CISSP-OSG-要点总结梳理

Posted 2023-04-08 无趣胜有趣

tags:

篇首语：本文由小常识网(cha138.com)小编为大家整理，主要介绍了CISSP-OSG-要点总结梳理相关的知识，希望对你有一定的参考价值。

第1章. 实现安全治理的原则和策略

理解由保密性、完整性和可用性组成的CIA 三元组。保密性原则是指客体不会被泄露给未经授权的主休。完整性原则是指客体保持真实性且只被经过授权的主体进行有目的的修改。可用性原则指被授权的主体能实时和不间断地访问客体。了解这些原则为什么很重要，并了解支待它们的机制，以及针对每种原则的攻击和有效的控制措施。

能够解释身份标识是如何工作的。身份标识是下属部门承认身份和责任的过程。主体必须为系统提供标识，以便启动身份验证、授权和问责制的过程。

理解身份验证过程。身份验证是验证或测试声称的身份是否有效的过程。身份验证需要来自主体的信息，这些信息必须与指示的身份完全一致。

了解授权如何用于安全计划。一旦对主体进行了身份验证，就必须对其访问进行授权。授权过程确保所请求的活动或对象访问是可能的，前提是赋予已验证身份的权利和特权。

理解安全治理。安全治理是与支持、定义和指导组织安全工作相关的实践集合。

能够解释审计过程。审计（或监控追踪和记录）主体的操作，以便在验证过的系统中让主体为其行为负责。审计也对系统中未经授权的或异常的活动进行检测。需要实施审计来检测主体的恶意行为、尝试的入侵和系统故障，以及重构事件、提供起诉证据、生成问题报告和分析结果。

理解问责制的重要性。组织安全策略只有在有问责制的情况下才能得到适当实施。换句话说，只有在主体对他们的行为负责时，才能保持安全性。有效的问责制依赖于检验主体身份及追踪其活动的能力。

能够解释不可否认性。不可否认性确保活动或事件的主体不能否认事件的发生。它防止主体声称没有发送过消息、没有执行过动作或没有导致事件的发生。

理解安全管理计划。安全管理基于三种类型的计划：战略计划、战术计划和操作计划。战略计划是相对稳定的长期计划，它定义了组织的目的、任务和目标。战术计划是中期计划，为实现战略计划中设定的目标提供更多细节。操作计划是基于战略和战术计划的短期和高度详细的计划。

了解规范化安全策略结构的组成要素。要创建一个全面的安全计划，需要具备以下内容：安全策略、标准／基线、指南和程序。这些文件清楚地说明安全要求，并促使责任各方实施尽职审查。

了解关键的安全角色。主要的安全角色有高级管理者、组织所有者、上层管理人员、安全专业人员、用户、数据所有者、数据托管员和审计人员。通过创建安全角色的层次结构，可以全面限制风险。

了解如何实施安全意识培训。在进行实际培训前，必须使用户树立安全意识，此后就可以开始培训或教育员工去执行工作任务并遵守安全策略。所有新员工都需要一定程度的培训，以便他们遵守安全策略中规定的所有标准、指南和程序。教育是一项更细致的工作，学生／用户学习的内容远远超过他们完成实际工作所需要了解的内容。教育最常与身份验证考试或寻求工作晋升的用户关联。

了解分层防御如何简化安全。分层防御使用一系列控制中的多个控制。使用多层防御解决方案允许使用许多不同的控制措施来抵御威胁。

能够解释抽象的概念。抽象用于将相似的元素放入组、类或角色中，作为集合被指派安全控制、限制或许可。抽象增加了安全计划的实施效率。

理解数据隐藏。顾名思义，数据隐藏指将数据存放在主体无法访问或读取的逻辑存储空间以防数据被泄露或访问。数据隐藏通常是安全控制和编程中的关键元素。

理解加密的必要性。加密是对非预期的接收者隐藏通信的真实含义和意图的艺术与科学。加密有多种形式，适用于各种类型的电子通信，包括文本、音频和视频文件及应用程序。加密是安全控制中的重要内容，特别是在系统间传输数据时。

第2章. 人员安全和风险管理的概念

理解雇用新员工对安全的影响。为实施恰当的安全计划，必须为职责描述、职位分类、工作任务、工作职责、防止串通、候选人筛选、背景调查、安全许可、雇佣协议和保密协议等设立标准。通过采用这些机制，可确保新员工了解所需的安全标准，从而保护组织的资产。

