ISC2 CISSP考試準備心得

# ISC2 CISSP考試準備心得更新時間:2025/5/8 通過考試條件 --- - 簡體中文CAT考試，時間3小時，題目約在100-150題，由電腦判斷你的作答情況增減題目(CAT測驗) - 切記如果他超過100繼續那就繼續，125也是，最多就150 - CAT考試支援語系簡體中文、英文、德文、日文、西班牙文 - 單選或多選題 - 通過分數滿分為1000分，至少超過700分以上才會過 - 特別注意(ISC)2考試現在作答方式一但選擇後送出無法更改 - 考試地點 * Pearson Professional Test Center Taipei考試中心地址:台北市信義區基隆路一段163號12樓-3 (聯合世紀大樓) * 恆逸高雄考試中心地址:高雄市前鎮區中山二路2號25樓 (大眾財經大樓) - 考試費用:749美金 - 考試通過之後，你要做ENDORSEMENT也就是背書，基本上就是找一位持有CISSP且證照仍然有效的會員幫你，或者你也可以選擇ISC2幫你背書，可能需要你的學經歷、工作證明等等 - 會員年費:年費已經調整為一年135美元(如果你前面先考CC在同一年內已經交了50美金AMF，他會扣掉也就是135-50=85，你還需要補交85美金AMF - CPE學分:3年需要120個CPE學分，平均一年要40個CPE學分(A組30 B組10) **此證照為「數位發展部資安通安全署」認可之資通安全專業證照** 準備方向/攻略 --- 觀念要正確而且完整要懂得分析題目 / 判斷答案要在四個答案中選出最適當的先读一遍考题，再把答案选项读一遍，之后再读一遍考题先排除错误答案，再选择正确答案注意双重否定确保自己明白考题在问什么考試比重 --- 1.Security and Risk Management 安全与风险管理 16% 2.Asset Security 资产安全 10% 3.Security Architecture and Engineering 安全架构和工程设计 13% 4.Communication and Network Security 通信和网络安全 13% 5.Identity and Access Management (IAM) 身份识别访问管理 (IAM) 13% 6.Security Assessment and Testing 安全评估和测试 12% 7.Security Operations 安全运营 13% 8.Software Development Security 软件开发安全 10% 參考書籍 --- 清華大學 CISSP 信息系統安全專家認證 All-in-One, 9/e 清華大學 CISSP 官方學習手冊, 9/e (ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide, 9/e 清華大學 CISSP 信息系統安全專家認證 All-in-One, 9/e Sybex (ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide 9th ISC2道德准则的目的和意图 -- 作为 ISC2成员的网络安全专业人员对规范中的以下四个实体负有责任保护社会、共同利益、必要的公众信任和信心以及基础设施以光榮、誠實、公正、負責任和合法的方式行事为業主提供勤勉、称职的服务推进和保护职业(推动产业发展、维护职业声誉) 考试常见法规 --- 美国健康保险流通与责任法案 (HIPAA,1996)Health Insurance Portability and Accountability Act，这项美国联邦法律是美国最重要的医疗保健信息法规。美国经济和临床健康的卫生信息技术法案(HITECH,2009),Health Information Technology for Economic and Clinical Health Act。通用数据保护条例 (GDPR,2016)General Data Protection Regulation，欧盟通过了涉及个人隐私的综合立法，将其视为个人人权。美国联邦资讯安全管理法（FISMA,2002）Federal Information Security Management Act。美国在线隐私法案(OPA,2023)Online Privacy Act 。美国加州消費者隱私保護法案(CCPA,2018)California Consumer Privacy Act。美国加州在线隐私法案(CalOPPA,2003)California Online Privacy Protection Act。美国沙宾法案Sarbanes–Oxley Act（SOX,2002）是一部美国联邦法律，规定并监管公司的财务记录保存和报告做法。美国计算机欺诈和滥用法(CFAA,1984)Computer Fraud and Abuse Act。美国电子通讯隐私法(ECPA,1986)Electronic Communications Privacy Act。美国关键基础设施防护法案(NIIPA,1996)National Information Infrastructure Protection Act。美国宪法第四修正案（Amendment IV,1792）Fourth Amendment to the United States Constitution。通信协助执法法案(CALEA,1995)Communication Assistance for Law Enforcement Act。金融服务法现代化法案(GLBA,1999)Gramm-Leach-Bliley Act，亦稱《格雷姆─里奇─比利雷法案》。家庭教育权利与隐私权法案(FERPA,1974)The Family Educational Rights and Privacy Act，有时也称为巴克利修正案。数位千禧年著作权法(DMCA,1998)Digital Millennium Copyright Act。瓦森纳协定,(Wassenaar Arrangement,1996)The Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Good and Technologies，全称为《关于常规武器与两用产品和技术出口控制的瓦森纳协定》。考试常见标准 --- ISO/IEC 27001 信息安全管理体系标准 ISO/IEC 27002 信息安全、网络安全和隐私保护信息安全控制 ISO/IEC 27005 信息安全风险管理 ISO/IEC 27017 云服务信息安全管理体系 ISO/IEC 27018 云隐私保护 ISO/IEC 31000 风险管理体系 ISO/IEC 15408 信息技术安全评估准则（Common Criteria for Information Technology Security Evaluation,CC） ISO/IEC 15288 系统与软件工程领域中的核心标准 ISO/IEC 17788 信息技术云计算概述和词汇 ISO/IEC 22301 业务连续性管理的国际标准 ISO/IEC 22313 安全和恢复力/业务连续性管理系统 ISO/IEC 29100 信息技术安全技术隐私框架 ISA/IEC 62443 针对“工业通信网络-网络和系统的IT安全性”（Industrial communication networks - IT security for networks and systems）的一系列的国际标准 FIPS(Federal Information Processing Standards)美国联邦信息处理标准 SSAE(Standards for Attestation Engagements)鉴证业务准则公告 SOC(System and Organization Controls)系统与组织控制 PCI DSS(Payment Card Industry Data Security Standard)支付卡行业数据安全标准 - 由支付卡行业安全标准委员会管理的信息安全标准，适用于处理信用卡或借记卡交易的商家和服务提供商。章節/分類重點提示 --- Domain 1 -- **1.Security and Risk Management 安全与风险管理** CIA+GRC 机密性、完整性和可用性、真实性与不可抵赖性机密性 (Confidentiality) 完整性 (Integrity) 可用性 (Availability) 真实性 (Authenticity) 可追溯性 (Accountability) 不可抵赖性 (Non-repudiation) I+AAA (Identification and Authentication, Authorization and Accountability)->Domain 5 Disclosure, Alteration, and Destruction CIA三元素同时也描述对立的三项：泄漏(Disclosure)、变造(Alteration)、破坏(Destruction)，合并起来是DAD。 