CISA高分考生复习笔记知识要点.docx

CISA高分考生复习笔记知识要点.docx

《CISA高分考生复习笔记知识要点.docx》由会员分享，可在线阅读，更多相关《CISA高分考生复习笔记知识要点.docx（19页珍藏版）》请在冰豆网上搜索。

CISA高分考生复习笔记知识要点

TASKSTATEMENTS

1.评估逻辑访问控制的设计，部署和监控，以确保信息资产的CIA

2.评估networkinfrastructure的安全性

3.评估环境控制

4.评估物理访问控制

5.评估存储，retrieve，传递和处理机密信息资产的过程和流程

KnowledgeSTATEMENTS

1.安全的设计，部署和监控的技术

2.逻辑访问控制

3.逻辑访问架构（SSO,用户识别，身份管理）

4.攻击手段和技术

5.安全事件响应

6.挽留过和internet安全设别，协议和技术：

SSL,SET,VPN,NAT

7.IDS,IPS,Firewall的部署，操作，配置和维护

8.加密算法技术，

9.PKI

10.病毒检测工具和控制技术

11.安全测试和评估工具

12.环境保护实践和设备

13.物理安全系统和实践

14.VoIP

15.机密信息资产的生命周期保护

16.手动，无线设备的控制和相关风险。

信息安全管理的重要性

1.信息安全的目标CIA

一、信息安全管理的关键要素

1.IS安全不仅仅是一种机制，同样反应的是企业的文化。

Ø高层支持

Ø策略和流程

Ø组织

Ø安全意识和交易

Ø监控和合规性

Ø事件处理和响应

二、信息安全管理角色和职责

1.ISsecuritysteeringcommittee：

不同管理层的人员足赤回忆

2.Eexcutivemanagement：

对信息资产保护、发布和维护信息安全策略框架负责

3.securityadvisorgroup：

需要由bussiness人员设计，检查组织的安全计划，想CSO提供安全建议，以及向业务部门沟通安全项目是否符合业务需要

4.CPO首席隐私官

5.CISO首席信息安全官

6.processowner：

确保适当的安全措施与机构的策略一致，并得到维护

7.informationassetownersanddataowner：

8.users

9.externalparties

10.securityadministrator：

staff级别的而为之，提供适当的物理和逻辑安全项目

11.securityspecialists、advisor

12.ITdevelopers

13.ISauditor：

独立性assurance

三、信息资产的目录和分级

1.信息资产分级将安全与业务目标有效结合起来，减少风险，节省成本

2.classification应该根据机构规模尽量简化。

3.data是核心的信息资产，dataclassification应该定义：

Øowner

Øaccessrights（needtoknow）

Ølevelofaccesstobegranted

Ø决定访问权限和级别的人

Ø谁审批访问需求

Ø安全控制的范围和深度

4.数据分级应该考虑CIA,还有隐私和合规等事务。

四、Systemaccesspermission

1.物理或逻辑系统访问应该基于一个书面的NEED-TO-KNOW的基础，这个基础是基于最小授权和职权分离的合法的业务需求。

2.逻辑安全下的信息技术资产可以分为：

networks，platforms，databases和applications

3.信息owner应该书面授权对信息的访问

4.对访问的授权情况应该定期检查，检查应该与HR流程结合。

5.非组织雇员的访问活动同样需要合规性控制

五、MAC,DAC

1.MACs强制访问控制：

缺省实施，不受用户或者dataowner的控制

2.DACs可以由用户或者dataowner来配置和更改

3.MAC比较的是信息资源的sensitivity和访问实体的securityclearance安全许可。

MACs是禁止性的prohibitive，任何没有例外管理的都要禁止。

只有管理员可以更改。

4.DACs,dataowner决定访问权限，DACs不允许超越MACs。

5.

