CISSP培训笔记.docx
- 文档编号:25125359
- 上传时间:2023-06-05
- 格式:DOCX
- 页数:161
- 大小:1.16MB
CISSP培训笔记.docx
《CISSP培训笔记.docx》由会员分享,可在线阅读,更多相关《CISSP培训笔记.docx(161页珍藏版)》请在冰豆网上搜索。
CISSP培训笔记
CISSP最新学习笔记
此文是我班2014年高分考生袁同学在准备CISSP考试过程中的边看书边整理的一个学习笔记,整理的非常细致到位,特借此供各位备考学员参考。
第1章节到第10章节主要是学习allinone第六版资料时笔记;第11章到18章节主要是在学习完allinone后做cccure上面练习题后,补充的知识点;第19章到25章节为学习officeialguide教材后补充的知识点;最后第26章是总复习时作actual练习题时补充的知识点。
在看书3遍allinone后,主要补充学习了preguide的学习笔记,cccure练习题和officialguide进展知识点的补充,最后总复习阶段〔1周左右〕以本复习笔记为根底,配合actual练习题进展。
一.Chapter3:
Securitymanagementpractices
记住几个公式P65
SLE是发生一次造成的损失,如37500,那么ALE=0.1*37500=3750
EF〔暴露因素〕*ssetvalue=SLE
SLE*ARO=ALE〔年损失期望〕
Dataowner等多种角色的职责
商业公司和政府的集中分级〔4、5〕
一.1安全管理
1.安全管理需要自顶向下〔Top-Downapproach〕的来进展,高层引起足够的重视,提供足够的支持、资金、时间和资源。
Incontrast,bottom-upapproach。
P48
2.安全评估分为定性和定量评估,方法有:
人员访谈、问卷调查,技术评估等等。
解决风险的4种方法:
降低风险reduce、承受风险accept、转嫁风险transfer、和拒绝风险reject。
3.安全控制有一个说法是,三种类型的控制,物理、技术和管理shouldworkinasynergisticmannertoprotectapany’sassets.
1)物理:
cd-rom,优盘,警卫,环境,IDS,cctv
2)技术:
acl、加密、安全设备、授权与鉴别
3)管理:
策略、标准、方针、screeningpersonnel、培训
一.2风险管理
4.弱点、威胁、风险、暴露、对策
1)Vulnerability:
weakness,haveunauthorizedaccesstoresources.
2)Threat:
threatagent,威胁因素,hacker、worm…
3)Risk:
threat利用vulnerability造成危害的一种可能性。
4)Exposure:
instance,一次威胁因素造成loss的实例。
5)Countermeasure(safeguard):
降低潜在的风险risk。
举例:
主机系统没有打上相关的系统补丁〔vulnerability〕,有一个针对此漏洞最新的蠕虫病毒〔threatagent〕,网络没有部署边界安全系统,蠕虫渗透网络引起了风险〔risk〕,直接导致了主机的性能降低、死机。
这整个过程就是一次exposure。
然后安装补丁进展更新〔safeguard〕。
5.InformationRiskManagement
风险管理是一个过程:
是识别风险、评估风险、将之降低到一个可承受的程度识别风险级别,运用适宜的机制来维持风险在此程度P53
6.RiskAnalysis4个主要目标P55
1)识别资产和资产的价值
2)识别风险和威胁
3)量化潜在风险对商业影响的可能性
4)预算平衡在威胁影响和对策的花费之间
7.RiskAnalysisTeam最好要有高层管理人员参加,而且最好有来自各个部门的成员组成。
如果没也需要面对面与他们沟通,了解他们的运作情况。
P56
8.风险管理的一些重要因素:
P56-58
1)管理层支持;
2)team由来自于不同的团队;
3)识别资产的价值;
4)识别威胁;
5)还需要关注潜在和延迟的损失;
6)下面就需要用定性或定量的方式来评估风险了。
9.quantitativeandqualitativeP63
定量和定性
10.StepofaRiskanalysisP64
1)给资产赋值
2)估计每项风险的潜在损失
3)进展威胁分析
4)计算每项风险的全部潜在损失ALE,EF*assetvalue=SLE,SLE*ARO=ALE
5)Reduce、transfer、accepttheRisk、ruject
11.风险分析的成果P66
1)资产赋值
2)理解威胁的特征和可能性
3)每种威胁发生的可能性
4)每种威胁在一年内发生对公司造成的潜在损失
5)建议安全防护
12.定性评估:
Delphi,brainstorming,storyboarding,focusgroups,surveys,questionnaires,checklists,one-on-onemeetings,andinterviewsP66
13.Delphi技术〔定性评估〕
让每个人都拿出自己真实的观点,不被人影响。
14.Riskdelayedlossand/ordamage:
从被破坏到恢复到正常的损失。
15.风险保护的步骤
1)明确需要保护的资产与X围,花费的money
2)风险分析和评估〔选择最适宜的safeguard,功能;〕
3)选择适宜的措施和执行〔评估safeguard的本钱,并做比拟;〕
16.ResidualRiskP72
TotalRisk=threats*vulnerability*assetvalue
ResidualRisk=(threats*vulnerability*assetvalue)*controlgap
一.3Policies、standards、baselines、guidelines、procedures
