《2018CISSP考纲变革及备考重点解析知识点解读.docx》由会员分享,可在线阅读,更多相关《2018CISSP考纲变革及备考重点解析知识点解读.docx(11页珍藏版)》请在三一办公上搜索。
1、第1章.安全与风险管理-知识点1.理解和应用机密性、完整性、可用性概念概念的理解.评估和应用安全治理原则1.安全功能与业务战略、目的、使命、目标一致战略一致性2 .组织流程(例如:收购、剥离、治理委员会)3 .组织角色和责任4 .安全控制柢架5 .尽职关注/尽职勤勉(尽职调查)2 .确定合规要求1 .合同、法律、行业标准和监管要求2 .隐私要求3 .理解在全球范围内涉及信息安全的法律和监管问题1 .计算机犯罪和数据泄露2 .许可与知识产权的要求(例如:权、与林、数”二权;:)3 .进口/出口控制4 .跨境数据流5 .隐私4 .理解、遵循和促进职业道第1 .(ISC)2职业道德规范2 .组织道然
2、规范5 .制定、记录和实施安全政策、标准、程序和指南6 .对业务连续性(BC)需求进行识别、分析和排优先级1 .制定和记录范围和计划2 .开展业务影响分析(BIA)风险评估-业务影响分析一制定策略-开发计划-培训测试-维护7 .促进和执行人员安全政策和程序1 .候选人甄选和聘用(例打:证吠人核实.教2 .雇佣协议和政策3 .入职和聘用终止过程4 .供应商、顾问和承包商的协议和控制5 .政策合规要求6 .隐私政策要求8 .理解和应用风险管理概念1 .识别威胁和漏洞2 .风险评估/分析3 .ML4 .对策的选择和实施控制适用类型(例如:预防性、检测性、纠正性)物理、技术、管理5 .安全控制评估(S
3、CA)6 .监测和衡量7 .资产估值8 .报告9 .持续改进10 .风险框架9 .理解和应用威胁建模的概念和方法1 .威胁建模概念2 .威胁建模方法10 .将基于风险的管理理念应用到供应链中1 .与硬件、软件和服务相关的风险2 .第三方评估和监测3 .最低安全要求4 .服务级别要求11 .建立并维持安全意识宣贯、教育和培训计划1 .意识宣贯与培训的方法和技术2 .定期内容评审3 .方案效果评价第2章.资产安全-知识点1 .识别与分类信息和资产(1L如1 .数据分类2 .资产分类资产分类排序:记录、分配、标记、评审、解除2 .确定与维护信息与资产所有权3 .保护隐私隐私保护的第一步是数据最小化1
4、 .数据所有者2 .数据处理者3 .数据残留清除、根除、净化SanitiZing排序:物理销毁消磁覆写格式化4 .数据收集限制4 .确保适当的资产保留5 .确定数据安全控制1 .理解数据状态静态数据、动态数据2 .确定范围和剪裁3 .标准的选择4 .数据保护方法6 .建立信息和资产处理要求第3章.安全工程-知识点1.使用安全设计原则实施和管理工程流程2 .理解安全模型的基木概念BLP、Biba)3 .基于系统安全要求选择控制4 .理解信息系统的安全能力(例如:内存保护、可信平台模块(TPM)、加密/解密)5 .评估和减轻安全架构、设计和解决方案的脆弱性1 .客户端系统2 .服务度端系统3 .数
5、据库系统k,4 .密码系统5 .工业控制系统(ICS)、机界面控制服务器历史数据应用服务器I:作站jfi6.基于云的系统7 .分布式系统8 .物联网(IoT)6 .评估和缓解Web系统中的漏洞XSS,SQL注入攻击(SAML:安全断言标记语言(XACML:用于决定请求/响应的通用访问控制策略语言和执行授权策略的桩架(OAuth2.0:使用的是令牌(CVE(CommonVulnerabilities&Exposures)公共漏洞和暴露7 .评估和缓解移动系统中的漏洞8 .评估和缓解嵌入式设备中的漏洞9 .应用密码学1 .密码生命周期(例如:密钥管理、算法选择)2 .加密方法(例如:对称,非对称,
6、椭圆曲线)(ECC的优点效率高3 .公钥基础设施(PKI)数字证书(CA交叉认证4 .密钥管理实践5 .数字签名6 .不可否认性7 .完整性(例如:散列)理解密码攻击方法数字版权管理(DRM)密码学的实际应用10 .将安全原则应用于场地与设施设计11 .实施场地和设施安全控制1 .配线间/中间配线设施2 .服务器机房/数据中心3 .介质存储设施4 .证据存储5 .限制区和工作区安全6 .公用设施与供热通风空调系统(HVAC)机身正气压7 .环境问题8 .火灾预防、检测和灭火5类火(CPTED:CrimePreventionThroughEnvironmentalDesign)第4章.通信与网络
7、安全-知识点1 .在网络架构中实现安全设计原则1 .开放系统互连(OSl)与传输控制协议/互联网协议(TCP/IP)模型7层协议、TCP/IP4层2 .互联网协议(IP)网络3 .多层协议的含义(DNP3)4 .聚合协议(MPLS.VoIiSCSI)5 .软件定义网络(SDN)6 .无线网络2 .安全网络组件1 .硬件操作(例如:调制解调器、交换机、路由器、无线接入点、移动设备)2 .传输介质3 .网络访问控制(NAC)设备.4 .端点安全5 .内容分发网络(CDN)3 .根据设计实现安全通信通道1 .语音2 .多媒体协作(例加:运R会议术、一时也上)3 .远程访问4 .数据通信(例TLS/S
