CISSP认证8大领域
2021-02-09 11:37:12 10 举报AI智能生成
CISSP认证涵盖了8大领域,包括安全与风险管理、资产安全、安全架构与工程、通信与网络安全、身份与访问管理、安全评估与测试、安全运营以及软件开发安全。这些领域涵盖了信息安全的各个方面,从风险评估和安全管理到网络和系统安全,再到身份验证和访问控制。CISSP认证旨在培养具有全面知识和技能的信息安全专业人员,他们能够有效地管理和保护组织的信息系统和数据。
作者其他创作
大纲/内容
D4 通信与网络安全(~D2)
1. 在网络架构中实施安全设计原则
1.1 OSI参考模型
七层协议
1.2 TCP/IP模型与协议
1.3 多层、汇聚协议、SDN、CDN
多层比如SCADA-NDP3<br>
1.4 网络架构和协议常见攻击<br>
拒绝服务:利用漏洞-死亡ping、大流量-SYN泛洪<br>
中间人攻击:TCP会话劫持、DNS劫持、偷听、假冒-重放-ARP欺骗
TCP架构脆弱性<br>
2. 网络组件安全
2.1 网络设备安全
组网类设备<br>
中继器、集线器、网桥-MAC、交换机、路由
访问控制设备
防火墙<br>
不同类型
不同架构:双宿、被屏蔽主机、被屏蔽子网<br>
2.2 网络组网安全
网络拓扑
局域网技术
无线网络
数据传输方式:单播、多播、广播<br>
3. 网络信道安全
3.1 网络安全机制
3.2 语音、多媒体、邮件信道安全<br>
语音信道
VoIP
数据信道
互联网加密
3.3 远程访问和虚拟专用网
VPN、PPTP<br>
D8 软件开发安全
1. 在开发生命周期中应用安全
1.1 软件开发安全的重要性<br>
“外强内弱<br>
不同的环境需要不同的安全
1.2 SDLC生命周期和模型
N 开发模型
集成开发团队和devops
CMMI 能力成熟度模型集成
开发项目管理
1.3 变更控制
开发阶段
生产阶段
1.4 编程语言、分布式、移动代码<br>
1.5 数据库管理
数据库管理系统
数据库模型
数据库术语
数据库编程接口
安全问题和对策
聚合和推理
数据库视图<br>
多实例
联机事物处理
ACID
数据存储和挖掘<br>
1.6 一些安全开发实践
源代码中的脆弱性
安全编码实践
开发环境的安全
2. 应用攻击(漏洞利用)和恶意代码
2.1 扫描和伪造攻击
IP、端口、漏洞、垃圾扫描<br>
2.2 系统和应用软件安全
缓冲区溢出
检验时间到使用时间
后门
权限提升和rookit
密码攻击:猜测、字典、社工
2.3 Web应用安全
SQL注入
XSS CSRF
目录遍历、unicode和url编码 ../ %20<br>
2.4 恶意代码
病毒<br>
蠕虫-火焰
rootkit
特洛伊木马-僵尸网络
逻辑炸弹
间谍软件和广告软件<br>
防恶意软件
特征型检测
启发式检测
行为阻止<br>
防病毒策略
D1 安全与风险管理<br>
1 信息安全管理基础
目标、原则、范围
CIA
保护机制:分层、抽象、隐藏<br>
4A
治理框架思路
安全治理:NIST
流程:变更管理、数据分类
组织的角色与责任
安全控制框架:COBIT5、ISO27002
满足法律合规
OSG1.3 策略、标准/基线、指南、程序
OSG1.5 将基于风险的管理理念应用到供应链:现场评估、文件、过程审查、三方审计<br>
2 安全风险管理
目标定义
活动实施
风险框架
活动中的特点-威胁建模
最终目标:是对危害组织有价值资产的潜在威<br>胁进行优先级排序。
微软 STRIDE、Trike
关注:资产、攻击者、应用程序
3 业务连续性计划
偏向策略,灾难恢复偏向运维
阶段
项目范围和计划
业务组织分析
挑选团队
资源需求<br>
法律和法规要求
业务影响评估BIA
确定优先级:RTO 小于 MTD
风险识别
可能性评估
影响评估
资源优先级排序
连续性计划
策略开发
预备和处理
人员、建筑设施
计划批准和实施
以及培训和教育、BCP文档化、<br>
OSG 2 人员安全和风险管理
D7 运营安全<br>
1 安全运营概述
出事了-调查取证
调查类型
行政调查
犯罪调查
民事调查
监管调查
电子发现参考模型
证据
实物、文档、言辞
调查过程
OSG-19.2 计算机犯罪的主要类别
军事和情报攻击
商业攻击
财务攻击
恐怖攻击
恶意攻击
兴奋攻击
OSG-19.3 道德规范
Y:因为安全专家要处理敏感信息,需要赢得信任
(ISC)2 的道德规范
序言+4准则
互联网道德规范
RFC 1087
运营-职责与管理
2 操作安全实践
部署要做的事
配置管理、变更管理
检测和分析
响应
OSG-17.1 事件响应管理<br>
OSG-17.2 落实检测和预防措施
OSG-17.3 日志记录、检测和响应
3 灾难恢复和备份
概述与能力
OSG-18.1 灾难的本质
自然、人为
OSG18.2 理解系统恢复和容错能力
OSG-18.3 恢复策略
子主题
流程方法与测试
D2 资产安全
1 资产安全概述<br>
1.1 信息资产安全基本概念(背景分析)<br>
数据策略、<br>
数据治理
数据文档化
信息生命周期:获取、使用、归档、处置<br>
1.2 信息分类分级
目的:量化损失和影响<br>
正确分类计划的必要10个步骤<br>
1.3 相关角色和职责
高级管理层
数据所有者、监管者、管理员<br>
系统所有者
安全管理员、审计员<br>
其他角色:主管、变更分析员、数据分析员、用户<br>
2 保护信息资产
2.1 恰当的数据保留
制定保留策略
保留什么数据?
