CISSP备考指南

mind

CISSP注册信息系统安全师（金牌标准）

一刷的综合正确率：%65 ，我发现很多知识点，我记忆不牢靠，还有很多英文缩写，我不知道是什么意思。准备二刷的时候，记录下所有的英文缩写。晚上搜了一下考试的流程，需要身份证+信用卡，另外报名费是699美元，一想到我还没有信用卡，还是有点慌的，也不知道怎么交钱。准备周末来走一下报名流程，把杂七杂八的事情准备充分，然后全身心的利用下班时间，来二刷CISSP，希望做事情要一鼓作气，既然决定了，那就全力以赴，冲啊。

--2020年9月1日（晴）

• 安全与风险管理 %73（ailx10：CISSP第1/8知识点错题集）
• 资产安全 %64（ailx10：CISSP第2/8知识点错题集）
• 安全架构和工程 %69（ailx10：CISSP第3/8知识点错题集）
• 通信与网络安全 %68（ailx10：CISSP第4/8知识点错题集）
• 身份与访问管理 %57（ailx10：CISSP第5/8知识点错题集）
• 安全评估与测试 %55（ailx10：CISSP第6/8知识点错题集）
• 安全运营 %63（ailx10：CISSP第7/8知识点错题集）
• 软件开发安全 %71（ailx10：CISSP第8/8知识点错题集）
  

CISSP官方学习指南(第8版) 计算机与互联网 清华大学
¥113.00起
​

---

一、安全与风险管理（第1～4章%73）

• 0x01、理解和应用保密性、完整性和可用性的概念
  

• 保密性
• 完整性
• 可用性
• 其他安全概念
• 保护机制
• 分层
• 抽象
• 数据隐藏
• 加密
  

• 0x02、评估和应用安全治理原则
  

• 与业务战略、目标、使命和宗旨一致的安全功能
• 组织的流程
• 组织的角色与责任
• 安全控制框架
• 应尽关心和尽职审查
  

• 0x03、开发、记录和实施安全策略、标准、程序和指南
  

• 安全策略
• 标准、基线和指南
• 程序
  

• 0x04、理解与应用威胁建模的概念和方法
  

• 识别威胁
• 确定和绘制潜在的攻击
• 执行简化分析
• 优先级排序和响应
  

• 0x05、将基于风险的管理理念应用到供应链
• 0x06、人员安全策略和程序
  

• 候选人筛选及招聘
• 雇佣协议及策略
• 入职和离职程序
• 供应商、顾问和承包商的协议和控制
• 合规策略要求
• 隐私策略要求
  

• 0x07、安全治理
• 0x08、理解并应用风险管理理念
  

• 风险术语
• 识别威胁和脆弱性
• 风险评估、分析
• 风险响应
• 选择与实施控制措施
• 适用的控制措施
• 安全控制评估
• 监视和测量
• 资产估值与报告
• 持续改进
• 风险框架
  

