CISSP证书公共知识体系学习指南.docx

1、CISSP证书公共知识体系学习指南CISSP证书公共知识体系学习指南如何使用本学习指南本指南针对那些对由CISSP认证感兴趣的安全实践人员开发。它分为三个部分，第一部分是介绍，本解释了CBK，它是CISSP认证考试的基础。此外，CBK也是对由（ISC）2TM提供的CBK复习研讨会（CKB Review Seminar）的基础，也是对想在谈论CISSP证书考试之前正式研究CBK的个体的基础。第二部分包括十个CBK领域。第一领域包含一个概要和主要知识范畴。第三部分提供来发展证书考试的参考目录。根据技术和方法的变化，此参考化同时，此参考的且并不试图包揽一切。本部分的目的提供参考类型的例子，它们也许对

2、CISS 证书考试的准备工作有帮助，并且它不是由（ISC）2TM或它的执行委员会直接或间接发行这些参考的。公共知识体系（CBK）一般而言职业是特征化的，部分上讲，通过该职业的从业由一种人员共享的，的知识主体他们在工作中应用刻划。它通常是抽象的和稳定的。它独立于必要的技能，工作，行为或技术。CBK语言会专业人员之间的交流。这样一个CBK的存在是必要的，但并不足以证明有资格的专业人员。CBK委员会由（ISC）2TM执行董事会，对定期为信息安全专业的知识体系进行更新。委员会成员从相关领域中最有经验的和知名的领军人物中选取。委员会鉴定该知识体的边界和主题领域。在决定CBK中应包含什么内容时，决定CBK

3、包含什么委员会的依据是依赖于知识的深度和广度以及中委员对知识的期望。就是，如果委员们认同其它安全专业人员的信息安全领域的某些知识，同时并不认为这些知识不在此领域内，则这些知识就确定为CBK的一部分。但是，如果通常一些特殊的知识认为不在信息安全专业内，则它的知识不包含在CBK内。当前版本的CBK已更新，由于美国政府的法律和政策删除了一些特殊的参考，增加了国际标准的参考。CBK被组织成十个领域和多个子领域。本学习指南有对CBK中的领域的一节每一，用来帮助应试者准备CISSP认证考试。这十个领域是：1. 访问控制系统和方法2. 电信和网络安全3. 安全管理准则4. 应用和系统开发安全5. 密码学6.

4、 安全体系结构和模型7. 操作安全8. 业务连续性计划（BCP）和空难性恢复计划（DRP）9. 法律，调查研究和道德规范10. 物理安全公共知识体系领域1、 访问控制系统和方法概要 访问控制是构成集合，它允许系统管理员行使指导和限制系统行为，使用和内容的影响。它允许管理设置用户可以做什么，他们可以访问什么资源和他们可以在系统上执行什么操作。 应试者应该完全清楚访问控制的概念，方法和在企业计算机系统中核心的和非核心环境的应用。访问控制技术，侦测和纠正尺度应当研究用以明晰潜在风险，弱点和暴露。关键知识域 责任 访问控制技术 自由访问控制(Discretionary Access Control)

5、强制访问控制(Mandatory Access Control) (Lattice-based Access Control) 基于规则的访问控制(Rule-based Access Control) 基于角色的访问控制(Role-based Access Control) 访问控制列表(Access Control Lists) 访问控制管理 帐户管理 帐户，登录和日志管理日记(Journal Monitoring) 访问权利和限制许可 建立（认可） 文件和数据拥有人，管理人和用户 最小特权准则(Principle of Least Privilege) 责任和义务分离(Segregatio

6、n of Duties and Responsibilities) 维护 撤消 访问控制模型 Bell-LaPadula BibaClark and Wilson无干扰模型(Non-interference Model)(State Machine Model)访问矩阵模型(Access Matrix Model) 信息流动模型(Information Flow Model） 鉴定和鉴别技术 基于知识的口令，个人标识码(PINs)，短语 口令 选择 管理 控制 基于特征(生物测定学，行为) 令牌(token) 门票(ticket) 一次性口令 基于令牌(智能卡，密钥卡) 管理 单点登录 唯一签