AAA服务五个要素:识别→身分认证→授权→审计→记帐(或问责制度) 风险(Risk) 风险管理是识别、评估和减轻风险的过程风险管理——识别、评估和控制威胁的过程，包括风险背景（或框架）、风险评估、风险处理和风险监控的所有阶段。風險管理就是將風險控制到經營高層可接受的範圍如果用概念化公式表达，那么可将风险定义为：风险＝威胁＊脆弱性 Risk = Threats X Vulnerability 风险＝损害的可能性＊损害的严重程度风险(Risk)是威胁利用脆弱性对资产造成损害的可能性或概率以及可能造成损宵的严重程度。威胁事件发生的可能性越大，风险越大。威胁的发生可能造成的损害越大，风险也越大。每个暴露实例都是种风险。脆弱性(Vulnerability)是资产中的弱点，是防护措施或控制措施的弱点，或防护措施／控制措施的缺乏。换句话说，脆弱性是使威胁能够造成损害的缺陷、漏洞、疏忽、错误、局限性、过失或薄弱环节。风险分析、评估和范围定晕风险分析可计算出具体概率指数或用数字指示出相关风险的可能性。这意味着定量风险分析的最终结果是一份包含风险级别、潜在损失、控制措施成本和防护措施价值等货币数据的报告。定性风险分析：由于并非任何风险均可以透过定量风险分析手段计算其风险，故采用定性风险分析有助于评估不容易量化的风险，此分析手段需要依据组织实际状况，所牵涉的资产价值，仰赖风险管理小组的经验，对风险做出评分(Scoring)。手段可能有：访谈、脑力激荡、Delphi法、检查表(点检表)、实地视察或状况推演等。风险等级 Level of Risk = Probability + Impact 暴露因子(EF)表示如果已发生的风险对组织的某个特定资产造成破坏，组织将因此遭受的损失百分比。 EF 也可被称为潜在损失。每个资产分配资产价值(asset value, AV) 每个资产－威胁组合，计算暴露因子(exposure factor, EF) 计算单一损失期望(single loss expectancy, SLE) 计算每个威胁在一年之内实际发生的可能性，年度发生率(annualized rate of occurrence, ARO) 年度损失期望(annualized loss expectancy, ALE)得到每个威胁可能带来的总损失 ALE ＝单一损失期望(SLE) ＊年度发生率(ARO) ALE ＝资产价值(AV) ＊暴露因子(EF) ＊年度发生率(ARO) 单一损失期望单一损失期望(SLE)是特定资产发生单一真实威胁的潜在损失。 SLE 代表的是如果某个资产被特定威胁损害，组织将（或可能）遭受的潜在确切损失。 SLE ＝资产价值(AV) ＊暴露因子(EF) 防护措施进行成本／效益分析，就必须计算出以下三个元素：资产与威胁组合在防护措施实施前的ALE 资产与威胁组合在阮护措施实施后的ALE ACS(annual cost of the safeguard, 防护措施的年度成本）最终可得到针对特定资产的特定风险所采用的特定防护措施的成本/收益计算公式：（院护措施实施前的ALE－防护措施实施后的ALE)-ACS 在风险管理情方面，ALE 概述了哪些信息 ->年化损失期望值（Annualized Loss Expectancy, ALE）是风险暴露的一个标准指标，指的是如果某个风险没有得到缓解，每年的预期费用。风险-可能对组织产生负面影响的事件。风险管理是识别、评估和减轻风险的过程风险管理——识别、评估和控制威胁的过程，包括风险背景（或框架）、风险评估、风险处理和风险监控的所有阶段。风险响应和处理（如网络安全保险）风险缓解(risk mitigation) 降低风险或缓解风险是指通过实施防护措施、安全控制和安全对策以减少或消除脆弱性或阻止威胁。实施加密措施和使用防火墙是常见的降低风险或缓解风险的范例。风险转让(risk assignment)或风险转移指将风险带来的损失转嫁给另一个实体或组织。转让或转移风险的常见形式是购买网络安全或传统保险和外包。这也被称为风险的转移和风险的转让。风险威慑(risk deterrence)是对可能违反安全和策略的违规者实施威慑的过程。目的是说服威胁主体不进行攻击。风险威慑的事例包括实施审计、安全摄像头、警告横幅、使用安保人员等并。风险规避(risk avoidance)是选择替代的选项或活动的过程，替代选项或活动的风险低千默认的、通用的、权宜的或廉价的选项。风险接受(risk acceptance)或风险容忍是成本／收益分析表明控制措施的成本将超过风险可能造成的损失之后的结果。这也意味着管理层已同意接受风险造成的后果和损失。风险拒绝(risk rejection) 一个不可接受的但可能发生的风险响应是拒绝风险或忽略风险。否认风险的存在并希望它永远不会发生，并不是有效的或审慎的应尽关心／尽职审查的风险响应方式。拒绝或忽略风险的行为在法庭上可能被视为存在疏忽。总风险的概念化公式如下：威胁＊脆弱性＊资产价值＝总风险总风险和残余风险的差额被称为控制间隙。控制间隙指通过实施防护措施而减少的风险。残余风险的概念化公式如下：总风险－控制间隙号戈余风险。 **资讯安全治理** GRC: Governance、Risk Managerment、Compliance 信息安全(InfoSec)团队应由指定的首席信息安全官(CISO)领导 CISO 直接向高级管理层（如CIO 、CEO 或董事会）汇报首席信息安全官(CISO) CISO 直接向高级管理层（如CIO 、CEO 或董事会）汇报审计委员会 (Audit committee):负责监督财务报告的完整性、公司的内部控制系统、审计过程的独立性以及执行内部和外部审计的工作。治理委员会 (Governance committee):这个委员会专注于公司治理的各个方面，确保公司符合最佳治理实践。业务持续性指导委员会 (Business continuity steering committee)：通常在操作层面设立，以确保业务持续性计画（BCP）的制定和执行。应尽关注 Due care(遵循规范/补漏洞) 企业必须要承担这个责任，尽心做好安全管理、尽力阻止安全漏洞、尽量消灭安全风险，以减少潜在的利益损失和负面影响尽职调查 Due Diligence(限定时间/找漏洞) 企业必须要开展这样活动，全面了解隐患、准确发现安全漏洞、客观评估安全风险，确保后续能真正有效实施安全控制与保护工作人員入职后首先签署雇佣协议，根据岗位不同可能会涉及签署保密协议（NDA）和竞业协议（NCA）。其次，需要对员工进行培训，包括组织文化、策略、流程、技能等；根据员工岗位分配系统访问权限。特权蠕变（privilege creep）：随着员工工作涉及的内容越来越多，可能获得了超过其岗位规定的权限。职责分离的原则 (Separation of Duties)，任何用户都不应该被赋予足够的权限来滥用系统。最小特权原则 (Least Privilege) 规定，应该只给予用户完成其特定任务所需的特权，用户和程序应仅具有完成其任务所需的最低权限的原则。 NIST SP 800-179 强制休假（mandatory vacations）：要求员工离开岗位1～2周，由其他员工顶替前者工作，用于发现滥用、欺诈或疏忽。合谋（collusion）：采用职责分离、强制休假、工作轮换和交叉培训等原则，因被发现的风险较高，可降低员工愿意合作实施非法或滥用计划的可能性。用户和实体行为分析（UEBA）：通过对用户和实体的分析，有助于改进人员管理计划。员工离职时，需要注意以下内容：在员工收到终止通知的同时或之前禁用员工的用户帐户，不直接删除为了审计目的、离职面谈强调NDA和NCA的责任、确保员工归还公司资产，包括但不限于钥匙、门禁卡、手机、电脑等、安排安保人员陪同员工在工作区回收个人物品、通知所有人员该员工已离职。 Domain 2 --- **2.Asset Security 资产安全** 盘点、分类、分级、保护资料分级绝密(Top Secret)、秘密(Secret)、机密(Confidential)、未分类 (Unclassified) 机密/专有(Confidential/Proprietary)、私有(Private)、敏感(Sensitive)、公开(Public) 資料處理生命週期(Data acquisition、Data use、Data archival、Data disposal) 数据安全生命周期模型的六个阶段是：创建->存储->使用->共享->归档->销毁。敏感数据个人身份信息（Personally Identifiable Information，PII）受保护的健康信息（Protected Health Information，PHI）资产盘点、分类、保护、资讯系统的组成(资料(Data)、电脑系统(Computer Systems)、作业系统(OS)、软体(Software)、网路(Network)、机房(Data Centers)、人(People)、业务程序(Business process)) 资产安全(Asset Security)=资讯系统安全(Information Systems Security) 数据残留(Data Remanence)是指擦除后仍遗留在存储介质上的数据。