策略policies是提高信息安全,支持的标准standards是数据用高度加密AES,程序procedurces是一步一步怎么来进展,方针guidelines是指导,建议作哪些〔要求审计,建议审计ID、口令、事件等信息〕。
P45。
baseline〔clippinglevel〕是最低级别的安全。
安全策略提供根底,过程、标准、指导提供安全框架。
策略是战略目标,过程、标准、指导等是战术目标。
P78
17.Policies:
1)最高的战略目标,emailpolicy,那些能看不能看。
如何使用数据库,如何保护数据库等等。
P76
2)Thepolicyprovidesthefoundation.Theprocedures,standards,andguidelinesprovidethesecurityframework.plicy是根底,程序、标准、方针是框架。
P77
3)三类:
regulatory规章性的、advisory建议性的、informative提示性的〔给信息〕P77
18.standards:
ismandatory、pulsory、enforce,强制P78
19.baselines:
最低安全标准P78
20.guidelines:
指导行动,建议具体作哪些,如审计哪些内容〔登录ID、时间等〕。
P79
21.procedures:
stepbystep,spellout〔讲清楚〕策略、标准等具体怎么做。
P79
一.4Classification
22.先分级,然后划分安全域
23.Securityisnotaproduct,it’saprocessP91
24.不同的人有不同的责任responsibility
1)Manangement对资产的安全最终负责
2)Dataowner:
一般是管理者,负责,进展数据的定级,定义安全机制,哪些人可以访问等。
委派custodian对数据进展保护。
P89
3)Datacustodian:
对数据进展维护和保护,一般的ITdepartment
4)Systemowner:
关注系统,向dataowner汇报
5)Supervisor:
发密码,解雇收回密码
6)User:
routinely
7)management管理者的工作是确定个人的安全需求,如何授权;securityadministrator是具体执行这些需求。
一.5employee
25.Separationofduties有两个方面:
splitknowledge〔一个人知道整体的一局部〕anddualcontrol〔一个人知道一个整体,需要多个确认才能ok,发射nuclear〕P92
26.rotationofduties,岗位轮换,mandatoryvacationP93
27.培训三类:
管理者、一般雇员、技术雇员
二.chapter4:
AccessControl
1.accesscontrol:
physical、technical、administrative。
subjectandobject
2.Threeprinciples:
1)Availability:
stockbroker,accuracy、timely,noprivacy。
2)Integrity:
美国总统的被修改。
3)Confidentiality
3.一次性口令,可以同步认证,也可以异步认证
4.一般来说一个标准的权限管理过程应该是这样的,User〔copyboy〕根据工作需要提出权限申请----〉Owner批准权限申请----〉administrator根据领导〔就是Owner〕授权开通相应权限
二.1Identification,Authentication〔=Validating〕,andAuthorization〔标识、认证、授权〕
5.标识/鉴别〔用户名〕、认证〔密码〕、授权
6.Authentication:
方式有下面几种
1)Somethingapersonknows知道的
2)Somethingapersonhas有的
3)Somethingapersonis他是谁
4)Strongauthentication/two-factoryauthentication:
需要两个以上的认证方式。
7.Identitymanagement:
1)Biometrics生物(有的),identityuniqueattribute属性和behavior行为。
本钱高、复杂、推广难P137
i.TypeIerror:
reject正确的P138
ii.TypeIIerror:
acceptimpostor
iii.Crossovererrorrate,CER,EER,越小越好/准确(accurate)
iv.常见类型:
Fingerprint、retina视网膜、voice、palmscan〔creases,ridges,andgrooves,褶皱等〕、handgeometry手纹路〔宽、长、shape形状〕、iris虹膜scan、facescan、〔behavior〕signaturedynamics动态签名、keyboarddynamics动态键盘、Handtopography〔peaksandvalleys〕手型P139
2)Passwords〔知道的〕双因素是PIN+现实的密码:
jeaf+显示的P141
i.密码攻击:
electronicmonitoring〔replayattack〕、accessthepasswordfile、bruteforceattacks〔暴力破解〕、dictionaryattacks、socialengineeringP141
ii.Passwordcheckers〔检查密码的工具〕、passwordhashingandencryption〔加密〕P142、passwordaging〔保存以前5到10次的密码〕P143、limitlogonattemptsP143
iii.Cognitivepassword〔你妈妈的名字?
