资讯详情

【CISSP备考】AIO一刷易错知识点

把AIO再次追溯综合题,即从书本上翻一下错题对应的知识点,预计需要2晚。前70个问题,主要错误集中在第一章(安全和风险管理)和第五章(身份和访问控制),有些测试地点不认真,回顾原文,有些测试地点真的不是,觉得书找不到同样的,检查过程,容易腐烂,或找不到,实际上翻书的过程,熟悉教科书,真的充满学习能力,来冲鸭~

以下70个问题增加了第三章(安全工程)、第六章(安全评估与测试)、第八章(软件安全开发),明天周四晚上上课,周五晚上翻讲义,周六翻AIO做一次分章练习,周日开始做培训班发的章节强化练习,终于开始做题了~

f131f4f9df32c534d72dd6681714a95e.png

一、安全和风险管理

  • 风险管理相关要素的定义
  1. 风险:威胁利用资产弱点对资产造成损害的潜在可能性
  2. 脆弱性/弱点/漏洞:资产中可威胁使用的缺点
  3. 威胁:可能损害资产或组织的安全事件的潜在原因
  4. 威胁代理:威胁源
  5. 安全措施/控制/对策:预防威胁、减少弱点、限制事故影响的方法和措施
  • 企业管控参考框架
  1. 安全方案开发:ISO/IEC 信息安全管理
  2. 开发:Zachman、TOGAF、DoDAF、MoDAF
  3. 开发:SABSA安全架构框架
  4. 治理:COSO企业内控管理模式
  5. 开发:COBIT IT内部控制、NIST 800-53安全控制参考
  6. :CMMI软件开发管理,ITIL IT服务管理、6 Sigma业务流程管理
  • ISO 27000系列
  1. ISO 27001:信息安全管理体系建设
  2. ISO 27002:信息安全管理体系最佳实践
  3. ISO 27003:信息安全管理体系实施指南
  4. ISO 27004:信息安全管理测量
  5. ISO 27005:信息安全风险管理
  6. ISO 27799:医疗机构信息安全管理指南
  • 法律制度不同
  1. 英美法系/海洋法系:强调先例,采用不成文法和判例法
  2. /欧洲法系/罗马法系/民法系/法典法系:成文法,不承认判例法
  3. 制度:根据一定的社会权威和社会组织,独立于国家
  4. 法律体系:基于该地区的宗教信仰
  • 典型的RA方法
  1. :澳大利亚的风险评估方法不是专门用于安全的
  2. NIST -30/66:定性风险分析
  3. :便捷的风险分析过程,专门的方法,先预筛选,节省时间和金钱
  4. :它是一种基于信息资产的独立信息安全风险评估规范,强调以资产为驱动,资产形成了组织业务目标与安全相关信息之间的桥梁,以保护关键信息资产为目标,由三个阶段和八个过程组成
  5. :资产识别和评价,威胁和弱点评估,对策选择和建议
  6. :创建系统可能面临的所有威胁的树枝可以代表网络威胁、物理威胁、组件故障等类别。在进行风险分析时,需要切断未使用的树枝
  7. :硬件分析也可用于软件和系统分析,检查每个部件或模块的潜在故障,并检查故障的影响

三、安全工程

  • 安全模型
  1. :第一个提供分级数据机密性保证的战略模型不能上下读写
  2. :保护数据不被未授权修改,不能下读上写
  3. :完整性的三个目标是通过三元组、职责分离和审计来实现的
  4. :中国墙是为投资银行设计的
  • 预防、检测和扑灭火灾
  1. 湿管:管道直存放在管道中,喷水过程由温度控制传感器控制,缺点是可能冻结,无法使用
  2. 干管:管道中没有水。热或烟雾传感器触发后,水进入通向喷嘴的水管。电子阀过热激活后,阀门打开
  3. 预响应类型:水不储存在水管中,当水管中的高压气体压力降低时,水管中的水不会立即释放,直到喷嘴处的连接器熔化,水才会释放
  4. 泛滥:喷嘴总是打开的,这样可以在短时间内喷出大量的水
  • CPTED通过环境设计预防犯罪行为
  1. 自然访问控制:引导人们通过门、栅栏、照明甚至景观布局和绿化进出,设计缺乏隐藏或犯罪的场所。清晰的视线和透明度可以用来阻止潜在的罪犯
  2. 自然监测:通过有组织(保安)和技术手段(CCTV)而自然的方式(开阔视野)让犯罪分子感到不安,让别人感到舒服
  3. 自然区域加固:建立强调或扩展公司无法影响的物理设计,使合法用户在这个空间有归属感
  • 数据链路层
  1. LLC:负责并接近上层(网络层)中的协议通信
  2. MAC:协议以适当的方式加载,以满足物理协议的需要