8、SL)5 .虚拟网络:HSI)N,E京II第5章.身份与访问控制-知识点1 .控制资产的物理和逻辑访问1 .信息2 .系统3 .设备4 .设施2 .管理人员、设备、服务的身份标识和验证1 .身份管理实施(例如:SSO,LDAP)2 .单/多因素认证(例如:因总”L-物识别)生物识别:FRR、FAR,精度比较3 .问责4 .会话管理(例如5 .身份注册与证明6 .联合身份管理(仇如:SAMDSAML安全断言语言(SeCUrityAssertionKdarkupLanguage),是一个基于XML的协议。是一个联合身份标准。用于传送身份信息,可用于实现单点登录。类似于KerberoS依赖J:KDC
9、,SAML依赖riDP(Identityprovider).SAML有一项功能叫策略执行(POliCyenforCement)。7 .凭证管理系统3 .集成第三方身份服务1 .内部部署2 .云3 .联合(federated)4 .实施和管理授权机制1 .基于角色的访问控制(RBAC)2 .基于规则的访问控制3 .强制访问控制(MAC)4 .自主访问控制(DAC)5 .基于属性的访问控制(ABAC).管理身份和访问供给(provisioning)生命周期1.用户访问评审2 .系统帐户访问评审3 .供给与解除供给SPML第6章.安全评估和测试-知识点1 .设计和验证评估、测试和审计策略1 .内部2
10、 .外部3 .第三方安全评估标准CCISOIEC15408信息技术一安全技术一IT安全评估准则CC7个评估保证级别(EAL)功能、结构、系统、半正式、正式地验证设计和测试。EALEFunctionallyTested;EAL2:StructurallyTested;EAL3:MethodicallyTestedandChecked;EAL4:Methodicallydesigned.Tested,andRevised;EAL5:Semi-formallyDesignedandTested;EAL6:Semi-formallyVerifiedDesignandTested:EAL7:Formal
11、lyVerifiedDesignandTested.CC里面的PP定义了可重用的安全需求2 .理解调查类型的要求1 .行政2 .刑事3 .民事4 .监管3 .执行记日志和监测活动1 .入侵检测和防御2 .安全信息和事件管理(SIEM)3 .连续监测4 .出流(Egress)监测4 .安全供给资源1 .资产清单2 .资产管理3 .配置管理5 .理解利应用基本的安全运营概念1 .知所必须/最小权限2 .职责分圈3 .特权帐户管理4 .岗位轮换防止共谋的方法是岗位轮换,而不是职责分度(导致共谋)5 .信息生命周期6 .服务级别协议(SLA)(SLA需要定期审查6 .应用资源保护技术1 .介质管理2
12、.硬件和软件资产管理7 .执行事件管理1 .检测2 .响应3 .缓解4 .报告5 .恢复6 .补救7 .经验教训8 .运营和维护、检测和预防措施1 .防火墙包过滤/状态检测/动态包过滤2 .入侵检测和防御系统HIDS/NIDS,特征/行为3 .白名单/黑名单4 .第三方提供的安全服务5 .沙箱行为阻断6 .蜜罐/蜜网检测性控制、Enticement/Entrapment)7 .反恶意软件考各种攻击:smurf攻击(基于Ping程序利用ICMP协议的攻击)SYNFLOOD攻击TCP序列号劫持/会话劫持中间人攻击DNS中毒/域欺骗Pharming竞争条件9 .实施与支持补丁和漏洞管理10 .理解并
13、参与变更管理流程11 .实施恢复策略1 .备份存储策略(RPO2 .恢复站点策略RTO冗余站点、热站、温站、冷站3 .多处理站点4 .系统韧性、高可用性、服务质量(QoS)和容错(RAID0.1、3、5、10)12 .实施灾难恢复(DR)过程1. 响应员信估复训人通评恢培2.3.4.5.6.13 .测试灾难恢复计划(DRP)1 .核对测试/桌上测试2 .穿行测试3 .模拟测试4 .并行测试5 .全面中断测试14 .参与业务连续性(BC)计划和演练15 .实施和管理物理安全1 .周边安全控制2 .内部安全控制16 .解决人员安全问题1 .旅行人员2 .安全培训和意识3 .应急管理4 .胁迫第8章.软件开发安全-知识点1 .理解安全并将其融入软件开发生命周期(SDLC)1 .开发方法瀑布模型、V字模型、原型法、快速开发、敏捷开发2 .成熟度模型3 .运营和维护4变更管理5 .集成产品团队2 .在开发环境中识别和应用安全控制1 .软件环境安全2 .配置管理作为安全编码的一个方面3 .代码库安全.评估软件安全的有效性1.审计变更与记变更日志2.风险分析与缓解验证、确认、认证、认可3 .评估获取的软件的安全影响4 .定义和应用安全编码指南和标准1 .源代码级安全弱点和漏洞堆栈溢出,可以执行任意代码2 .应用编程接口安全3 .安全编码实践