能够解释职责分离。职责分离的概念是将关键的、敏感的工作任务划分给多个人员。通过以这种方式划分职责，可确保没有能够危害系统安全的个人。

理解最小特权原则。最小特权原则要求在安全的环境中，用户应获得完成工作任务或工作职责所需的最小访问权限。通过将用户的访问限制在他们完成工作任务所需的资源上，就可以限制敏感信息的脆弱性。

了解岗位轮换和强制休假的必要性。岗位轮换有两个功能。它提供了一种知识备份，岗位轮换还可以降低欺诈、数据修改、盗窃、破坏和信息滥用的风险。

为了审计和核实员工的工作任务和特权，可使用一到两周的强制休假。强制休假能够轻易发现特权滥用、欺诈或疏忽。

理解供应商、顾问和承包商的控制。供应商、顾问和承包商的控制用来确定组织主要的外部实体、人员或组织的绩效水平、期望、薪酬和影响。通常，这些控制条款在SLA文档或策略中规定。

能够解释恰当的解雇策略。解雇策略规定解雇员工的程序，应该包括有现场证人、禁用员工的网络访问权限和执行离职面谈等内容。解雇策略还应包括护送被解雇员工离开公司，并要求归还安全令牌、徽章和公司财产。

了解隐私如何适合于安全领域。了解隐私的多重含义／定义，为什么保护隐私很重要，以及工作环境中与隐私相关的问题。

能够讨论第三方安全治理。第三方安全治理是由法律、法规、行业标准、合同义务或许可要求强制规定的监督制度。

能够定义整体的风险管理。风险管理过程包括识别可能造成数据损坏或泄露的因素，根据数据价值和控制措施的成本评估这些因素，并实施具有成本效益的解决方案来减轻风险。通过执行风险管理，为全面降低风险奠定基础。

理解风险分析和相关要素。风险分析是向高层管理人员提供详细信息以决定哪些风险应该缓解，哪些应该转移，哪些应该接受的过程。要全面评估风险并采取适当的预防措施，必须分析以下内容：资产、资产价值、威胁、脆弱性、暴露、风险、已实现风险、防护措施、控制措施、攻击和侵入。

知道如何评估威胁。威胁有许多来源，包括人类和自然。以团队形式评估威胁以便提供最广泛的视角。通过从各个角度全面评估风险可降低系统的脆弱性。

理解定量风险分析。定量风险分析聚焦于货币价值和百分比。全部使用定量分析是不可能的，因为风险的某些方面是无形的。定量风险分析包括资产估值和威胁识别，然后确定威胁的潜在发生频率和造成的损害，结果是防护措施的成本／效益分析。

能够解释暴露因子(EF)概念。暴露因子是定量风险分析的一个元素，表示如果已发生的风险对组织的某个特定资产造成破坏，组织将因此遭受的损失百分比。通过计算风险暴露因子，就能实施良好的风险管理策略。

了解单一损失期望(SLE)的含义和计算方式。SLE 是定量风险分析的一个元素，代表已发生的单个风险给特定资产带来的损失。计算公式为：SLE＝资产价值(AV)＊暴露因子(EF)。

理解年度发生率(ARO)。ARO是量化风险分析的一个元素，代表特定威胁或风险在一年内发生（或实现）的预期频率。进一步了解可帮助计算风险并采取适当的预防措施。

了解年度损失期望(ALE)的含义和计算方式。ALE是定量风险分析的一个元素，指的是针对特定资产的所有可发生的特定威胁，在年度内可能造成的损失成本。计算公式为：ALE＝单一损失期望(SLE)＊年度发生率(ARO)。

了解评估防护措施的公式。除了确定防护措施的年度成本外，还需要为资产计算防护措施实施后的ALE。可使用这个计算公式：防护措施实施前的ALE－防护措施实施后的ALE－防护措施的年度成本＝防护措施对公司的价值，或(ALE1-ALE2)-ACS 。

理解定性风险分析。定性风险分析更多的是基于场景而不是基于计算。这种方式不用货币价值表示可能的损失，而对威胁进行分级，以评估其风险、成本和影响。这种分析方式可帮助那些负责制定适当的风险管理策略的人员。