• 0x09、建立和维护安全意识、教育和培训计划
• 0x0A、管理安全功能
• 0x0B、业务连续性计划简介
• 0x0C、项目范围和计划
  

• 业务组织分析
• 选择BCP团队
• 资源需求
• 法律和法规要求
  

• 0x0D、业务影响评估
  

• 确定优先级
• 风险识别
• 可能性评估
• 影响评估
• 资源优先级排序
  

• 0x0E、连续性计划
  

• 策略开发
• 预备和处理
  

• 0x0F、计划批准和实施
  

• 计划批准
• 计划实施
• 培训和教育
• BCP文档化
  

• 0x10、法律的分类
  

• 刑法
• 民法
• 行政法
  

• 0x11、法律
  

• 计算机犯罪
• 知识产权
• 许可
• 进口出口控制
• 隐私
  

• 0x12、合规
• 0x13、合同和采购
  

二、资产安全（第5章%64）

• 0x01、资产识别和分类
  

• 识别敏感数据
• 定义敏感分类
• 定义资产分类
• 确定数据的安全控制
• 理解数据状态
• 管理信息和资产
• 数据保护方法
  

• 0x02、定义数据所有权
  

• 数据所有者
• 资产所有者
• 业务、任务所有者
• 数据使用者
• 管理员
• 托管元
• 用户
• 保护隐私
  

• 0x03、适用安全基线
  

• 范围界定和按需定制
• 选择标准
  

三、安全架构和工程（第6～10章%69）

• 0x01、密码学的历史里程碑
  

• 凯撒密码
• 美国南北战争
• Ultra和Enigma
  

• 0x02、密码学基本知识
  

• 密码学的目标
• 密码学的概念
• 密码数学
• 密码
  

• 0x03、现代密码学
  

• 密码密钥
• 对称密钥算法
• 非对称密钥算法
• 散列算法
  

• 0x04、对称密码
  

• 数据加密标准
• 三重DES
• 国际数据加密算法
• Blowfish
• Skipjack
• 高级加密标准
• 对称密钥管理
  

• 0x05、密码生命周期
• 0x06、非对称密码
  

• 公钥和私钥
• RSA
• EI Gamal
• 椭圆曲线
  

• 0x07、散列函数
  

• SHA
• MD2
• MD4
• MD5
  

• 0x08、数字签名
  

• HMAC
• 数字签名标准
  

• 0x09、公钥基础设置
  

• 证书
• 发证机构
• 证书的生成和销毁
  

• 0x0A、非对称密钥管理
• 0x0B、应用密码学
  

• 便携设备
• 电子邮件
• Web应用程序
• 数字版权管理
• 联网
  

• 0x0C、密码攻击
• 0x0D、适用安全设计原则实施和管理工程过程
  

• 客体和主体
• 封闭系统和开放系统
• 用于确保保密性、完整性、可用性的技术
• 控制
• 信任与保证
  

• 0x0E、理解安全模型的基本概念
  

• 可信计算基
• 状态机模型
• 信息流模型
• 非干扰模型
• Take-grant模型
• 访问控制矩阵
• Bell-Lapadula模型
• Biba模型
• Clark-Wilson模型
• Brewer and Nash模型
• Goguen-Meseguer模型
• Sutherland模型
• Graham-Denning模型
  