数据销毁擦除(Erasing)：删除数据的映射链接，如删除和格式化操作，实际上没删除数据，需要拷贝新数据直到塞满空间才能把老数据彻底清除掉。清理(Clearing)：也叫覆写（overwriting），知道了擦除的缺陷，则使用字符填充满介质的空间就能解决问题，但需要注意有一些空间，如坏道，无法通过该方法清除，因为逻辑上你也读取不了。清除(Purging)：简单理解就是多次清理(Clearing)，可用于介质的重用，但无法保障彻底的可信。消磁(Degaussing)：针对有磁性的存储介质(如磁带)，可以使用消磁对介质上的数据进行清理，不会被影响的介质有CD、DVD或SSD等。销毁(Destruction)：物理超度——最安全的方式，但你得有钱。解除分类(Declassification)：当你想要重复使用存储介质时，如存储绝密数据的介质，不再存储绝密数据，转而想存储公开数据时，则需要对介质进行解除分类操作，该操作会使用以上多种方法组合进行，但是通常安全解除介质分类所需的努力远大于在较不安全环境中使用新介质的成本，即数据价值大于介质成本。净化(Sanitization)：净化指直接销毁介质或使用可信方法从介质中清除机密数据而不销毁它，其实就是以上方式的组合拳，最牛逼的清理方式，但物理超度更牛逼。加密擦除如果数据在设备上加密，则可以使用加密擦除（cryptographic erasure）来销毁数据。加密擦除不是真的去擦除数据，而是销毁加密密钥，数据仍处于加密状态无法访问，使用其他方法再覆盖数据。需注意的是销毁本地密钥后，还需要销毁备份的密钥，适合云环境安全删除数据。加解密加密将消息从明文转换为密文的过程和行为。有时它也被称为加密。这两个术语有时在文学作品中可以互换使用，并且具有相似的含义。解密加密的逆过程。它是通过使用密码算法和适当的解密密钥（对称加密相同，非对称加密不同）将密文消息转换回明文的过程。该术语也可与“解密”互换使用。密文明文消息的更改形式，因此除了预期的收件人之外，任何人都无法阅读。换句话说，它已经变成了一个秘密。明文自然格式和可读形式的消息或数据；从机密性的角度来看非常脆弱。對稱式加密 Symmetric 对称密钥算法是一类加密算法，它使用单一密钥对数据进行加密和解密。常見的對稱加密演算法有AES、ChaCha20、3DES、Salsa20、DES、Blowfish、IDEA、RC5、RC6、Camellia。非對稱式加密 Asymmetric 非对称密码学使用一对相关的密钥：公钥和相应的私钥。用公钥加密的信息只能由其相应的私钥解密，反之亦然。公開金鑰密碼學（英語：Public-key cryptography）也稱非對稱式密碼學（英語：Asymmetric cryptography）是密碼學的一種演算法，它需要兩個金鑰，一個是公開密鑰，另一個是私有密鑰；公鑰用作加密，私鑰則用作解密。使用公鑰把明文加密後所得的密文，只能用相對應的私鑰才能解密並得到原本的明文，最初用來加密的公鑰不能用作解密。常見的公鑰加密演算法有：RSA、ElGamal、Rabin（RSA的特例）、DSA、ECDSA。高级加密标准的Rijndael加密算法支持的最大密钥长度是256 bits 散列函数一种算法，用于计算数据文件或电子消息的数值（称为散列值），用于表示该文件或消息，并取决于文件或消息的全部内容。哈希函数可以被认为是文件或消息的指纹。 NIST SP 800-152 散列对数据使用数学算法以生成代表该数据的数值的过程。来源 CNSSI 4009-2015 Domain 3 --- **3.Security Architecture and Engineering 安全架构和工程设计 ** 安全控制框架是信息和相关技术控制目标（COBIT） Control Objectives for Information and Other Related Technology 信息系统和组织的安全和隐私控制（NIST SP800-53）风险管理框架（NIST RMF）初始(Initiation) 开发/筹获(Development/Acquisition) 执行/评鉴(Implementation/Assessment) 运作与维护(Operations and Maintenance) 网络安全框架（NIST CSF） 1.0 五个核心功能构建，也就是识别、保护、侦测、回应、复原 2.0 六大核心功能，也就是治理（Govern）、识别（Identify）、保护（Protect）、侦测（Detect）、回应（Respond）、复原（Recover） Sherwood 业务安全架构SABSA(Sherwood Applied Business Security Architecture) 背景层（Contextual Layer）概念层（Conceptual Layer）逻辑层（Logical Layer）物理层（Physical Layer）组件层（Component Layer）运营层（Operational Layer） ITIL框架资讯技术基础设施库(information Technology Infrastructure Library,ITIL) 服务策略（Service Strategy）服务设计（Service Design）服务过渡（Service Transition）服务运营（Service Operation）持续服务改进（Continual Service Improvement, CSI）联邦风险和授权管理计划 (FedRAMP) 美国政府范围内的一项计划，旨在标准化联邦机构使用的云产品和服务的安全评估、授权和持续监控流程。网络安全框架 (CSF) 专为关键基础设施和商业组织而设计。 Domain 4 --- **4.Communication and Network Security 通信和网络安全** OSI七层实体层（Physical Layer）网路线、网路卡与集线器（Hub），都是平常容易接触到的实体层设备。网路线包括办公室及机房内常见的RJ-45 UTP双绞线、有线电视使用的同轴电缆，以及应用在骨干网路的光纤缆线等。不过，对无线网路而言，只要可以传输电波的介质，都属于它的传输媒介。资料连结层（Data Link Layer）资料连结层介于实体层与网路层之间，主要是在网路之间建立逻辑连结，并且在传输过程中处理流量控制及错误侦测，让资料传送与接收更稳定。资料连结层将实体层的数位讯号封装成一组符合逻辑传输资料，这组讯号称为资料讯框（Data Frame）。网路交换器（Switch）是这个层级常见的设备。网路层（Network Layer）互联网协议（IP）是一个第3层的协议。互联网控制消息协议（ICMP）和互联网组管理协议（IGMP）也是第3层的协议。 IP（v4·v6）、ICMP（v6）、IGMP、IS-IS、IPsec、BGP、RIP、OSPF、RARP 路由器、三層交換機(Layer 3 Switch) 传输层（Transport Layer）该层的协定为应用行程提供端到端的通讯服务，它提供面向连接的资料流支援、可靠性、流量控制、多路复用等服务。協定:TCP（T/TCP · Fast Open）、UDP、DCCP、SCTP、RSVP、PPTP、TLS/SSL 会议层(对谈层)（Session Layer）会话层为使用者端的应用程式提供了开启、关闭和管理会话的机制，亦即半永久的对话。对谈的实体包含了对其他程式作会话连结的要求及回应其他程式提出的会话连结要求。表现层(表示层)（Presentation Layer）表现层(Presentation)亦称表达层，为不同终端的上层使用者提供资料和资讯正确的语法表示变换方法。如文字档案的ASCII格式和UTF-8格式。应用层（Application Layer）简单网络管理协议（SNMP）是一个用于配置和监控连接到网络的设备的协议。它是一个应用级协议（第7层）路由器是一种作为两个或多个网络之间的网关的设备，在它们之间转发和引导数据包。 TCP/IP 四层应用层（Application Layer）传输层（Transport Layer）网络层（Network Layer）数据链路层（Data Link Layer）多层协议正常封装 [MAC[IP[TCP[HTTP]]]] 应用层封装 [MAC[IP[TCP[TLS[HTTP]]]]] 网络&应用层封装 [MAC[MPLS[IP[TCP[HTTP]]]]] 软件定义网络（SDN） SDN将基础设施层（即数据平面和转发平面，硬件及相关配置）与控制层（数据传输管理的网络服务）分离。控制平面使用协议来决定向何处发送流量，而数据平面包含决定是否转发流量的规则。SDN取代了传统组网方案，通过SDN控制器对不同厂商的网络设备进行统一管理，灵活、便利、具有成本效益。虚拟SAN 由于传统SAN的硬件复杂、成本高，可通过虚拟化网络创建SAN。软件定义存储（SDS）一种策略驱动的存储管理和资源调配解决方案，独立于实际的底层存储硬件。软件定义广域网（SDWAN）可用于管理远程数据中心、远程位置和跨WAN链路的云服务之间的连接和控制服务。无线网路与安全 ad hoc模式：两个终端互接，仅支持WEP。 