理解Delphi 技术。Delphi技术是一个简单的匿名反馈和响应过程，用来达成共识。这样的共识让各责任方有机会正确评估风险并实施解决方案。

了解处理风险的方法。风险降低（即风险缓解）就是实施防护措施和控制措施。风险转让或风险转移是将风险造成的损失成本转嫁给另一个实体或组织；购买保险是风险转移的一种形式。风险接受意味着管理层已经对可能的防护措施进行了成本／效益分析，并确定了防护措施的成本远大于风险可能造成的损失成本。这也意味着管理层同意承担风险发生后的结果和损失。

能够解释总风险、残余风险和控制间隙。总风险是指如果不实施防护措施，组织将面临的风险。可用这个公式计算总风险：威胁＊脆弱性＊资产价值＝总风险。残余风险是管理层选择接受而不再进行减轻的风险。总风险和残余风险之间的差额是控制间隙，即通过实施防护措施而减少的风险。残余风险的计算公式为：总风险－控制间隙＝残余风险。

理解控制类型。术语“控制”指广泛控制，执行诸如确保只有授权用户可以登录和防止未授权用户访问资源等任务。控制类型包括预防、检测、纠正、威慑、恢复、指示和补偿控制。控制也可分为管理性、逻辑性或物理性控制。

了解如何实施安全意识培训。在接受真正的培训前，必须让用户树立己认可的安全意识。一旦树立了安全意识，就可以开始培训或教导员工执行他们的工作任务并遵守安全策略。所有新员工都需要一定程度的培训以便他们遵守安全策略中规定的所有标准、指南和程序。教育是一项更详细的工作，学生／用户学习的内容比他们完成工作任务实际需要知道的要多得多。教育通常与用户参加认证或寻求工作晋升关联。

理解如何管理安全功能。为管理安全功能，组织必须实现适当和充分的安全治理。通过风险评估来驱动安全策略的实施是最明显、最直接的管理安全功能的实例。这也与预算、测量、资源、信息安全策略以及评估安全计划的完整性和有效性相关。

了解风险管理框架的六个步骤。风险管理框架的六个步骤是：安全分类、选择安全控制、实施安全控制、评估安全控制、授权信息系统和监视安全控制。

第3章. 业务连续性计划

了解BCP 过程的四个步骤。BCP 包括四个不同阶段：项目范围和计划，业务影响评估，连续性计划，计划批准和实施。每项任务都有助于确保实现在紧急情况下业务保持持续运营的总体目标。

描述如何执行业务组织分析。在业务组织分析中，负责领导BCP 过程的人员确定哪些部门和个人参与业务连续性计划。该分析是选择BCP 团队的基础，经BCP 团队确认后，用于指导BCP 开发的后续阶段。

列出BCP 团队的必要成员。BCP 团队至少应包括：来自每个运营和支持部门的代表， IT部门的技术专家，具备BCP 技能的物理和IT 安全人员，熟悉公司法律、监管和合同责任的法律代表，以及高级管理层的代表。其他团队成员取决于组织的结构和性质。

了解BCP 人员面临的法律和监管要求。企业领导必须实施尽职审查，以确保在灾难发生时保护股东的利益。某些行业还受制于联邦、州和地方法规对BCP 程序的特定要求。许多企业在灾难发生前后都有履行客户合约的义务。

解释业务影响评估过程的步骤。业务影响评估过程的五个步骤是：确定优先级、风险识别、可能性评估、影响评估和资源优先级排序。

描述连续性策略的开发过程。在策略开发阶段，BCP团队确定要减轻哪些风险。在预备和处理阶段，设计可降低风险的机制和程序。然后，该计划必须得到高级管理层的批准并予以实施。人员还必须接受与他们在BCP过程中角色相关的培训。

解释对组织业务连续性计划进行全面文档化的重要性。将计划记录下来，可在灾难发生时给组织提供一个可遵守的书面程序。这可确保在紧急情况下有序实施计划。

第4章. 法律法规和合规

了解刑法、民法和行政法的区别。刑法保护社会免受违反我们所信仰的基本原则的行为的侵害。违反刑法的行为将由美国联邦和州政府进行起诉。民法为人与组织之间的商业交易提供了框架。违反民法的行为将通过法庭，由受影响的当事人进行辩论。行政法是政府机构有效地执行日常事务的法律。

能够解释旨在保护社会免受计算犯罪影响的主要法律的基本条款。《计算机欺诈和滥用法案》（修正案）保护政府或州际贸易中使用的计算机不被滥用。《电子通信隐私法案》(ECPA)规定侵犯个人的电子隐私是犯罪行为。