六、隐私管理事务，IS审计师的角色

1.privacy必须从一开始就要进行关注，执行privacyimpactanalysis

2.IS审计师为管理成的隐私合规提供合理保证

Ø识别理解合规要求

Ø检查个人数据的管理合规性

Ø验证是否采用恰当的安全措施

Ø检查管理层的隐私策略。

七、信息安全管理的关键成功因子

1.管理层对安全培训的有力支持

2.基于风险的资产识别、风险评估

八、信息安全和外部parties

1.对customer，thirdparty等的控制

2.为防止未授权访问，所有打印的文档必须在站访问

3.建立DRMdigitalrightsmanagement来限制对文档的复制，打印等

4.若信息安全管理外包，则相关协议应该定义第三方如何保证安全要求。

5.要考虑第三方无法提供服务时的应急处理（replacementserives）

九、HR安全和thirdparties

1.通过恰当的jobdescription来落实安全责任

2.入职调查

3.基于安全角色签订协议，含保密协议等

4.根据公司安全策略来书面定义雇员合同，第三方的用户的安全责任

5.与合同方和第三方签订的协议中应该包含背景调查的内容backgroundverificationchecks

一十、Computercrimeandexposure

1.计算机犯罪造成的影响：

ØFinancialloss

ØLegalrepercussions

ØLossofcredibilityofcompetitiveedge

ØBlackmail、industrialespionage、organizedcrime

ØDisclosureofconfidential，sensitiveorembarrassinginformation

ØSabotage怠工

2.犯罪分子类型

ØHackerscrackers

ØScriptkiddies

ØCrackers

ØEmployees

ØISpersonnal

ØEndusers

ØFormeremployees

ØInterestedoreducatedoutsiders

ØParttimeandtemporarypersonnel

ØThirdparties

ØAccidentialignorant

3.计算机是犯罪对象图：

DoS,hacking

4.计算机是犯罪的subject：

DDoS,virus

5.计算机是犯罪工具：

fraud，未授权访问，phishing，安装keyloggers

6.计算机symbolizes犯罪：

社会工程

7.一般的攻击机制和技术

ØAltertionattack：

篡改工具破坏数据的完整性，对策使用加密哈希

ØBotnets僵尸网络

Ø暴力破解：

ØDoS

●Smurfattack：

误配置的网络设备允许通过广播地址发送到特定网段的所有hosts

●Pingflood：

●SYNFlood：

●Teardropattack：

发送损毁的IPfragments

●Peertopeerattack：

●PDoSphlashing：

伤害的是硬件，

●应用层级的flood攻击：

✓bufferoverflow，

✓暴力破解，

✓带宽饱和型flood攻击，

✓bananaattack（将客户端发送的消息重定向回客户端），

✓pulsingzombie：

✓nuke：

损坏的ICMP包发送给受害目标

✓DDoS

✓Reflectedattack：

✓Unintentionalattack

Ø拨号渗透攻击，waidialing

ØEavesdropping

ØEmailBombingandspamming

ØEmailspoofing

ØFlooding

ØInterruptattack

ØMaliciouscodes

●Logicbombs

●Trapdoors

●Trojanhorses

Ø中间人攻击

ØMasquerading伪装

ØMessagemadificaiton

ØNetworkanalysis

ØPacketreplay

ØPhishing钓鱼：

包括社会工程，linkmanipulation，和websiteforgery

●Spearphishing：

●Pharming：

将流程或网页重定向到一个boguswebsite。

防病毒以及防间谍软件不能阻止pharming

●社会工程学

ØPiggybacking

ØRaceconditions：

TOC/TOU攻击：

竞争状态由于nonatomic，deadlockfailure造成。

需要良好的编程和管理来控制

ØRemote维护工具

ØResourceenumerationandbrowsing：

资源穷举，其中browsing攻击时使用手动搜索的方式来耗尽资源

ØSalami攻击把末尾删掉

ØRoundingdown：

把末尾数减小

ØSpam：

uce，junkemail垃圾邮件：

使用贝叶斯过滤来控制

ØTrafficanalysis

Ø通过WWW的非授权访问

Ø病毒，蠕虫，间谍软件

ØWardriving战争驾驶

ØWarwalking

ØWarchaclking

一十一、安全事件处理和响应

逻辑安全

一、逻辑安全exposures

1.生物认证技术：

✓FRR第一类错误拒绝率

✓FAR第二类错误接受率

✓EER

✓FER错误注册的比例

✓Retina的FAR比例最低，成本高，用户接受度低

2.SSO单点登录

✓Kerberos-分布式环境中使用

二、授权事务

3.ACL

4.逻辑安全管理：

集中式，分布式

5.远程访问安全

6.audittrail分析的工具

✓auditreductiontools

✓trend/variance-detectiontools

✓attack-signature-detectiontools

✓

网络基础设施安全

一、LAN安全

1.LAN由于管理员经验，难以标准化管理等问题。

二、C/S安全

三、无线安全威胁和风险处置

四、Internet威胁和安全

1.passive攻击

2.active攻击

3.偶然性

4.防火墙安全系统

✓包过滤：

简单操作，性能稳定

✓应用防火墙：

