法
访问控制技术
限制性接口
访问控制矩阵
功能表
ACL
内容相关访问
上下文相关访问
实现方式
行政管理、技术、物理
访问控制管理
集中式
RADIUS、Diameter
分散式
3.3 针对访问控制的威胁
访问聚合攻击
密码攻击
生日攻击
欺骗攻击
社会工程学
网络钓鱼:渔叉、捕鲸
D6 安全评估和测试(针对控制措施)
1. 概述
安全测试
安全评估
安全审计
2 措施
技术措施评估与测试
脆弱性测试
渗透测试
日志审查
误用案例测试
代码审查
接口测试
管理措施评估与测试
账户管理
备份验证
灾难恢复和连续性
3 评估与测试报告和管理
报告
SUS
威胁RMP、漏洞环境、可能性、建议措施
执行摘要
管理评审
ISO9007 -PDCA
D3 安全工程
1. 安全架构和安全
融入系统开发生命周期
在已有系统上引入安全架构
几种安全模型
2 安全控制和评估
OSG-8.3 基于系统安全需求选择控制措施
CISSP 考试侧重于“为什么安全”而不是“怎么做到安全”, 换句话说,它关注概念和理论而不是技术和实现。
评估:技术认证、接受鉴定
OSG-8.4 理解信息系统的安全功能
内存保护、虚拟化
OSG-9 评估和缓解漏洞
计算机系统各组件介绍与漏洞
基于客户端的系统
applet、本地缓存
基于服务端的系统
关注数据流控制
数据库系统安全
分布式系统和端点安全、物联网、工业控制系统
评估和缓解基于web系统漏洞
评估和缓解移动系统漏洞、嵌入式和信息物理系统漏洞
基本安全保护机制
技术机制:分层、抽象、数据隐藏、进程隔离、硬件分隔
安全策略和计算机架构
最小特权原则、特权分离、问责制
常见的架构缺陷和安全问题
基于设计和编码:可信恢复、输入和参数检查、维护钩子和特权程序、增量攻击
隐蔽通道:时间、存储
计时、状态改变和通信中断
3 密码学基础和应用
密码学的历史里程碑
密码学的基础知识
现代密码学
对称密码
非对称密码
散列函数
数字签名
公钥基础设施
应用密码学
4 设计和实施物理安全
OSG-10.1 站点与设施设计的安全原则
OSG-10.2 实现站点与设施安全控制
管理类、技术类与现场类
OSG-10.3 物理安全的实现与管理
边界安全控制
自由主题
收藏
0 条评论
回复 删除
下一页