了解版权、商标、专利和商业秘密之间的区别。版权保护创作者的原创作品，如书籍、文章、诗歌和歌曲。商标是标识公司、产品或服务的名称、标语和标志。专利为新发明的创造者提供保护。商业秘密法保护企业的经营秘密。

能够解释1998 年颁布的《数字千年版权法》的基本条款。《数字千年版权法》禁止绕过数字媒体中的版权保护机制，并限制互联网服务提供商对用户活动的责任。

了解《经济间谍法案》的基本条款。《经济间谍法案》对窃取商业机密的个人进行惩罚。当窃取者知道外国政府将从这些信息中获益而故意为之时，会受到更严厉的惩罚。

了解不同类型的软件许可协议。合同许可协议是软件供应商和用户之间的书面协议。开封生效协议写在软件包装上，当用户打开包装时生效。单击生效许可协议包含在软件包中，但要求用户在软件安装过程中接受这些条款。

理解对遭受数据破坏的组织的通告要求。加州颁发的SB 1386 是第一个在全州范围内要求

通知当事人其信息被泄露的法律。美国目前大多数州通过了类似法律。目前，联邦法律只要求受HIPAA 约束的实体，当其保护的个人健康信息被破坏时，通知到个人。

理解美国和欧盟对管理个人信息隐私的主要法律。美国有许多隐私法律会影响政府对信息的使用以及特定行业的信息使用，例如处理敏感信息的金融服务公司和医疗健康组织。欧盟有非常全面的《通用数据保护条例》来管理对个人信息的使用和交换。

解释全面合规程序的重要性。大多数组织都受制于与信息安全相关的各种法律和法规要求。构建合规性程序可确保你能实现并始终遵守这些经常重叠的合规需求。

了解如何将安全纳入采购和供应商管理流程。许多组织广泛使用云服务，需要在供应商选择过程中以及在持续供应商管理过程中对信息安全控制进行审查。

第5章. 保护资产安全

了解数据和资产分类的重要性。数据所有者负责维护数据和资产分类，并确保数据和系统被正确标记。此外，数据所有者还提出了在不同的分类信息中保护数据的新要求，比如在静止和传输中加密敏感数据。数据分类通常在安全策略或数据策略中定义。

了解PII 和PHI 。个人身份信息(PII)是能够识别个人的任何信息。受保护的健康信息(PHI)是特定的人的任何与健康相关的信息。许多法律法规规定了PII 和PHI 的保护。你需要知道如何管理敏感信息。敏感信息是任何类型的机密信息，适当的管理有助于防止未经授权的泄露导致机密损失。正确的管理包括对敏感信息的标识、处理、存储和销毁。组织经常遗漏的两个方面是充分保护保存敏感信息的备份介质，并在其生命周期结束时对介质或设备进行净化。

理解记录保存。记录保留策略确保数据在需要时保持可用状态，在不再需要时销毁它。许多法律法规要求在特定时段内保存数据，但在没有正式规定的情况下，组织根据策略确定保留期。审计踪迹数据需要保待足够长的时间以重构过去的事件，但组织必须确定他们要调查多久之前的事。许多组织目前的趋势是通过实现电子邮件短保留策略来减少法律责任。

了解不同角色之间的差异。数据所有者负责分类、标记和保护数据。系统所有者负责处理数据的系统。业务／任务拥有者负责过程并确保系统为组织提供价值。数据使用者通常是处理数据的第三方实体。管理员根据数据所有者提供的指南授予数据的访问权限。用户在执行任务时访问数据。托管员有责任保护和存储数据。

了解GDPR 安全控制。GDPR 规定了隐私数据的保护方法。GDPR 中提到的两个关键安全控制是加密和假名。假名是用化名替换某些数据元素的过程。这使得识别个人身份更加困难。

了解安全控制基线。安全控制基线提供了组织可作为基线应用的控件列表。并非所有基线都适用于所有组织。然而，组织可应用范围界定和按需定制技术使基线适应自己的需求。

第6章. 密码学和对称秘钥算法

了解保密性、完整性和不可否认性在密码系统中扮演的角色。保密性是密码学追求的主要目标之一。它保护静止和传输中的数据的秘密。完整性向消息接收者保证，数据从创建之时起到访问之时止，不曾有过改动（不管是有意的还是无意的）。不可否认性则提供不可辩驳的证据证明，消息发送者确实授权了消息。这可防止发送者日后否认自己发送过原始消息。