Wi-Fi Direct模式：ad hoc模式升级版，支持WPA2和WPA3。有线等效隐私（WEP）：使用预定义的RC4密钥进行身份验证（即预共享密钥认证-PSK）和加密。由于共享密钥是静态的且RC4的缺陷，导致WEP极度不安全。 WiFi受保护访问（WPA）：使用RC4算法，采用临时密钥完整协议（TKIP）以及轻量级可扩展身份验证协议（LEAP）。WPA已不再安全，容易受到coWPAtty等工具的破解。 WiFi受保护访问（WPA2）：使用AES算法，采用计数器模式密码块链消息完整码协议（CCMP）以及两种身份验证协议，分别是PSK（也称个人-PER）和802.1X（也称企业-ENT）。PSK使用静态密码，802.1X支持使用AAA服务，如RADIUS。 WiFi受保护访问（WPA3）：使用AES算法，采用数器模式密码块链消息完整码协议（CCMP），但将ENT密钥长度增加到192位（PER仍使用128位）。将PSK身份验证替换为等值同时认证（SAE），仍然使用密码，但不再加密发送密码，而是采用蜻蜓密钥交换（Dragonfly Key Exchange）技术，是Diffie–Hellman的衍生物。WPA3实现了管理帧保护，加强管理操作的安全性。网络准入控制（NAC）通过严格遵守和实施安全策略来控制对环境的访问。基于代理：在每个受管系统上安装NAC监控代理，定期检索配置文件，以对照本地系统检查当前配置基线要求。基于无代理：从NAC服务器对网络系统执行端口扫描、服务查询和漏洞扫描，以确定设备是否经过授权且符合基线。防火墙静态包过滤防火墙：基于五元组的单包过滤，也叫无状态防火墙。电路级防火墙：基于SOCKS（会话层）进行过滤，不过滤流量内容。状态检测防火墙：评估网络流量的状态、会话或上下文再进行过滤，还可以执行深度数据包检查（DPI），即对数据包的有效载荷内容进行分析。 WAF应用层防火墙：基于单个互联网服务、协议或应用程序过滤流量，如web应用防火墙（WAF）。 IPS/IDS/IDP 入侵侦测系统(Intrusion Detection System，IDS)：只侦测不动作入侵预防系统(Intrusion Prevention System，IPS)：侦测+动作特征式侦测(Signature-Based-Detection):以知识为基础，此种侦测方式只认得既有/已认定的异常行为。异常行为式侦测(Anomaly-Based-Detection):以行为做基础，此种方式旨在侦测偏离正常范围的行为，透过搜集资料->建立模型->机器学习的方式来订定正常范围。使用IDS/IPS侦测时特别需要注意: 误报(False Positive):没事但告警漏报(False Negative):有事但没告警在软体上安装Agent来监视主机行为:Host-Based IDS 在硬体上用Sensor来监视网路行为:Network-Based IDS 域名系统安全扩展（DNSSEC）为每个DNS服务器提供数字证书，用于身份验证，并提供加密会话，解决DNS服务器滥用问题。 Proxy 代理服务器是应用程序级防火墙或电路级防火墙的变体，常用于为专用网络上的客户端提供internet访问，同时保护客户端的身份。转发代理：作为外部资源查询中介的标准代理。反向代理：提供与正向代理相反的功能，它处理从外部系统到内部服务的入站请求。透明代理：客户端未配置直接向代理发送查询，但网络仍将出站流量路由到代理。非透明代理：当客户机配置为直接向代理发送出站查询时，将使用非透明代理。非透明代理可以使用手工设置或使用代理自动配置（PAC）文件设置。 Domain 5 --- **5.Identity and Access Management (IAM) 身份识别访问管理 (IAM)** I+3A Identification + Authentication + Authorization + Accounting 授权(authorization) 问责(accountability) 多因子认证 (MFA) Something you have 通过短信发送或由移动应用程序生成的一次性密码是“您拥有的东西”身份验证因素的一个示例，因为需要访问智能手机才能访问该代码。 TType I：你知道的东西（密码等）Something you know (password, etc.) Type II：您拥有的东西（智能卡等）Something you have (smartcard, etc.) Type III：你是什么（生物识别）Something you are (biometrics) LastPass 或 Bitwarden ->Something you know 你做的事 Something you do Type I error 假阴性 False negative Type II errors 假阳性 are false positives 交叉错误率 (CER) 是身份验证系统的误报率和漏报率相等的点。这意味着合法用户被拒绝访问的可能性和非法用户被授予访问权限的可能性相同。注意到談IDS就只有誤報(偽陽性,False Positive)及漏報(偽陰性,False Negative)，門禁就只有錯殺(FRR)及錯放(FAR) , 只有談統計的假設檢定或Machine Learning的分類器才會用Type I或Type II錯誤。多对一 Many-to-one Zero Trust 零信任 FIDO 是支持无密码身份验证的标准零信任访问控制模型根据具体情况授予对组织资源的访问权限。这些系统使用基于角色的访问控制和其他潜在风险因素（位置等）来确定是否授予对资源资产的访问权限。身份管理生命周期身份管理生命周期的三个主要阶段如下： Provisioning配置：验证用户的身份（校对）并为其生成凭据。 Review审查：检查实体的访问和权限是否符合其职责。 Revocation撤销：取消实体的访问权限。身份和访问管理（IAM）的三项主要活动： Account access review帐户访问审核 Auditing审计 Enforcement执行联合访问（例如，开放授权 2 (OAuth2)、安全断言标记语言 (SAML)）结构化信息系统促进组织 (OASIS) 定义了安全断言标记语言 (SAML)，用于在联合安全域之间传输身份和访问信息。 SAML 断言向服务提供商 (SP) 提供可用于做出自己的访问控制决策的信息。虽然此信息可能包括主体的身份、属性和授权决策语句（描述应允许主体采取特定操作的场景），但 SAML 断言不包括最终的访问控制决策。強制存取控制 MAC,Mandatory Access Control 要求系统本身根据组织的安全策略管理访问控制的访问控制。用户没有太多自由确定谁可以访问他们的文件。由系统对用户创建的对象进行统一的强制性控制。自主存取控制 DAC,Discretionary Access Control 自主访问控制 (DAC) - 一定数量的访问控制留给对象所有者或任何其他有权控制对象访问的人自行决定。所有者可以确定谁应该拥有对象的访问权限以及这些权限应该是什么。 NIST SP 800-192 識別存取控制 IBAC,Identify-Based Access Control 基于身份的访问控制，网络管理员使用此模型可基于个人需求更加有效地管理活动和访问。規則基礎存取控制 RuBAC,Rule-Based Access Control 以角色為基礎的存取控制傳統超級使用者型系統會將完整的超級使用者權力，授與任何一個可以成為超級使用者的人。管理員可指定有限的管理功能給一般使用者。角色访问控制（Role-based Access Control, RBAC）根据组织中每个用户的角色来限制对计算机或网络资源的访问。根据工作标题允许访问。RBAC 在提供对对象的访问时很大程度上忽略了自由。例如，一个人类资源专家不应该允许创建网络账户，此角色应该保留给网络管理员。屬性存取控制 ABAC,Attribute-Based Access Control ABAC是一个访问控制模型，它使用规则控制对对象的访问，这些规则根据主体的属性、相关对象以及环境和行动的属性进行评估。內容型存取控制 CBAC,Context-Based Access Control 基于上下文的访问控制。访问规则ACL是通过将主体的验证身份与访问控制列表进行比较来允许或拒绝访问对象的指令。规则的一个示例是防火墙访问控制列表。默认情况下，防火墙拒绝从任何地址访问任何端口上的任何地址。然而，要使防火墙发挥作用，它需要更多的规则。职责分离的原则 (Separation of Duties)，任何用户都不应该被赋予足够的权限来滥用系统。最小特权原则 (Least Privilege) 规定，应该只给予用户完成其特定任务所需的特权，用户和程序应仅具有完成其任务所需的最低权限的原则。 