7、名(Single Sign On，SSO) 访问控制方法和应用 集中/远程鉴别访问控制 RADIUS TACACS 分散访问控制(Decentralized Access Control) 领域 信用 文件和数据所有者和管理人地位 攻击方法 强力攻击(Brute Force) (Denial of Service) 字典攻击 欺骗攻击（Spoofing） 中间人攻击(Man-in-the-middle attacks) 垃圾邮件(Spamming) 嗅探(Sniffers) Crackers 监控 侦察入侵 入侵类型 预防入侵(标识，鉴别) 侦察入侵（数据提取，取样，认事，通行） 攻击特征标识

8、(Attack Signature Identification) 入侵激活响应(Intrusion Reactive Response) 不规则标识(Anomaly Identification) 入侵响应(Intrusion Response) 报警(Alarms) 发信号(Signals) (Audit Trails)检查入侵痕迹 侵害报告(Violation Reports) 纠正(Corrections) 穿透测试(Penetration Testing)2、 电信和网络安全概述电信和网络安全领域包含结构，传输方法，传输格式和用于为个人及公共通信网络媒体的传输提供完整性、可用性、鉴别

9、和机密性安全(Security Measure)。应试者应弄清楚通信和网络安全，它涉及语音通信；数据通信包括本地，广域和远程访问；Inernet/Intranet/Extranet包括防火墙，路由和TCP/IP；以及护侦通信安全管理和技术包括预防，检测和纠正手段。知识主要领域 ISO/OSI 物理层 数据链接层 网络层 传输层 会话层 表示层 应用层 通信和网络安全 物理介质特征(如，光纤/同轴电缆/双绞线) 网络拓朴(例如，星型/总线/环型) IPSec鉴别和机密性 TCP/IP特性和弱点 局域网 广域网 远程访问/远程办公(Telecommuting)技术 安全远程过程调用（Secure

10、Remote Procedure call）(S-RPC) RADIUS/TACACS(Remote Access Dial-In User System/Terminal Access Control Access System) 网络监控和Packet Sniffers Internet/Intranet/Extranet 防火墙 路由器 开关 网关(Gateways) 代理(Proxies) 协议 Transmission Control Protocol/Internet Protocol(TCP/IP) 网络层安全协议（IPSEC，SKIP，SWIPE） 传输层安全协议（SSL） 应

11、用层安全协议（S/MIME，SSL，SET，PEM） Challenge Handshake Authentication Protocol(CHAP)和Password Authentication Protocol(PAP) 点到点协议(PPP)/串行线路互联网协议(SLIP) 服务 HDLC 帧中继 SDLC ISDN X25 防护，侦测和纠正错误，以维护通过网络事务的完整性，可用性和机密性的通信安全技术 隧道(Tunneling) 虚拟私用网络(VPN) 网络监控和Packet Sniffers 网络地址翻译(Network Address Translation) 透明度 全部无用信

12、息 记录顺序检查(Record Sequence Checking) 传输日志(Transmission Logging) 传输错误更正(Transmission Error Correction) 续传控制(Retransmission Controls) EMAIL安全 (Facsimile Security) 安全语音通信 安全范围和如何安全政策到控制其范围(Security Boundaries and How to translate security policy to controls) 网络攻击和对策 ARP 强力攻击 蠕虫(worms) 扩散(flooding) 窃听(eav

13、esdropping) (匿名)(sniffers) Spamming PBX欺骗和滥用（PBX Fraud and Abuse）3、 安全管理准则概要安全管理承担组织信息资产的识别，以及那些发展的鉴定，文档和政策，标准，过程和方针的化的应用以确保机密性，完整性和可用性。使用管理工具(如数据分类，风险评估和风险人析)来识别脉络，分资产，评估脆弱性以确保有效的安全控制应用。风险管理是对不确定事件和风险相关损失的鉴定，度量，控制和最小化的损失。它包括所有的安全检查，风险分析；安全措施的选择和评估，费用收获分析，管理决策安全的选择和评估，定，安全措施安全应用和有效性的检查。应试者应弄清楚计划，组织和