理解密码系统实现身份验证目标的方式。身份验证可提供用户身份保障。挑战－应答协议是执行身份验证的一种方案，要求远程用户用一个只有通信参与方知道的密钥给一条消息加密。对称和非对称密码系统都能执行身份验证。

熟知密码学基本术语。一个发送者若要将一条私密消息发送给一个接收者，他首先要提取明文（未经加密的）消息，然后用一种算法和一个密钥给其加密。这将生成一条密文消息传送给接收者。接收者随后将用同一种算法和密钥解密密文，重建原始明文消息以便查看。

了解代码和密码的差异，讲出密码的基本类型。代码是作用在单词或短语上的符号密码系统有时是保密的，但不会始终提供保密性安全服务。而密码则始终会隐藏消息的真实含义。

搞清以下几类密码的工作原理：移位密码、替换密码（包括单次密本）、流密码和块密码。

了解成功使用单次密本的要求。单次密本若想成功，密钥必须随机生成且不带任何可为人知的模式。密钥必须至少与被加密消息一样长。密本必须严防物理泄需，每个密本必须使用一次后废弃。

掌握零知识证明概念。零知识证明是一个通信概念。其间交换一种特定类型信息，但是不传递真实数据，情况与数字签名和数字证书类似。

了解分割知识。分割知识指将执行某个操作所要求的信息或权限拆分给多个用户。这样做可以确保任何一个人都没有足够的权限破坏环境安全。”N 分之M“ 控制是分割知识的一个例子。

了解代价函数（代价因子）。代价函数或代价因子从耗费成本和／或时间的角度测量解密一条消息需要付出的努力，以此来衡量密码系统的强度。针对一个加密系统完整实施一次蛮力攻击所花费的时间和精力，通常就是代价函数评定所表达的内容。一个密码系统提供的保护与它的代价函数／因子值呈正比例关系。

了解密钥安全的重要性。密码密钥为密码系统提供必要的保密元素。现代密码系统用至少128 位长的密钥提供适当的安全保护。业界一致认为，数据加密标准(DES) 的56 位密钥在长度上已不足以提供安全保障。

了解对称和非对称密码系统的差异。对称密钥密码系统（或秘密密钥密码系统）依靠使用一个共享秘密密钥。对称密钥密码系统的运算速度比非对称密码系统快很多，但是它们不太支持可扩展性、密钥的简便分发和不可否认性。非对称密码系统为通信两方之间的通信使用公钥－私钥对，但运行速度比对称算法慢得多。

理解数据加密标准(DES)和三重DES(3DES)的基本运行模式。数据加密标准有5 种运行模式：电子密码本(ECB)模式、密码块链接(CBC)模式、密码反馈(CFB)模式、输出反馈(OFB)模式和计数器(CTR)模式。ECB 模式被认为最不安全，只用于传送简短消息。3DES 用两个或三个不同的密钥对DES 进行三次迭代，把有效密钥强度分别提升至112 或168 位。

了解高级加密标准(AES) 。高级加密标准(AES)使用了Rijndael 算法，是安全交换敏感但未分类数据的美国政府标准。AES 用128 、192 和256 位密钥长度和128 位固定块大小来实现比旧版DES 算法高得多的安全保护水平。

第7章. PKI和密码应用

了解非对称加密法所用密钥类型。公钥可在通信参与方之间自由共享，而私钥必须保密。给消息加密时使用接收者的公钥。给消息解密时使用自己的私钥。给消息签名时使用自己的私钥。验证签名时使用发送者的公钥。

熟知三种主要公钥密码系统。RSA 是最著名的公钥密码系统，由Rivest、Shamir 和Adleman千1977 年开发。该密码系统所依赖的素数乘积很难被因式分解。El Gamal 是Diffie-Hellman 密钥交换算法的一种扩展，所依赖的是模运算。椭圆曲线算法依靠椭圆曲线离散对数题，如果所用的密钥与其他算法使用的密钥相同，它会比其他算法安全性更高。

了解散列函数的基本要求。优质散列函数有五点要求。它们必须接受任何长度输入、提供固定长度输出、方便地为任何输入计算散列函数、提供单向功能以及不存在冲突。

熟知主要散列算法。安全散列算法(SHA)的后继者SHA-1 和SHA-2 构成了政府标准消息摘要功能。SHA-1 生成160 位消息摘要SHA-2 支持可变长度最高到512 位。SHA-3 提高了SHA-2 的安全性，支待相同散列长度。