NIST SP 800-179 Clark–Wilson 模型的访问控制关系（又称访问三元组）的三个部分是主体、客体和程序（或接口） Domain 6 --- **6.Security Assessment and Testing 安全评估和测试** 查验、访谈、测试威胁/弱点评估攻击模拟和威胁分析过程(Process for Attack Simulation and Threat Analysis, PASTA)是一种由七个阶段构成的威胁建模方法 PASTA 的七个阶段阶段1: 为风险分析定义目标阶段2: 定义技术范围(Defi血tion of the Technical Scope, DTS) 阶段3: 分解和分析应用程序(Application Decomposition and Analysis, ADA) 阶段4: 威胁分析(Threat Analysis, TA) 阶段5: 弱点和脆弱性分析(Weakness and Vulnerability Analysis, WV A) 阶段6: 攻击建模与仿真(Attack Modeling & Simulation, AMS) 阶段7: 风险分析和管理(Risk Analysis & Management, RAM) 一种被称为STRIDE 的威胁分类方案。STRIDE 是以下单词／短语的首字母缩写欺骗(Spoofmg) 篡改(Tampering) 否认(Repudiation) 信息泄露(Information Disclosure) 拒绝服务(DoS) 特权提升(Elevation of Privilege) DREAD 风险评级系统旨在提供灵活的评级解决方案損害程度(Damage):影響可再現程度(Reproducibility):不確定性可利用性(Exploitability):不確定性影響人數(Affected Users):影響可發現性(Discoverability) NIST 800-53A评估内容规范：查管理制度机制：查技术措施活动：查人员行为人员：查人员安全审计（Security Audits）美国-认证业务标准18号文（SSAE 18）国际-国际认证业务3402（ISAE 3402）这两个审计标准通常被称为服务组织控制（SOC）审计。 SOC 1：评估可能影响财务报告准确性的组织控制措施。 SOC 2：评估影响系统中存储的信息安全性和隐私的组织控制。报告是机密的，需要签署保密协议才可与外部组织进行共享。 SOC 3：SOC 2报告的摘要信息，可公开展示。 Type 1：报告覆盖一个特定时间点，审计管理制度描述的控制措施内容。 Type 2：报告覆盖一段较长时间（最少6个月），审计管理制度描述的控制措施实际运行情况。信息和相关技术控制目标（COBIT）-ISACA ISO 27001信息安全管理、ISO 27002 信息安全控制-ISO 适用的控制类型（如预防性、侦查性、纠正性）管理控制/行政控制/软性控制(Administrative controls) =>规章制度控制技术控制/逻辑控制(Technical controls) =>软件、硬件，如防火墙、ID、加密、身分认证以及鉴别机制物理控制(Physical controls) =>保护基础设施、人身安全以及资源安全的物理设施使用物理硬件设备解决基于流程的安全需求，例如徽章阅读器(讲的是RFID读卡机)、建筑物和设施的建筑特征，以及人们要采取的具体安全措施。 Domain 7 --- **7.Security Operations 安全运营 ** 日常营运、持续改善实体安全闸门 Mantraps:由两扇门组成的密闭空间 Turnstiles:旋转栅门围墙警卫照明监视器警报器访客管理周边入侵侦测(Perimeter Intrusion Detection) 紧急事件回应机房管理站點管理(Site Management)、周邊安全(PerimeterSecurity)及設施安全(Facility Security)。窗户(人身安全相关) 门窗开启警报器空调(电源相关) 暖通空调(Heating, Ventilation and Air Conditioning，HVAC）布线(电源相关) 电源(电源相关) 冗餘電力 Redundant Power 不斷電系統UPS 管道消防(人身安全相关) 灭火器和灭火系统气体灭火和液体灭火灭火器(A、B、C、D、K) 滅火系統(FM-200) 持续营运 BC业务连续性(Business continuity) 确保组织在突发事件期间能够继续关键运营的行动、流程和工具。 BIA營運衝擊分析(business impact analysis) 业务影响分析（BIA）是一种技术，用于分析中断如何影响一个组织，并确定所有业务活动和相关资源的关键程度。 BCP業務持續性計畫(Business continuity planning) 是一套基於「業務」運行的「管理要求」和「規章流程」，在一個企業中發生「突發事件」時能夠迅速做出反應，並且確保「關鍵業務」功能可以持續不造成業務中斷或業務流程，业务连续性计划（BCP）是一套预先确定的指令，描述了一个组织的任务和业务流程在重大中断期间和之后将如何维持。 RTO（Recovery Time Objective）最大可允许中断时间，指的是系统重启、回复正常运作所需花费的时间。 RPO（Recovery Point Objective）资料损失可允许的最远回溯时点，则是系统中断到重启期间所损失的资料量。 MTD(Maximum tolerable downtime)最大可容忍的停機時間。 MTO(Maximum Tolerable Outage)最大容許中斷是企業可以支持備用模式下的處理的最長時間。備用模式不適用於長期運行。MTO為業務連續性解決方案設定過渡到正常模式的時間段目標。 MTPD (maximum tolerable period of disruption )最大可忍受中斷時間如果產品或服務的交付不能恢復，組織生存能力將受到不可恢復的傷害之最大時間。备份备援本地备份、异地备份、云端备份。完整备份、差异备份、增量备份。备援站点依整备程度分三类:Hot Site、Warm Site、Cold Site。事件/故管理事件event 实际或潜在地危及信息系统的机密性、完整性或可用性或系统处理、存储或传输的信息的事件。网络或系统中任何可观察到的事件。来源：NIST SP 800-61 Rev 2 事件响应 (IR) - 缓解违反安全策略和推荐做法的情况。也称为事件处理。来源：NIST SP 800-61 Rev 2。事件响应计划 (IRP) - 一组预定指令或程序的文档，用于检测、响应和限制针对组织信息系统的恶意网络攻击的后果。来源：NIST SP 800-34 Rev 1 事故响应计划中常见的组成部分是（按照这个顺序）：准备；检测和分析；遏制、根除和恢复；事后审查。应急响应生命周期，根据国际广泛采用的 PDCERF 方法，应急响应生命周期分为6个阶段：准备、检测、遏制、根除、恢复、跟踪。也分为两大块威胁检测和安全事件处置。P → D → C → E → R → F → P DRP (Disaster Response Planning)災害復原計畫灾难恢复计划是应对重大故障或灾难时恢复信息系统的计划。灾难恢复计划（DRP）是一个在发生重大硬件或软件故障或组织设施被毁时处理和恢复业务的计划。灾难恢复计划的主要目标是将业务恢复到最后已知的可靠运营状态。 Domain 8 --- **8.Software Development Security 软件开发安全** 软件开发生命周期SSDLC 瀑布模型 Waterfall Model 螺旋模型 Spiral model 敏捷软件开发 Agile software development DevSecOps 软件成熟度模型（SCMM、SW-CMM、CMM）软件保证成熟度模型（SAMM） IDEAL模型甘特图(Gantt chart)是一种显示不同时间项目和进度之间相互关系的条形图。项目评估审查技术（PERT）是一种项目调度工具，用于判断软件产品大小和计算风险评估标准差。变更管理确保系统变化不会对业务运营产生不利影响的过程被称为: 变更管理是指实施必要的变更，使其不对业务运营产生不利影响的过程。变更管理流程请求变更（request）审核变更（review）批准/拒绝变更（approve/reject）测试变更（test）安排并实施变更（schedule and implement）记录变更（document）请求变更（RFC）是请求的第一个阶段：它从利益相关者的角度将变更正式化，其中利益相关者寻求程序或产品的变更。下一个阶段是批准阶段，每个利益相关者都会审查该变更，确定并分配相应的资源，最终批准或拒绝该变更（同时会适当地记录该批准或拒绝）。回滚阶段解决的是当监控变化表明失败或性能不足时要采取的行动。版本控制（versioning）通常指的是软件配置管理所使用的版本控制，如Apache 2.4.39。版本控制可以很好的标识不同版本之间的差异，有助于跟踪软件随时间的变更情况。配置管理（CM）有助于确保系统以安全、一致的状态部署，并在其整个生命周期中保持安全、一致的状态。基线和镜像通常用于部署系统。配置（provisioning）基线（baseline） --------------------- 雲端 -- 云计算- 一种模型，用于实现对可配置计算资源（例如，网络、服务器、存储、应用程序和服务）的共享池的无处不在、方便、按需的网络访问，可以以最少的管理工作快速配置和发布，或服务提供者交互。 