• 0x0F、基于系统安全需求选择控制措施
  

• 彩虹系列
• TCSEC分类和所需功能
• 通用准则
• 行业和国际安全实施指南
• 认证和鉴定
  

• 0x10、理解信息系统的安全功能
  

• 内存保护
• 虚拟化
• 可信平台模块
• 接口
• 容错
  

• 0x11、评估和缓解安全漏洞
  

• 硬件
• 固件
  

• 0x12、基于客户端的系统
  

• applet
• 本地缓存
  

• 0x13、基于服务端的系统
• 0x14、数据库系统安全
  

• 聚合
• 推理
• 数据挖掘和数据仓库
• 数据分析
• 大规模并行数据系统
  

• 0x15、分布式系统和端点计算
  

• 基于云的系统和云计算
• 网格计算
• 对等网络
  

• 0x16、物联网
• 0x17、工业控制系统
• 0x18、评估和缓解基于Web系统的漏洞
• 0x19、评估和缓解基于移动系统的漏洞
  

• 设备安全
• 应用安全
• BYOD关注点
  

• 0x1A、评估和缓解嵌入式设备和信息物理系统的漏洞
  

• 嵌入式系统和静态系统的示例
• 保护嵌入式和静态系统的方法
  

• 0x1B、基于安全保护机制
  

• 技术机制
• 安全策略和计算机架构
• 策略机制
  

• 0x1C、常见的架构缺陷和安全问题
  

• 隐蔽通道
• 基于设计或编码缺陷的攻击和安全问题
• 编码
• 计时、状态改变和通信中断
• 技术和过程集成
• 电磁辐射
  

• 0x1D、站点与设施设计的安全原则
  

• 安全设施计划
• 站点选择
• 可见度
• 自然灾害
• 设施设计
  

• 0x1E、实现站点与设施安全控制
  

• 设备故障
• 配线间
• 服务器间和数据中心
• 介质存储设施
• 证据存储
• 受限区和工作区安全
• 基础设施和HVAC
• 火灾预防、探测和消防
  

• 0x1F、物理安全的实现与管理
  

• 边界安全控制
• 内部安全控制
  

四、通信和网络安全（第11、12章%68）

• 0x01、OSI模型
  

• OSI模型的历史
• OSI功能
• 封装与解封
• OSI模型层次
  

• 0x02、TCP/IP模型
• 0x03、融合协议
• 0x04、无线网络
  

• 保护无线接入点
• 保护SSID
• 进行现场调查
• 使用安全加密协议
• 无线防止
• 无线类型
• 调整功率电平设置
• WPS
• 使用强制门户
• 一般Wifi安全程序
• 无线攻击
  