保留多长时间<br>
在哪里保存
保留数据注意什么 -隐私平衡
ESI电子发现
2.2 保护隐私
隐私数据所有者和处理者<br>
隐私数据收集<br>
消除数据残留
覆盖、消磁、加密、物理销毁
2.3 确保恰当的数据安全控制<br>
数据安全控制
数据状态:静止、运动中、使用中<br>
介质控制和管理
电子/非电子
介质管理
保护其他资产
移动设备、纸质记录、保险箱<br>
2.4 数据泄露
常见数据泄露原因
数据泄露保护DLP
大局观,不只是技术
数据清单、数据流、数据保护策略、实现测试和调优<br>
分类:NDLP、EDLP、混合DLP<br>
D5 身份与访问管理(控制措施)
1 身份与访问控制概述
1.1 基本概念
访问:主体与客体间信息流动
资产的分类:物硬系信人无
目标和原则:可用性、完整性、机密性
控制分类
行政管理性
技术性
物理性
4A要素
竞态条件
1.2 标识和认证
身份验证
某人知道什么、某人拥有什么、某人是什么<br>
1.3 授权和可问责性
权限、权利、特权
授权机制和原则
知其所需
最小特权
授权蠕动
击键监控,涉及隐私界限
2 实施身份管理
2.1 身份管理和单点登录
IDM<br>
目录服务
密码管理
单点登录:/kerberos<br>
2.2 联合身份管理FIM
交叉认证模式
SAML、SPML<br>
可信第三方模式
OAuth<br>
OpenID
IDaaS
3 管理授权机制
3.1 访问控制模型
纵深防御策略
自主访问控制 DAC
体现在操作系统
强制访问控制 MAC
安全标签
角色访问控制 RBAC
集中管理
基于规则访问控制 RB-RBAC
基于属性访问控制 ABAC<br>
3.2 访问控制技术、管理和方法
访问控制技术
限制性接口
访问控制矩阵
功能表
ACL
内容相关访问
上下文相关访问
实现方式
行政管理、技术、物理
访问控制管理
集中式
RADIUS、Diameter
分散式
3.3 针对访问控制的威胁
访问聚合攻击
密码攻击
生日攻击
欺骗攻击
社会工程学
网络钓鱼:渔叉、捕鲸<br>
D6 安全评估和测试(针对控制措施)<br>
1. 概述
安全测试
安全评估
安全审计
2 措施
技术措施评估与测试
脆弱性测试
渗透测试
日志审查
误用案例测试
代码审查
接口测试
管理措施评估与测试
账户管理
备份验证
灾难恢复和连续性
3 评估与测试报告和管理
报告
SUS
威胁RMP、漏洞环境、可能性、建议措施
执行摘要
管理评审
ISO9007 -PDCA
D3 安全工程
1. 安全架构和安全
融入系统开发生命周期
在已有系统上引入安全架构
几种安全模型
2 安全控制和评估
OSG-8.3 基于系统安全需求选择控制措施<br>
CISSP 考试侧重于“为什么安全”而不是“怎么做到安全”<br>, 换句话说,它关注概念和理论而不是技术和实现。<br>
评估:技术认证、接受鉴定
OSG-8.4 理解信息系统的安全功能
内存保护、虚拟化
OSG-9 评估和缓解漏洞
计算机系统各组件介绍与漏洞
基于客户端的系统
applet、本地缓存
基于服务端的系统
关注数据流控制
数据库系统安全
分布式系统和端点安全、物联网、工业控制系统
评估和缓解基于web系统漏洞<br>
评估和缓解移动系统漏洞、嵌入式和信息物理系统漏洞<br>
基本安全保护机制<br>
技术机制:分层、抽象、数据隐藏、进程隔离、硬件分隔<br>
安全策略和计算机架构<br>
最小特权原则、特权分离、问责制<br>
常见的架构缺陷和安全问题
基于设计和编码:可信恢复、输入和参数检查、维护钩子和特权程序、增量攻击<br>
隐蔽通道:时间、存储
计时、状态改变和通信中断
3 密码学基础和应用
密码学的历史里程碑
密码学的基础知识<br>
现代密码学<br>
对称密码
非对称密码
散列函数<br>
数字签名
公钥基础设施
应用密码学
密码攻击
4 设计和实施物理安全
OSG-10.1 站点与设施设计的安全原则
OSG-10.2 实现站点与设施安全控制
管理类、技术类与现场类
OSG-10.3 物理安全的实现与管理
边界安全控制
自由主题
收藏
0 条评论
下一页