app-level每个应用服务使用一个代理，circuit-level：

一个应用代表所有服务。

性能差，规模性受制约

✓状态检测防火墙：

难以管理

5.防火墙部署架构

✓Screened-hostfirewall

✓Dual-homedfirewall

✓DMZ

6.火墙的局限

✓认为有了火墙就不需要内部的控制了

✓拨号路由的使用可以绕过火墙

✓火墙配置不当

✓对火墙的概念不明确

✓为定期监控火墙

✓策略未日常维护

✓火墙智能抵御网络层的攻击，对应用层面的攻击，例如：

SQL注入，bufferoverflow等都不能阻止。

7.硬件防火墙速度快，但是不灵活；软件防火墙慢，但是灵活且有多种功能，最好使用appliance，不是一般意义上的服务器，可以内置加固的OS，不易遭到攻击。

8.IDS系统HIDS,NIDS，包含的类型：

✓基于特征的

✓基于统计的

✓Neuralnetwork神经网络：

有自学功能

9.IPS

10.honeypots，honeynets

五、加密

1.加密系统的关键因子：

加密算法，key,keylength

2.有效的加密系统以来algorithmstrength，secrecyanddifficultyofcompromisiongakey。

3.因特网上的多数加密交易依靠的是一个组合：

public/privatekeys，secretkeys，hashfunctions，digitalcertificates来实现机密性，消息完整性，认证和抗抵赖。

4.对称加密sysmetrickeycryptographicsystems：

ØDES：

blockcipher使用64bitsblock，其中56bit用于加密，DES的keyspace很容易被破解。

ØAES：

128-256bits的key，

Ø对称加密的优点：

只需要记住一个key，可以快速加密bulkdataencrption

Ø缺点:

如何传递key，不能用于签名

5.非对称加密publickeycryptographicsystems

ØRSA:

RSA的加密性与因式分解难度相关

ØECC：

多用于无线网络，移动设备。

ECC需要更少的运算power，可以在每个bit上提供更多的安全性。

6.Quantum加密：

量子加密依靠的是随机性和对称key的安全FENFA

7.AES:

key长度分为128,192,256，

8.数字签名

ØSHA-1，MD2，MD4，MD5都是messagedigest的算法。

是one-way功能的。

Ø时间戳和hash用于阻止replay攻击

Ø数字签名和公钥加密容易遭到中间人攻击

9.数字信封：

对称key加密message，sessionkey用receiver的公钥加密

10.PKI：

ØDigitalcertificate：

用户的publickey+用户身份信息

ØCertificateauthority:

CA签名所有的公钥

ØRegistrationauthorityRAverify用户的请求

ØCertificaterevocationlist：

维护已经不使用的证书的清单

ØCertificationpracticestatement：

是一个详细的规则集合用于管理CA的运行

六、加密系统的应用

1.SecuresocketslayerSSL和transportlayersecurityTLS.

ØSSL是一个session/connection层的协议。

在因特网上广泛用于webserver和browser之间的通信。

ØSSL提供终端认证和通信隐私性。

一般情况下只有server得到认证，而client没有认证。

Mutual认证需要客户端配置PKI.

ØSSL在application和tcp传输层之间运行，通常和HTTP结合使用形成HTTPS，HTTPS用于加固网页的安全性，HTTPS使用publickeycertificates来核实终端的身份。

ØSSL可以提供twoway例如B2B，也可以是onewayconsumerprocess，顾客核实虚拟网店的身份

ØSSL提供机密性，完整性，认证和抗抵赖

2.S/HTTP

Ø应用层协议，传递个人消息或者网页，使用https:

//.指引message到一个安全的端口，而不是默认的网页端口地址。

这个协议使用SSL的特点，但是不是一个会话层协议

3.IPSec

Ø网络层协议，建立VPNstransport模式（ESP,数据加密），tunnel模式（ESP+packet、报尾加密+AH）

Ø无论在使用哪种模式建立IPSec会话，securityassociationsSAs应该使用。

SAs定义安全参数，例如：

加密算法，key，初始向量，key的lifespan等。

SA通过一个32bit的securityparameterindesSPI建立。

SPI是一个唯一标识符，用于确保发送端的主机参考特定用于接收端的安全参数。

ØIPSes可以使用ISAKMP/Oakley这个非对称加密来增强安全性。

这个协议可以使用key的管理，公钥协商，建立/更改/删除SA

4.SSH:

Ø是一个C/S程序，开启一个安全加密的命令行shell会话。

SSH使用强加密来保护数据。

SSH用于加固telnet和Ftp服务，在应用层执行。

5.SECUREMultipleinternetmailextensionsS/MIME安全邮件协议：

认证sender和receiver，核实消息完整性，确保message内容的隐私，也包括附件的隐私

6.secureelectronictransactionsSET由VISA,mastercard等信用卡组织开发，用于加固支付交易。

SET是应用层协议，使用第三方的PKI

七、加密的风险和密码保护

1.key的保密性最重要

2.key的随机性也是一个关键因子

八、virus病毒

1.病毒是self-propagete自我繁殖的，附着到另外的程序上。

病毒可以是非恶意也可是恶意的。

一般攻击4类计算机

Ø可执行的程序文件

Ø文件字典系统

ØBoot和系统区域

ØDatafiles

2.worms蠕虫，不能物理上将自己附着到另外ide程序上，一般是利用OS的安全漏洞。

3.病毒和蠕虫的控制:

Ø需要部署防病毒程序，一是有强健的策略和流程，二是要有技术手段。

4.防病毒软件类别：

ØScanner扫描器：

扫描memory，disk-bootsectors，executables，datafiles以及commondfiles，需要定期升级

●Virusmasksorsignatures

●Heuristicscanners启发式扫描：

可能产生一个比较高的false-positive错误率

ØActivemonitors：

不能分辨用户请求和程序/病毒请求，需要有用户的confirmactions。

ØIntegrityCRCcheckers完整性校验码检查：

计算一个未感染病毒的程序的二进制码，存放在数据库文件中，这个数字叫做cyclicalredundancycheckCRC，后续扫描中，当这个程序被调用，先计算一个数字和CRC做比较。

对新文件不能识别

ØBehaviorblockers行为阻止器：

关注于检测可疑的行为，大多数基于硬件的防病毒系统都是这个概念

ØImmunizers免疫器：

5.防病毒软件部署战略

Ø用户服务器或者workstation层面：

安装软件程序定期扫描，手动扫描，持续扫描

Ø公司网络层面viruswalls：

病毒扫描软件用于防火前技术的整合部分。

称为viruswalls。

扫描输入的数据流。

Viruswalls通常工作在以下层级

●Smtpprotection

●HTTPprotection

●FTPprotection

九、VOICEOVERIPVoIP

1.IP电话，也被称为VoIP..VoIP使用packetswitching技术，因需传递数据。

VoIP在长途电话上节省费用。

2.VoIP组件：

callprocessors，callmanagers，gateways，routers，firewallsandprotocols

3.VoIP安全事务：

VoIP需要保护数据和音频两种资产。

加固VoIP的关键是将用于data网络的安全机制，用于模拟现在使用在PSTN上的安全级别

4.VoIP最关键要考虑其可用性，需要有备份通信设施。

对IP电话和其支持设备的防护水平要等同于计算机系统；例行安装补丁，防病毒；划分单独的VlAN，许多情况下使用sessionbordercontrollerSBCs来保护VoIP数据流的安全性。

这个类似于防火墙。

一十、PBXPRIVATEBRANCHEXCHANGE

1.对PBX的安全性控制不到位，容易造成tollfraud，机密信息或者财产的失窃，收入损失以及法律责任。

2.现在的软件PBX提供了很多通信性能，这个新特性使得入侵者利用PBX入侵更容易。

3.今天使用的PBX的特性包括

ØPBX包含至少两天电话新

Ø使用数字电话将voice和数据进行整合

4.PBX使用如此广泛的一个原因是：

节省话费成本，也可以在内部使用短号来呼叫。

5.PBX风险：

ØTheftofservices

ØDisclosureofinformation

ØDatamodification

ØUnauthorizedaccess

ØDenialofservice

ØTrafficanalysis

6.PBX是复杂的计算机系统，他的安全性与一般的OS安全性不同点在于：

Ø外部访问控制：

PBX需要外部厂商的远程维护，而不是一般OS要求本地管理员安装补丁进行维护。

这样就需要远程维护端口和被外部访问

ØFeaturerichness：

PBX的管理特性和conference功能丰富，可能被攻击者利用。

7.PBX的另外的安全漏洞：

Ø不受控制的directinwarddialDID线路，直接内部呼叫，可以是外部party申请一个本地的dialtone，免费打长途

Ø系统访问控制机制缺失

Ø长途电话对某些号码的拨打，例如热线，手机号等控制缺失

Ø传真，modem等特殊号码未控制

Ø没有开启注册calls的选项，

8.PBX审计：

9.PBX系统加固

Ø配置，加固专用的管理端口

Ø控制DID,防止外部人员申请dialtonelocally。

Ø长途电话拨打的系统访问控制

Ø控制长途电话的拨打电话的号码范围

Ø控制传真，modemhaoma

Ø启动registercall的选项，确保使用calltrackinglogs

Ø对PBX的硬件也要加以保护，要antitamper防止篡改。

10.remoteaccess：

控制风险：

回拨机制，认证的scrutiny和适当的认证

11.带外维护。

MOS

12.特殊的制造商特性

ØDatabaseupload/downloadutilities

ØDabaseexamine/modifyutilities

ØSoftwaredebugger/updateutilities

13.

审计信息安全管理框架

一、审计信息安全管理框架

1.检查书面策略，流程和准则

2.逻辑访问安全策略

3.正式的安全意识和培训

4.dataowership

5.dataowner

6.datacustodians

7.securityadminis