0x05、安全网络组件

• 网络访问控制
• 防火墙
• 端点安全
• 硬件的安全操作
  

• 0x06、布线、无线、拓扑、通信和传输介质技术
  

• 传输介质
• 网络拓扑
• 无线通信与安全
• 局域网技术
  

• 0x07、网络与协议安全机制
  

• 安全通信协议
• 身份验证协议
  

• 0x08、语音通信的安全
  

• VoIP
• 社会工程
• 欺骗与滥用
  

• 0x09、多媒体合作
  

• 远程会议
• 即时通信
  

• 0x0A、管理邮件安全
  

• 邮件安全目标
• 理解邮件安全问题
• 邮件安全解决方案
  

• 0x0B、远程访问安全管理
  

• 远程访问安全计划
• 拨号上网协议
• 中心化远程身份验证协议
  

• 0x0C、虚拟专用网
  

• 隧道技术
• VPN的工作机理
• 常用的VPN协议
• 虚拟局域网
  

• 0x0D、虚拟化
  

• 虚拟软件
• 虚拟化网络
  

• 0x0E、网络地址转化
  

• 私有IP地址
• 有状态NAT
• 静态与动态NAT
• 自动私有IP分配
  

• 0x0F、交换技术
  

• 电路交换
• 分组交换
• 虚电路
  

• 0x10、WAN技术
  

• WAN连接技术
• 拨号封装协议
  

• 0x11、多种安全控制特征
  

• 透明性
• 验证完整性
• 传输机制
  

• 0x12、安全边界
• 0x13、防止或减轻网络攻击
  

• DoS与DDoS
• 窃听
• 假冒/伪装
• 重放攻击
• 修改攻击
• 地址解析协议欺骗
• DNS毒化、欺骗和劫持
• 超链接欺骗
  

五、身份与访问管理（第13、14章%57）

• 0x01、控制对资产的访问
  

• 比较主体和客体
• CIA三性和访问控制
• 访问控制的类型
  

• 0x02、比较身份识别和身份验证
  

• 身份注册和证明
• 授权和问责
• 身份验证因素
• 密码
• 智能卡和令牌
• 生物识别技术
• 多因素身份验证
• 设备验证
• 服务身份验证
  

• 0x03、实施身份管理
  

• 单点登陆
• 凭据管理系统
• 集成身份服务
• 管理会话
• AAA协议
  

• 0x04、管理身份和访问配置生命周期
  

• 访问配置
• 账户审核
• 账户撤销
  

• 0x05、比较访问控制模型
  

• 比较权限、权利和特权
• 理解授权机制
• 使用安全策略定义需求
• 实施纵深防御
• 总结访问控制模型
• 自主访问控制
• 非自主访问控制
  

• 0x06、了解访问控制攻击
  

• 风险要素
• 识别资产
• 识别威胁
• 识别漏洞
• 常见的访问控制攻击
• 保护方法综述
  

六、安全评估与测试（第15章%55）

• 0x01、构建安全评估和测试方案
  

• 安全测试
• 安全评估
• 安全审计
  

• 0x02、开展漏洞评估
  

• 漏洞描述
• 漏洞扫描
• 渗透测试
  

• 0x03、测试软件
  

• 代码审查与测试
• 接口测试
• 误用例测试
• 测试覆盖率分析
• 网站监测
  

• 0x04、实施安全管理流程
  

• 日志审查
• 账户管理
• 备份验证
  

七、安全运营（第16～19章%63）

• 0x01、应用安全运维概念
  

• 知其所需和最小特权
• 职责分离
• 岗位轮换
• 强制休假
• 特权账户管理
• 管理信息生命周期
• 服务水平协议
• 关注人员安全
  

• 0x02、安全配置资源
  

• 管理硬件和软件资产
• 保护物理资产
• 管理虚拟资产
• 管理云资产
• 介质管理
  

• 0x03、配置管理
  

• 基线
• 使用镜像技术创建基线
  

• 0x04、变更管理
  

• 安全影响分析
• 版本控制
• 配置文档
  

• 0x05、管理补丁和漏洞减少
  

• 系统管理
• 补丁管理
• 漏洞管理
• 常见的漏洞和风险
  

• 0x06、事件响应管理
  

• 事件的定义
• 事件响应步骤
  

• 0x07、落实检测和预防措施
  

• 基本预防措施
• 了解攻击
• 入侵检测和预防系统
• 具体预防措施
  

• 0x08、日志记录、监测和审计
  

• 日志记录和监测
• 出口监测
• 效果评价审计
• 安全审计和审查
• 报告审计结果
  

• 0x09、灾难的本质
  

• 自然灾难
• 人为灾难
  

• 0x0A、理解系统恢复和容错能力
  

• 保护硬盘驱动器
• 保护服务器
• 保护电源
• 受信恢复
• 服务质量
  

• 0x0B、恢复策略
  

• 确定业务单元的优先顺序
• 危机管理
• 应急通信
• 工作组恢复
• 可代替的工作站点
• 互相援助协议
• 数据库恢复
  

• 0x0C、恢复计划开发
  

• 紧急事件响应
• 人员通知
• 评估
• 备份和离站存储
• 软件托管协议
• 外部通信
• 公用设施
• 物理和供应
• 恢复和还原比较
  

• 0x0D、培训、意识和文档记录
• 0x0E、测试和维护
  

• 通读测试
• 结构化演练
• 模拟测试
• 并行测试
• 完全中断测试
  

• 0x0F、调查
  

• 调查的类型
• 证据
• 调查过程
  

• 0x10、计算机犯罪的主要类别
  

• 军事和情报攻击
• 商业攻击
• 财务攻击
• 恐怖攻击
• 恶意攻击
• 兴奋攻击
  

• 0x11、道德规范
  

• ISC的道德规范
• 道德规范和互联网
  

八、软件开发安全（第20、21章%71）

• 0x01、系统开发控制概述
  

• 软件开发
• 系统开发生命周期
• 甘特图和PERT
• 变更与配置管理
• DevOps方法
• 应用编程接口
• 软件测试
• 代码仓库
• 服务水平协议
• 软件采购
  

• 0x02、创建数据库和数据仓库
  

• 数据库管理系统的体系结构
• 数据库事务
• 多级数据库的安全性
• ODBC
• NoSQL
  

• 0x03、存储数据和信息
  

• 存储器的类型
• 存储器威胁
  

• 0x04、理解基于知识的系统
  

• 专家系统
• 机器学习
• 神经网络
• 安全性应用
  

• 0x05、恶意代码
  

• 恶意代码的来源
• 病毒
• 逻辑炸弹
• 特洛伊木马
• 蠕虫
• 间谍软件和广告软件
• 零日攻击
  

• 0x06、密码攻击
  

• 密码猜测攻击
• 字典攻击
• 社会工程学
• 对策
  

• 0x07、应用程序攻击
  

• 缓冲区溢出
• 检验时间和使用时间
• 后门
• 权限提升和rootkit
  

• 0x08、Web应用的安全性
  

• 跨站脚本
• 跨站请求伪造
• SQL注入攻击
  

• 0x09、侦察攻击
  

• IP探测
• 端口扫描
• 漏洞扫描
  

• 0x0A、伪装攻击
  

• IP欺骗
• 会话劫持
  

本篇完～