14、在鉴定和安全组织的信息资产的每一部分的作有用；陈述管理概念的政策和进展和使用，特殊课题的地位和方针，标准和过程的使用以支持这些政策；安全意识训练以使职员懂得信息安全的重要性，它的意义与它们的地位相关的特殊的与安全相关的设备；机密性，所有者和私有的信息的重要性；雇用协议；职员录用和解雇准则；和风险管理准则和工具以鉴定，评估，降低对针对特殊资源的风险。知识主要领域 安全管理概念和原则 秘密 机密性 完整性 可用性 委托 鉴定和鉴别 责任 抗抵赖 文档(Documentation) 审查 CIA三元组 保护机构 分层 抽象 数据隐藏 加密 改变控制/管理(Change Control/Managem

15、ent) 硬件设置 系统和应用软件 改变控制过程 数据分类(Data Classification) 分类安排的目标(Objective of a Classification Scheme) 通过什么样的数据分类标准分类 商业数据分类 政府数据分类 信息/数据 价值/估价(Worth/Valuation) 收集和分析技术 行业佣政策和惯例(Employment Policies and Practices) 背景检查/安全调查(Background Checks/Security Clearances) 行业许可佣(Employment Agreement) 解雇用和解雇实践(Hiring

16、and Termination Practices) 职业描述 任务和职责 义务和职责分离(Separation of Duties and Responsibilities) 职业转换(Job Rotations) 政策，标准，方针和过程 风险管理 风险管理原则 威胁和弱点 确定(Probability Determination) 资产评估 风险评估工具和技术 定性和定量的上的风险评估方法 单一事件损失(Single Occurrence Loss) 年度损失期望计算(Annual Loss Expectancy (ALE) Calculations) 对策选择(Countermeasur

17、e Selection)(Countermeasure Evaluation) 风险降低/分配/接受(Risk Reduction/Assignment/Acceptance) 任务和职责 管理 所有者 管理者 用户 IS/IT功能 其它个体(other individual) 安全意识训练 安全管理计划4、 应用和系统开发安全(Applications & Systems Development Security)概要应用和系统开发安全的控制，以及一些控制，包含在系统和应用软件和开发中使用中步骤。应用涉及代理(agents)，小程序(applets)，软件，数据库，数据集合，以及基于知识的系

18、统。这些应用可能在分布式或集中环境中使用。应试者应完全清楚系统开发过程，系统生存期，应用控制，改变控制，以及用于确保数据和应用完整性，安全和可用性的数据集合，数据发掘，基于知识的系统，程序界面和概念念中的安全和控制。主要知识领域 应用问题 分布式环境 代理 小程序 Active-X Java 目标 本地/非分布式环境 病毒 特洛伊木马 逻辑炸弹 蠕虫 数据库和数据集合 集合(Aggregation) 数据发掘 推理(Inference) 多实例(Poly-instantiation) 多级安全 数据基础管理系统(DBMS) 数据/信息存储 首要的(Primary) 其次的(Secondary)

19、 真实的(Real) 虚拟的(Virtual) 随机的(Random) 可变的(Volatile) 序列(Sequential) 基于知识的系统 专家系统 神经网络 系统开发控制 系统开发生存期 概念定义(Conceptual Definition) 功能需求确定(Functional Requirements Determination) 防护说明书开发(Protection Specifications Development) 设计检查 代码检查或排练 系统测试检查 鉴定(Certification) 鉴定合格(Accreditation) 维护 安全控制体系结构 过程隔离(Proces

20、s Isolation) 硬件分割(Hardware Segmentation) 权限分离(Separation of Privilege) 可说明性 分层 抽取(Abstraction) 数据隐藏 System High 安全内核(Security Kernel) 参考记录(Reference Monitors) 运作模式(Mode of Operation) 超级用户 用户 完整性级别(Integrity Levels) 网络/系统 操作系统 数据库 文件 服务等级协议(Service Level Agreement) 恶意代码 定义 术语(Jargon) Myths/hoaxes 黑客，解密者，盗用线路者和写病毒者的概念(The concepts of hackers, crackers, phreaks and virus writers) 防病毒保护 防病毒软件 计算机病毒的不同类型 Multi-partite 宏病毒 传染根引导区传染 Macintosh 传染文件传 逻辑炸弹 特洛伊木马 Active-X Java 陷门 攻击方法 强力攻击或穷尽攻击(Brute Force or Exhaustive Attack) 服务拒绝(Denial of service) 字典式攻击 欺骗 pseudo flaw 改变批准代码(Alteration of Autho