XX〕
iv.one-timepassword:
tokendevice(我们公司就是这种,分为timeorcounter〔初始化〕,是强密码,用到了两种认证方式:
has和knows),分为同步(输入显示的数字)和异步〔显示的东西输入令牌,结果再次输入进展认证〕P144
异步
v.Cryptographickeys〔密码字〕:
PKIP145
vi.Passphrase,密码词〔ILoveYou,ILY〕,VirtualpasswordP146
vii.Memorycar〔强认证,has&knows〕P146
1.memorycard,只存储信息,类似银行卡,需要读卡器cardreader
2.smartcard,能处理信息,接触和不接触/无线。
攻击〔faultgeneration产生错误,比拟正确和错误的区别找出密码;noninvasive:
side-channelattacks、poweranalysis、softwareattacks〔软件bug/flaw〕〕
8.authorization
1)role、group、time、logical&physicallocation、time、transaction〔根据动作,能建数据库,但不能访问里面的内容〕。
Autorizationcreep〔授权蔓延,一个人在转到其他部门,以前的权限没有去除权限就越来越多〕P149
2)defaulttonoaccess,默认全部拒绝
3)need-to-know,最小权限,leastprivilege
9.singlesign-on:
SSO单点登录〔kerberos、SEMSAME、securitydomain、thinclient〕
1)Kerberos,特色是只相信KDC〔KeyDistributionCenter〕,KDC存储所有用户和服务的key,通讯双方之间不信任,只信任KDC。
举例:
A和B两人互相不信任,但都相信KDC,那么A从KDC取得ticket,然后给B看,然后B就相信了并与之通信。
是一个验证协议P153
i.基于C/S〔客户端/服务器〕结构,symmetrickey对称性key
ii.是异构网络SSO的事实标准facto。
P154
iii.KDC是key分发中心
iv.由于开放性,如此不同vendor间的互操作性和兼容性不好
v.timestamp防止replayattackP155
vi.还可以设置认证有效时间,如8小时,过了后需要重新认证。
P156
vii.提供完整性Integrity、某某性privacy,但不提供可用性。
PPP
viii.用户和KDC之间共享secretkey,用于彼此间通讯的认证;sessionkey用于用户和打印机之间通讯的认证,通信完毕即destroy。
通信数据不加密。
P155
ix.类似于PKI,彼此不相信,都只相信CA。
CA用digitalcertificates担保vouches,KDC用ticket担保。
P156
x.缺点:
KDC是单点故障;ticket和sessionkey存在本地;P156
2)SEMSAME,在Kerberos根底扩展的一个欧洲。
使用symmetric对称和asymmetric非对称来保护通讯。
PAC=ticket,PAS=KDC,S=serverP157
3)Securitydomains:
高级能访问低级,firewall、routerACLs、directoryservices、differentsubnetmaskaddress。
每个subject在同一时间只能属于一个domain。
P158
4)Directoryservices:
LDAP、NDS〔NovellNetWaredirectoryservice〕、MSActiveDirectory.P160
5)Thinclient:
本地什么也没有,所有的操作都需要与centralinteractive.P160
二.2AccessControlModels〔访问控制模型〕
Whatdeterminesifanorganizationisgoingtooperateunderadiscretionary,mandatory,ornondiscretionaryaccesscontrolmodel?