NIST 800-145 公有云就是我们通常所说的面向公共用户的云。访问公共云非常容易。除了申请和支付云服务之外，没有真正的机制。它对公众开放，因此是一种共享资源，许多人将能够将其用作资源池的一部分。公共云部署模型包括可供任何消费者租用或租赁的资产，并由外部云服务提供商 (CSP) 托管。私有云是一种云计算模式，云基础设施专用于单一组织（而不与他人共享）。私有云从与公共云相同的技术概念开始，只是它们不是与公众共享，而是通常为构建自己的云的私有组织开发和部署。组织可以使用自己的资源创建和托管私有云。多租户技术意味着多个云供应商客户（租户）共享相同的计算资源。社区云是一种基础设施，多个组织基于共同的需求（可以是技术或监管）共享资源和基础设施。社区云可以是公共的，也可以是私有的。它们的独特之处在于它们通常是为特定社区云开发的。混合云指的是一种结合企业本地的基础设施、私有云服务和公共云来处理存储和服务的模式。混合云部署模型是通过结合两种形式的云计算部署模型创建的，通常是公共云和私有云。软件即服务（SaaS）中，消费者可以控制用户特定的应用配置设置，但不能控制底层应用逻辑和基础设施。功能即服务（FaaS）模式中，云客户部署应用层面的功能（通常为微服务），只有在该功能被执行时才会收费。平台即服务（PaaS）中，云客户不管理或控制底层云基础设施（包括网络、服务器、操作系统和存储），但对部署的应用程序和库有控制权。基础设施即服务（IaaS）模式为客户提供基本的计算资源（如处理、存储或网络），消费者能够部署和运行任意的软件，也可以选择操作系统。 SWG,Secure Web Gateway,安全网站闸道 CASB,Cloud Access Security Broker 云端存取资安代理(云端存取安全性代理程式) 置模式共有三种，分别为频外配置（Out-of-Band）的API 控制（API Control），以及内嵌配置（Inline）的反向代理（Reverse Proxy）以及前向代理（Forward Porxy）伫立于客户与云端服务间，以Proxy Mode及API Mode替企业解决资料上云过程中最重要的「内容资安（Data Security）」问题。 CIEM,Cloud Infrastructure Entitlements Management 云端基础结构权限管理可提供更好的权限管理，让您的企业资安团队从单一位置存取和管理您企业云端环境的存取权限，包括多重云端环境，一般来说，CIEM 可让您强制贯彻最低授权原则，并且扫描环境和云端基础架构组态设定以确保资源没有非必要的存取点。 note --- 使公司的移动设备能以标准化和集中化的方式，通过数字证书验证身份。这些移动客户端上的应用程序需要使用TCP 连接。 =>Diameter协议用户通过无线和有线传输连接网络，安全专家应选择以下哪种集中式访问控制协议=>Diameter协议 Diameter协议是作为下一代支持基于IP技术的AAA协议，是由RADIUS协议演进而来 Diameter 是在RADIUS和TACACS+的功能基础之上设计的协议，克服了两者的多项局限性 Diameter功能如下: 认证(Authentication) ：用户在使用网络系统中的资源时对用户身份的确认授权(Authorization) ：网络系统授权用户以特定的方式使用其资源审计(Accounting) ：网络系统收集、记录用户对网络资源的使用，以便向用户收取资源使用费用，或者用于审计等目的。以互联网接入业务供应商ISP为例，用户的网络接入使用情况可以按流量或者时间被准确记录下来一项不是GDPR 的关键条款=>临时工排除在外基于角色的访问控制=>用户在角色中的成员身份可方便地撤销，并基于工作分配要求重新建立一个新的身份审查公司里与数据泄露有关的策略和流程=>每个国家可能会有独特的通知要求软件代码曾有过少量更改，然后未经测试就发布了=>没有执行回归测试回归测试应在系统发生变更之后执行，重新测试以确保功能、性能和保护性。不应成为供应链风险管理流程的一部分=>ISO/IEC 27001 数据主权一词的含义=>某国公民的数据应依据该国法律存储和处理，无论存储/处理发生在何处医院研发了一些专用的应用程序=>隐匿式安全符合存储和处理敏感医疗信息的最佳实践=>ISO/IEC 27799 而且在年底后将无法继续维修该产品、购买备件或者获得制造商提供的技术援助=>End-of-life(EOL) 保护传输状态数据的最佳方法=>VPN 描述特定威胁源可能对公司的资产造成的不利影响=>威胁建模 CAPTCHA常用于数据的图形表现形式，表示为一些倾斜字符，应由人工输入，从而证明操作主体是人，而不是一种类似软件机器人的自动化工具按职责要求应该审查不同的员工=>确保客户、公司和员工的数据受到保护风险管理计划应以正确的顺序适当地制定建立风险管理团队->确定要评估的公司资产->计算每项资产的价值->识别可能影响已知资产的漏洞和威胁 Web 应用程序期待，用户有积极的体验，而不希望等着用户报告问题->合成交易合成交易是一些脚本化的事件，用于模拟真实用户的行为，并允许安全专家系统测试关键服务的性能。合成交易可在用户注意到之前就发现问题，因而是一个很好的方法，在真实用户持续监测，只要用户遇到问题，系统就会自动报告一种用于处置数据残余风险的技术性控制措施=>加密所有更改都是在正确的身份验证步骤完成后产生=>安装键盘记录程序的木马破坏个人电脑不是IPSec 的功能或特征之一=>链路层保护 IPSec 是一个协议套件，用于提供使用强加密和身份验证功能的VPN，IPSec可工作于两种不同模式下：隧道模式(保护负载和首部)或者传输模式(仅保护负载)，IPSec 工作于网络层而不是数据链路层 PKI 架构中，执行的顺序从公共目录发送公钥->验证公钥->发送方使用接收方公钥加密会话密钥并发送->接收方解密并获得会话密钥处理日志和审计数据的数量和多样性方面=>安全信息与事件管理不是安全专家在考虑采用物联网(IoT)设备时需要关注的=>与连接性相关的各种高额成本与传统的基于服务器的架构相比，微服务的优势是=>可伸缩性 XACML是一种在XML中实施的声明性访问控制策略语言和处理模型，描述如何解释安全策略 SPML是一种基于XML的语言，允许在应用程序之间交换配置数据，这些应用程序可驻留在一个或多个组织中 SAML 是一种基于XML的语言，允许在应用程序之间交换供应数据，这些应用程序可驻留在一个或多个组织中配置为失效开启模式的大门，在发生电源故障时处于=>关闭并解锁公司应决定在遭遇电力故障时应该如何处理物理访问控制措施在失效开启(Fail-safe)模式下，大门自动解锁防火准则通常这么规定，目的是确保人们不会困在着火的大楼里，而失效关闭(Fail-secure)意味着门是默认锁着的。不是各类下一代防火墙的共同特征=>自动事故响应哪一项通常不是安全意识宣贯培训所涉及的主题=>攻讦(Trolling) 公司要求在客户发送了公司的会计文件和数据后，无法否认所发邮件。该公司也想在当前的邮件服务器和客户端中集成更细粒度的身份验证方法=>公司要求客户对包含财务信息的消息实行数字签名综合满足场景中描述的身份验证要求的最佳解决方案=>SASL SASL 是一个独立于协议的身份验证框架，是Internet 协议内的一个身份验证和数据安全框架，SASL帮助身份验证机制与应用程序协议脱离，允许SASL 支持的任何身份验证机制用于任何使用SASL 的应用程序协议，SASL 旨在允许新协议重复使用已有机制而，无须重新设计，也允许已有协议使用新机制而无须重新设计不是安全编码实践=>高(紧)耦合耦合是一种衡量指标，表明一个模块需要多少交互执行其任务恢复时间目标=>是从灾难中恢复所需的时间量恢复点目标=>是以时间衡量的数据量，在事件中丢失这些数据是可容忍的网上调查未来的雇主时发现了一种方法可查看一家小公司的人事档案=>获得了未经授权的访问在可扩展访问控制标记语言(XACML)中，主体元素是=>请求实体，资源元素是=>被请求实体，动作元素是=>访问类型每个移动节点都有其自身标识即=>家庭地址，在远离家庭网络时，转交地址=>与移动节点相连分析来自同一应用程序环境的所有安全警报=>安全信息与事件管理(SIEM) 于资产的敏感性=>如果向未经授权的个人披露，则与组织的损失相称国际组织，帮助不同政府一起应对经济全球化带来的经济、社会和治理上的挑战，并提供有关隐私保护和个人数据跨境流动=>经济合作与发展组织 Internet 号码分配局(IANA)将分配给注册的端口，而将1024~49151, 49152~65535分配给动态端口公式用于理解保护措施的价值=>(实施保护措施前的ALE)-(实施保护措施后的ALE)-(保护措施的年度成本)=保护措施对组织的价值不能正确描述这些好处或优势=>因为云计算是一个共享交付模型，所以成本会升高。 