CISSP官方教材最完备精华笔记-V1.0.pdf

CISSP官方教材最完备精华笔记 卫剑钒 本笔记遵循CC协议，署名-非商业性使用-相同方式共享 说明 本PPT是作者在对OSG书第7版的精华摘取和总结炼。 精华涵盖了OSG书所有值得了解和记忆的知识点。 通过该精华笔记，以及OSG练习题，我一次性顺利通过CISSP考试。 本人公众号：微月人话 本人微信：weijianfan 说明 本笔记绝大多数内容，主要来自OSG书。 少部分内容来自AIO 。 更少部分内容来自本人查看其他资料后的理解和整理。 本笔记涵盖的知识点，应考已经比较充分。 但考题中的确有OSG和AIO 中都没有的东西。 PPT标注OSGT的，表明知识点来自OSG题，是OSG书中没有的。 部分内容会反复出现，原因是OSG 中即是如此，本PPT忠于原书结构。 领域1-安全和风险管理 第1章 通过原则和策略的安全治理 1、常见的机密性保护措施：加密、流量填充、访问控制、身份认证、数 据分类、人员培训。 2、如果缺乏完整性，机密性也无法被维护。 3、机密性的相关概念还有：敏感性、自主性（自主决策是否披露信息）、 隐蔽性（concealment ）是覆盖、混淆、干扰；隐藏性（seclusion ）是把 信息放在一个偏僻的位置；隔离性。 4 、完整性：应该禁止未授权的修改操作，禁止授权了的主体执行了未授 权的修改操作，比如操作失误（删文件、更改配置、脚本错误）其实是 破坏了完整性，虽然授权了，但做了未授权的事。 5、完整性保护应该让客体内外保持一致，破坏完整性的事：病毒、逻辑 炸弹、漏洞、后门等等。要对各种活动进行记录，这样可以对完整性进 行监控。 5、完整性保护应该让客体内外保持一致，破坏完整性的事：病毒、逻辑 炸弹、漏洞、后门等等。要对各种活动进行记录，这样可以对完整性进 行监控。 6、保护完整性措施：访问控制、身份认证、入侵检测、加密（让他不好 改）、散列、接口限制、人员培训。 7、可用性：对可用性的破坏事件（不当行为或者失误）：意外删除文件， 资源分配不足，软硬件使用过度、客体分类不对或贴错标签（贴错了， 所以不可用）。 8、任何用户（包括管理员）的不当行为都可能破坏可用性，比如：对安 全策略的疏忽，对安全控制的配置不正确。 9、缺乏完整性和机密性，就无法维护可用性。 10、身份标识同时开启了可问责性。 11、什么是3A：认证、授权、可问责性（审计）。但实际上它指的是 5 个元素：身份识别、身份认证、授权、审计和可问责性。 12、只有支持可问责性，才能够正确实施组织的安全策略。 （前是认 证、日志等等都是准确的，不能只是简单的口令认证，有相应的通知和 警告、证据确凿，要让法庭相信你的证据） 13、不可否认性是可问责性不可缺少的部分。 （通过数字证书、会话ID、 事务日志、访问控制机制等等建立） 14、审计或监控（monitoring）是实施可问责性的程序化方式。 15、审计不仅记录主体及其客体的活动，而且还记录核心系统的活动。 比如系统崩溃可能表明存在bug或入侵企图。 16、日志文件为重建事件、入侵和系统故障的历史供了审计踪迹 （audit trails ）。 17、信息安全保护方法： 分层（连续分层／深度防御／多个实体防御） 抽象（分类管理） 数据隐藏（data hiding ／访问控制） 加密 18、顾名思义，数据隐藏（data hiding ）通过将数据置于主体不可访问或 无法看到的存储空间，从而防止主体发现或访问数据。比如： 不让未授权的访问者访问数据库； 限制分类级别较低的主体访问级别较高的数据也属于这种情况； 阻止应用程序直接访问硬件。 在安全控制和程序设计中，数据隐藏通常是一个关键要素。 19、安全是商业运行问题，是组织流程，而不只是 IT 怪才在幕后所谋之 事。使用安全治理这个术语就是为了强调这一点，这意味着安全是需要 整个组织同时进行管理和控制的，而不只是在 IT 部门。 20、安全管理计划（planning）目的是确保安全策略的适当创建、实现和 实施。