――Securitypolicy
10.Threemodel:
可多种一起使用
1)(DAC)DiscretionaryAccessControl:
owner决定,非中央集中控制。
user-directed,执行了accesscontrolmatrixP161
2)(MAC)MandatoryAccessControl:
覆盖DAC〔即owner的决定〕,操作系统administrator强制控制,subject和object都严格分级,基于Securitylabels〔又称SensitivityLabels〕访问,有顶级某某级别的并不能访问所有顶级的东西,需要根据授权〔但下级绝对不能访问上级〕。
分为secret、topsecret、confidential。
一般用在military。
SELinuxNAS、TrustedSolarisP162
3)(RBAC)Role-BasedAccessControl,基于角色、功能任务,集中控制,适合高人员流动highemployeeturnoverP164
二.3AccessControlTechniquesandTechnologies〔方法和技术〕
11.Rule-BasedAccessControl:
基于规如此的访问控制,针对所有用户的强制,没有identity这一步P167
12.ConstrainedUserInterface:
限制用户接口P167
1)MenuandShells:
菜单和命令,functionality、mand
2)Dataview
3)Physical:
ATM
13.AccessControlMatrix〔矩阵〕,针对个体,os强制,一般是DAC模型的一个属性,即DAC使用它。
P168
1)CapabilityTables:
Kerberos就是这样的,仅针对individual,因为需要identity
2)AccessControlLists:
ACL,可以针对individualorgroup
14.Content-DependentAccessControl:
基于内容,数据库、关键字等,websurfing、email
15.Context-DependentAccessControl:
基于上下文〔次序〕,状态检测防火墙处理TCP三次握手,syn-syn/ack-ackP169
二.4AccessControlAdministration〔访问控制管理〕
16.一个安全的过程:
先policy等等、再accesscontrolmodel、再accesscontrol方法和技术,再accesscontroladministration方式〔集中、分散和混合〕P170
17.Centralize:
集中式,由一个人或者一个部门进展控制。
C/S结构〔只能client主动发请求〕
1)AAA指:
authentication,authorization,andauditing。
P171
2)三种认证协议:
PAP,CHAP,EAPP171
3)RADIUS:
C/S结构,集成authentication,authorization。
传输只加密某某、密码等认证信息,其他都是cleartext。
UDP传输,需要另外进展package检查。
ISP上网认证使用,简单环境允许还是deny。
P171
4)TACACS,C/S结构:
TACACS〔authentication&authorization〕、XTACACS〔分开AAA〕、TACACS+〔增加SSO/双因素〕。
TACACS+,TCP传输。
传输内容全部加密。
可结合kerberos。
使用方式更灵活但更复杂。
P172
5)Diameter:
overeRADIUS的很多不足,提供AAA,thediameteristwicetheradius,兼容RADIUS,peer-basedprotocol〔服务器能主动发送信息〕。
提供一个根底协议,支持很多协议。
能支持IPSECORTLS,RADIUS不支持。
AVP更大2的32方,RADIUS为2的8方。
MobileIP,用户从一个网络到另外一个网络仍然使用同一个IP。
P174
18.Decentralized:
分散式管理,closer离的近的分配权限,functionalmanagerP176
二.5AccessControlMethods〔访问控制方法〕
19.AdministrativeControls管理控制P177
1)PolicyandProcedure:
aHigh-Levelplan
2)PersonalControls:
人员变动,职责别离和职责轮换,人力部门和法律部门参与。
3)SupervisoryControls:
监管控制,每个人有上级,汇报和负责
4)Training
5)Testing,Allsecuritycontrols,mechanisms,andproceduresneedtobetestedonaperiodic
20.PhysicalControls物理控制P178
1)NetworkSegregation:
通过物理和逻辑都能进展网络分段
2)PerimeterSecurity:
边界安全,门卡、监控monitor,TV
3)puterControls:
FDD、CD-ROM
4)Workareaseparation:
工作区域
5)Databackup:
保存数据在防火的地方
6)Cabling:
布线,防干扰,防火burnt、防窃听eavesdropped
21.TechnicalControl〔logical〕P179
1)SystemAccess,MAC、DAC、RADIUS、TACACS、kerberos
2)NetworkArchitecture:
不同网络区域
3)NetworkAccess,Router、Switch、Firewall、Bridge
4)EncryptionandProtocols,perserveconfidentialityandintegrityofdata
5)ControlZone:
技术和物理和结合(Acontrolzoneisphysicalcontrol.),防止emitelectricalsignal
6)Auditing审计
二.6AccessControlType
22.preventive〔accesscontrolmodel〕、detect、corrective、deterrent、recovery、
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CISSP 培训 笔记