IDS 产品具有启发式功能=>收集数据以评估恶意性的概率关于使用外部审计师不正确的=>外部审计师比其他任何人都更了解组织的流程和技术开始更改软件时，即使安全级别低于管理者的多名工作人员也注意到连接的系统发生了变化=>无干扰模型不是审核这些技术性控制措施的恰当方法=>人事背景调查用于分析与每个输入设备的典型工作负载相关的统计数据，并实时决定每个设备应分配多少时间用于数据传输=>统计时分多路复用用实时传输协议(RTP)和RTP控制协议(RTCP)=>RTP 为通过IP 网络传送音频和视频提供了标准化的数据包格式，RTCP 提供带外统计和控制信息，提供有关QoS级别的反馈不是对边缘计算架构的描述=>边缘计算架构消除了对云基础架构的需求边缘计算是一个分布式系统，将一些计算和数据存储资产部署在实际需要的位置附近，减少延迟和网络流量边缘计算架构通常具有三层：终端设备、边缘设备和云基础架构哪种密码分析攻击方法的特点是识别密码系统生成的密文中具有统计意义的模式=>频率分析，也称为统计攻击，可识别密码系统生成的密文中具有统计意义的模式 IPSec的主要协议是AH和ESP，AH提供=>完整性和身份验证 IPSec由两个主要协议组成，身份验证头(Authentication Header，AH)和封装安全有效载荷(Encapsulating Security Payload，ESP) AH提供系统身份验证和完整性，但不提供机密性或可用性 ESP提供系统身份验证、完整性和机密性，但不提供可用性 IPSec中的任何部分都无法确保所在系统的可用性数据库应引入一个称为ACID 的概念=>原子性、一致性、隔离性、持久性原子性(Atomicity)事务处理应当整体成功，否则数据库将其回滚到之前的状态一致性(Consistency)事务处理严格遵守适用于受影响数据的所有规则隔离性(Isolation)如果允许事务并行发生(大多数都是这样)，那么事务将彼此隔离，这样一个事务的运行就不会影响破坏另一个事务。另外，隔离的事务无论是并行发生还是一个接一个发生，都具有类似的效果持久性(Durability) 确保已完成的事务能够永久存储(例如，在非易失性存储器中)，因此不会因断电或其他此类故障而遭到擦除 PaaS=>将所有自定义管理应用程序迁移到云，同时能利用云平台的安全性和补丁服务在将管理服务迁移到云时=>效率、性能、可靠性、可伸缩性和安全性的损失安全设计原则是最重要的考虑因素=>分担责任最能描述团队为完成这些任务需要执行的第一步=>攻击面分析指标衡量各个软件研发公司流程的先进程度=>能力成熟度模型集成的级别最可能实施虚拟可扩展局域网(VxLAN)技术=>拥有数百个客户的云服务提供商由12位VLAN ID(VID)所限制的4096个VLAN的数量，以及VLAN 需要连接到同一路由器端口，因此，VxLAN 主要由拥有数百名客户的云服务提供商和具有全球影响力的大型组织使用 Kerberos直接相关的问题密钥分发中心(Key Distribution Center，KDC)可能是单点故障如果KDC出现故障，则没有人可访问所需的资源，KDC 需要冗余 KDC 应具有可伸缩性，以便及时处理收到的大量请求密钥临时存储在用户的工作站上，意味着入侵方可能获得这些加密密钥会话密钥解密后驻留在用户工作站的缓存中或密钥表中，同样，入侵方可捕获这些密钥 Kerberos容易受到口令猜测的影响，KDC不知道是否正在发生字典攻击 ISO/IEC 27002：信息安全控制措施实践守则 ISO/IEC 27003：ISMS 实施指引 ISO/IEC 27004：ISMS 持续监测、度量、分析和评价担心团队花费大量时间为组织内用户拥有的各种账户重置口令。以下所有方法都能有效减轻服务台负担，除了=>即时(JIT)访问端到端加密发生在=>应用层 IPSec加密发生在=>网络层 PPTP加密发生在=>数据链路层链路加密发生在=>数据链路层和物理层 HSM使用光盘或磁带机，而SAN 是存储系统的连接网络体系化存储管理(Hierarchical Storage Management，HSM)提供持续在线备份功能，将硬盘技术与更便宜和更慢的光盘或磁带机结合存储区域网络(Storage Area Network，SAN)由多个存储系统组成，这些存储系统连接在一起形成单一的备份网络法律体系的特征是依赖之前对法律的解释=>普通法普通法体系是唯一基于之前法律解释的体系，这意味着该系统由特定案件中的法律和法院判决组成侵权行为可以是(并且通常是)普通法体系的一部分，但对于这个问题是不完整的答案证据为了能在法庭上得到采纳，通常应该是=>相关的基于风险的访问控制=>授权机制可将历史数据实时地纳入访问控制决策 SOAP=>项是基于XML的协议，定义了如何利用HTTP传输承载Web服务通信的模式是可扩展标记语言(XML)，为什么要创造XML=>为创建其他标记语言提供结构并允许互操作性的规范成功研发和实施企业安全架构，应了解并遵循战略定位、流程改进、业务支持、安全有效经济合作与发展组织(OECD)的宗旨=>一个国际组织，各个成员国团结起来共同应对经济全球化所带来的的经济、社会和治理挑战架构类型和相关定义之间的映射是不正确的=>Zachman框架，用于研发信息安全企业架构的模型和方法 Zachman框架适用于企业架构，而不是企业安全 TOGAF Open Group研发的用于企业架构设计的模型和方法 DoDAF美国国防部架构框架，确保系统的互操作性以满足军事任务目标 SABSA用于研发信息安全企业架构的模型和方法 ISO/IEC 27000系列和COBIT的作用之间的区别=>ISO/IEC 27000 系列提供了安全计划要求的高级概览，而COBIT将IT目标映射到企业目标和利益相关方需求能力成熟度模型集成(CMMI)不是该模型的特征=>CMMI建立在SABSA 模型之上使用风险评估方法，并让不同的业务所有方识别风险并知道如何处理，会使用=>OCTAVE 运营关键威胁、资产和漏洞评价(Operationally Critical Threat, Asset, and Vulnerability Evaluation，OCTAVE)依赖于这样一个前提，即在特定环境中工作的人员最了解需要什么以及面临什么样的风险。因此在组织内部工作的人员处于有利位置，能够就评价组恰当地描述了企业架构框架的定义以及为什么要使用企业架构框架=>组织成多个视图的概念模型，解决了每个利益相关方关注的问题故障树分析的真实特性=>故障树标注与故障概率有关的实际数字不是用于跟踪安全工作有效性的常用方法=>资源调配系统不是信息系统风险管理(ISRM)策略应涵盖的核心项目=>将风险映射到特定的物理性控制措施不是电子取证(E-discovery)的元素=>残留需要制定度量标准并集成到该计划中，以便衡量有效性=>ISO/IEC 27004 不是使用内容分发网络的优点=>防御ARP 欺骗攻击最恰当地描述了CASB 的功能=>监测终端用户行为并跨越云服务强制执行策略允许用户的身份验证跨越多个IT 系统和企业=>联合身份关于标记语言的正确陈述=>HTML 源于SGML，SGML 源于GML 基于用户在组织内履行职责所需的必要操作和任务，并允许使用非自主模型实施隐式权限继承=>基于角色 HR数据库中的数据将作为最新数据，在同步流程中其他身份存储中的软件无法覆盖这些数据=>授权记录系统授权记录系统(Authoritative System of Record，ASOR)是一种层次化树状结构系统，用于跟踪主体及其授权链。权威来源是“记录系统”，或身份信息的来源和维护位置，应该具有最新和最可靠的身份信息适当的访问控制需要结构化的用户配置流程=>创建、维护和停用存在于一个或多个系统、目录或应用程序中的用户对象和属性，以响应业务流程身份即服务(IDaaS)提供商将使用以下哪些协议向第三方提供身份验证=>OpenID连接确保公司的应用程序能够以标准化方法收集公司合作伙伴应用程序提供的数据=>服务配置标记语言允许集中访问和控制由各种应用程序提供的每项服务=>面向服务的架构安全模型定义了三个主要的规则：简单安全规则、星属性规则、强星属性规则=>Bell-LaPadula Bell-LaPadula模型强制执行访问控制以实现机密性，并由三个主要规则组成，简单安全规则规定，处于特定安全级别的主体不能读取位于更高安全级别的数据。星属性(*-property)规则规定，特定安全级别的主体不能将信息写入较低的安全级别。