身份和访问控制

  • 三种不同的AAA协议差异和比较
  1. RADIUS:UDP、在PPP连接工作,在验证用户身份时使用单挑响应,适用于所有用户AAA活动
  2. TACACS :TCP、加密所有流量和使用AAA结构,分离身份验证、授权和审计,支持其他协议,如AppleTalk、NetBIOS和IPX、对每个AAA多挑战响应用于每个过程AAA活动必须进行身份验证
  3. Diameter:TCP、协议包括基本协议,NAS协议,EAP协议,MIP协议,CMS协议,支持移动IP、NAS请求和移动代理的认证、授权和计费工作
  • 标记语言示例
  1. SPML服务配置标记语言:允许在公司或不同公司的应用之间、资源配置系统,发布服务
  2. SAML安全断言标记语言:用于不同的语言交换认证和授权数据
  3. SOAP:有关如何对Web结构化服务信息交换的方式
  4. SOA:以统一的方式为不同的业务领域和系统提供独立的服务
  5. XACML:通过Web实现服务等应用访问权限实现资产控制
  • Kerberos的问题
  1. KDC如果是单点故障,可以是单点故障KDC如果出现故障,没有人能获得所需的资源和冗余KDC是必要的
  2. KDC接收到的大量请求必须能够实时处理,必须可扩展
  3. 用户工作站临时存储秘密密钥,这意味着入侵者有可能获得这些加密密钥
  4. 会话密钥暂时存储在用户工作站,这意味着入侵者可以获得这些加密密钥
  5. Kerberos很容易被密码猜测攻击,KDC不知道字典攻击有没有发生
  6. 没有加密功能的,Kerberos无法保护网络流量
  7. 如果密钥太短,它们很容易被蛮力攻击
  8. Kerberos所有客户和服务器都需要保持同步时钟
  • 访问控制模型
  1. 独立访问控制 DAC:访问是基于用户的授权
  2. 强制访问控制 MAC:比DAC基于多级安全策略,依靠安全标签
  3. 基于角色访问控制 RBAC:使用集中访问控制来决定主体和客体之间的交互
  4. 基于属性访问控制 ABAC:解决RBAC每个资源和用户都给出了一系列的属性

六、安全评估与测试

  • SOC报告l>
  1. SOC1:用于财务处理服务
  2. SOC2:没有影响或间接影响的到用户的财务系统
  3. SOC3:向大范围用户通报其保障级别而不需要披露细节控制和测试结果

八、软件开发安全

  • CMMI软件能力成熟度
  1. 初始级:过程通常是随意且混乱的
  2. 管理级:项目确保其过程按照方针得到计划与执行
  3. 定义级:过程得到清晰的说明与理解,并以标准、规程、工具与方法的形式进行描述
  4. 定量管理级:组织与项目建立了质量与过程性能的量化目标并将其用作管理项目的准则
  5. 优化级:组织基于对其业务目标与绩效需要的量化理解,不断改进其过程
  • 软件开发生命周期-设计阶段
  1. 攻击面分析:识别和减少被不可信用户访问的代码量和功能
  2. 威胁建模:通过系统化的方法来表明不同的威胁如何被实现以及如何成功发生攻击

本篇完,谢谢大家~

标签: 单点式传感器sp22

锐单商城拥有海量元器件数据手册IC替代型号,打造 电子元器件IC百科大全!

 锐单商城 - 一站式电子元器件采购平台  

 深圳锐单电子有限公司