最后，强星属性规则规定，具有读写能力的主体只能在相同的安全级别上执行这两种功能；没有更高也没有更低了解执行攻击面分析和设计威胁模型的重要性，应该在软件研发生命周期=>设计阶段执行这些操作该软件的要求之一是允许用户直接从Web应用程序将特定内容发布到LinkedIn 和Twitter=>OAuth 恰当地解释了为什么应用程序可在Intel处理器上运行，但不能在AMD 处理器上运行=>应用程序未编译为与AMD 架构兼容的机器语言于软件库的说法中，不正确=>软件库几乎从不将漏洞引入使用软件库的程序中测试应用程序的安全性，但无法访问源代码=>动态应用程序安全测试操作系统中的一个漏洞，利用该漏洞，攻击方可强制应用程序在执行后不释放内存段=>拒绝服务访问控制机制允许以最具颗粒度的方式定义访问控制策略=>基于属性的访问控制(ABAC) Kerberos 的弱点，除了哪一个=>委托人之间互相不信任实施一个闭路电视系统监测大面积的基础设施=>广角镜头和小孔径透镜预作用式=>喷水灭火系统，管道中是无水的，只有当达到某一温度、以及“延迟机制”生效时才开始喷水预作用式系统提供了一种延迟机制，允许在发生误报或可通过其他方式扑灭火灾的情况下停用系统雨淋系统具有敞开的洒水喷头，可快速释放大量水 CPTED(环境设计预防犯罪)将长椅、人行道和自行车道整合到一个场地中=>这些功能旨在通过提供多个观察人员可能看到犯罪分子的方式，让犯罪分子感到不舒服是一个二维模型，通过交叉使用六个基本沟通问句和不同的观点，全局理解企业=>Zachman 最恰当地描述了会话层的功能=>分布式环境下的应用程序客户端/服务器通信机制 OSI模型中的逻辑链路控制(LLC)子层的用途是=>为网络层协议提供标准接口最恰当地描述了创建无类域间路由(CIDR)的原因=>允许地址类的大小满足组织的需要设置了VPN 保护，通过Internet 和其他不受信任的网络传输的流量，内部流量也应受到保护=>实施支持802.1AE 安全功能的数据链路技术 IEEE 802.1AR 为设备提供唯一的ID IEEE 802.1AE 提供数据加密、完整性和源端身份验证功能 IEEE 802.1AF 为用于数据加密的会话密钥执行密钥协商功能这些标准中的每一个都提供了在IEEE 802.1X EAP-TLS框架内工作的特定参数基于道德披露原则，信息系统安全专家应适当地向相关各方披露=>漏洞住在酒店或在不完全信任的任何环境中使用笔记本电脑时都会更新HOSTS 文件=>降低攻击方向系统发送不正确的IP地址到主机的映射的风险，该映射将系统导向恶意网站发现了一个模拟交换机的流氓系统。攻击方正在使用该系统上的软件修改帧头中的标签=>攻击类型 VLAN 跳跃攻击对云服务模型的最准确描述=> “基础架构即服务”提供类似于数据中心的环境，“平台即服务”提供操作系统和其他主要处理平台，“软件即服务”提供特定的基于应用程序的功能要实施一个网络基础架构，实现以最少的努力快速、安全地更改=>软件定义网络每个人都将负责从基础设施中移除特定系统，将系统转移到异地并实施。每个人都需要测试已安装的系统并确保配置对于生产活动是正确的=>并行测试业务持续性管理=>应涵盖两者(灾难恢复规划(DRP)/业务持续规划(BCP))的整体管理流程。该流程提供了一个框架，用于将韧性与保护组织关键利益相关方利益的有效响应能力结合该公司决定验证另一家公司是否满足这些安全要求。此时应该执行=>外部(第二方)审计关于员工胁迫的正确陈述=>可通过安装紧急呼叫按钮缓解风险胁迫是对某人以威胁或暴力方式，迫使其做自己不想做的事情，常见的应对胁迫的示例是银行柜员使用紧急呼叫按钮，同样，紧急避险室可能是另一种解决方案，但只有员工能够在攻击方拦截之前进入并锁上门，紧急避险室才有效，导致这种方法通常并不实用主要目标是防止可能威胁地区和国际安全与稳定的军事能力增强=>密码学是一种双重用途的工具，这种协定的主要目标是防止可能威胁地区和国际安全与稳定的军事能力的增强，该协议涉及的一个项目是密码学，密码学是一种双重用途的商品，因为可用于军事和民用目的欧洲大陆国家(例如，法国和西班牙)采用的是哪种世界法律体系(该体系是基于规则的法律，而不是基于先例的法律)=>民法(法典)体系故障模式及影响分析(FMEA)方法的特征是不正确=>由特定团队执行的结构化流程，解决高级别的安全问题利用允许访问的数据发现受到限制的信息，这种行为称作=>推理不是组织使用这种模式所面临的风险之一=>确保所有软件产品都得到更新会更容易，因为这些软件产品配置为自动更新聚类是一种无监督机器学习方法，可确定数据样本自然聚集在一起的位置聚类通过计算新数据点与现有集合之间的距离，并将该点分配给最近的集合来实现(如果一个数据点确实接近其中任何一个集合)。这种方法在网络安全中通常用于=>异常检测聚类算法经常用于异常检测要测试组织的技术性安全控制措施阻止实际攻击的能力。组织正在经历显著增长，网络和系统的复杂性也随之增加为确保组织领先于对手，希望经常运行这些测试，应使用=>入侵和攻击模拟超过24小时无法处理付款，可能严重影响公司的生存能力分析表明，中断发生后，支付网关和支付处理应在13 小时内恢复的团队需要提供具有冗余、容错和故障转移功能的综合性解决方案 24小时这个参数代表=>最大允许停机时间(Maximum Tolerable Downtime，MTD) 13小时这个参数=>代表恢复时间目标(Recovery Time Objective，RTO)是可允许的停机时间需要提供具有冗余、容错和故障转移功能的综合性解决方案=>高可用性線上參考資源 --- - UUU CISSP https://www.uuu.com.tw/Course/Partner/isc2/section=cissp/title=CISSP%E8%AA%8D%E8%AD%89%E8%88%87%E8%80%83%E8%A9%A6%E4%BB%8B%E7%B4%B9 - 史上最完整的(ISC)2 考試心得分享：SSCP/CSSLP/ CCSP/CISSP四張資安證照該如何準備 https://ucomedu.blogspot.com/2020/07/isc2-sscpcsslp-ccspcissp.html - CISSP證照考試實戰心得第一章：初期準備工作 https://netmag.tw/2022/06/17/the-cissp-has-learned-the-first-chapter-in-actual-combat - CISSP證照考試實戰心得第二章：規律且有紀律的讀書策略 https://netmag.tw/2022/07/01/the-cissp-is-in-the-field-of-combat-chapter-two-regular-and-disciplined-reading-strategies - CISSP證照考試實戰心得第三章：終極一戰 https://netmag.tw/2022/07/12/the-cissp-has-learned-a-third-chapter-in-actual-combat-experience-the-ultimate-battle - CISSP 自修考照心得分享 – Certified Information Systems Security Professional Self-Study 資訊系統安全專家認證 https://szlin.me/2020/03/05/cissp-certified-information-systems-security-professional-self-study/ - CISSP 課堂筆記 https://hackmd.io/@ErwinLiu/CISSP - 關於(ISC)2 的CPE學分介紹 https://ithelp.ithome.com.tw/articles/10241022 - Quick CISSP Infographic for IPSec https://www.studynotesandtheory.com/single-post/quick-cissp-infographic-for-ipsec - CISSP Quiz https://cisotimes.com/quizzes/cissp-quiz/ - WUSON常用的基本詞彙 https://choson.lifenet.com.tw/?p=1958 - CISSP資安認證的8大領域 https://2formosa.blogspot.com/2022/12/CISSP-topic-domains.html - CISSP-OSG-8th-note https://github.com/lis912/CISSP-OSG-8th-note - CISSP-OSG-要点总结梳理 https://blog.csdn.net/weixin_51535864/article/details/127403457 - cissp osg chapter 13 管理身份和认证 https://quizlet.com/hk/548740792/cissp-osg-chapter-13-%E7%AE%A1%E7%90%86%E8%BA%AB%E4%BB%BD%E5%92%8C%E8%AE%A4%E8%AF%81-flash-cards/ - 2021年CISSP考试总结 https://www.jianshu.com/p/4840f3e8e2b3 - CISSP资料：独家笔记 https://zhuanlan.zhihu.com/p/174011292 - CISSP 官方练习题（第2版）中文译注 https://zhuanlan.zhihu.com/p/176945461 - CISSP Official Practice Test(第2版）中文译注 https://zhuanlan.zhihu.com/p/176940920 - CISSP 8个学习域与OSG学习指南21章的对应关系 https://www.freebuf.com/news/318836.html - CISSP，你值得拥有（我的学习之路） https://www.freebuf.com/articles/others-articles/356468.html ###### tags: `ISC2` `CISSP`