了解密码盐提高口令散列安全性的原理。如果对口令直接进行散列运算后保存到口令文件中，攻击者可用预先算好数值的彩虹表来识别常用口令。但在进行散列运算前给口令加上盐，则可以降低彩虹表攻击的效果。一些常用口令散列算法还用密钥拉伸技术进一步增加了攻击难度， PBKDF2 、Bcrypt 和Scrypt 是其中的三种。

了解数字签名的生成和验证过程。你若给消息写数字签名，首先用散列函数生成一个消息摘要，然后用自己的私钥给摘要加密。你若验证消息的数字签名，首先用发送者的公钥解密摘要，然后将消息摘要与自己生成的摘要进行比较。如果二者匹配，则消息真实可信。

了解数字签名标准(DSS)的成分。数字签名标准使用了SHA-1 、SHA-2 和SHA-3 消息摘要函数外加以下三种加密算法中的一种：数字签名算法(DSA), RSA(Rivest 、Shamir 、Adleman)算法或椭圆曲线DSA(ECDSA)算法。

了解公钥基础设施(PKI)。在公钥基础设施中，发证机构(CA)生成内含系统用户公钥的数字证书。用户随后将这些证书分发给他们要与之通信的人。证书接收者用CA 的公钥验证证书。

了解密码用于保护电子邮件的常见做法。S/MIME 协议是新涌现的邮件消息加密标准。另一个流行的电子邮件安全工具是Phil Zimmerman 的PGP 。电子邮件加密的大多数用户都给自己的电子邮件客户端或基于Web 的电子邮件服务配备了这一技术。

了解密码用于保护Web 活动的常见做法。保护Web 通信流的事实标准是在TLS 或较老的SSL 的基础上使用HTTP 。大多数Web 浏览器都支持这两个标准，但是许多网站出于安全方面的考虑，如今已取消对SSL 的支待。

了解密码用于保护网络连接的常见做法。IPsec 协议标准为加密网络通信流提供了一个通用框架，被配备到许多流行操作系统中。在IPsec 传输模式下，数据包内容会被为对等通信加密。在隧道模式下，整个数据包（包括报头信息），会为网关到网关通信加密。

要能描述IPsec。IPsec 是支持IP 安全通信的一种安全架构框架。IPsec 会在传输模式或隧道模式下建立一条安全信道。IPsec 可用来在计算机之间建立直接通信或在网络之间建立一个虚拟专用网(VPN) 。IPsec 使用了两个协议：身份验证头(AH)和封装安全载荷(ESP) 。

能说明常见密码攻击。蛮力攻击尝试随机发现正确的密码密钥。已知明文、选择密文和选择明文攻击要求攻击者除了拿到密文以外，还必须掌握一些附加信息。中间相遇攻击利用进行两轮加密的协议。中间人攻击欺骗通信双方，使他们都与攻击者通信，而不是相互直接通信。生日攻击试图找到散列函数的冲突点。重放攻击试图重新使用鉴别请求。

了解使用数字版权管理(DRM)的使用情况。数字版权管理(DRM)解决方案允许内容拥有者限制他人对内容的使用。DRM 解决方案通常用于保护娱乐内容，如音乐、电影、电子书等，不过偶尔也会有企业用它们来保护存储在文档中的敏感信息。

第8章. 安全模型设计和能力的原则

了解每种访问控制模型的细节。了解访问控制模型及其功能。状态机模型确保访问客体的所有主体实例都是安全的。信息流模型旨在防止未经授权、不安全或受限制的信息流。非干扰模型防止一个主体的动作影响另一个主体的系统状态或动作。Take-Grant 模型规定了权限如何从一个主体传递到另一个主体或从主体传递到客体。访问控制矩阵是主体和客体组成的表，规定了每个主体可以对每个客体执行的动作或功能。Bell-LaPadula 模型的主体具有一个许可级别，仅能访问具有相应分类级别的客体，这实现了保密性。Biba 模型能够防止安全级别较低的主体对安全级别较高的客体执行写入操作。Clark-Wilson 模型是一种依赖于审计的完整性模型，能够确保未经授权的主体无法访问客体且已授权用户可以正确地访问客体。Biba 模型和Clark-Wilson 模型实现了完整性。Goguen-Meseguer 模型和Sutherland 模型专注于完整性。Graham-Denning 模型专注于安全地创建和删除主体和客体。

了解认证和鉴定的定义。认证是对计算机系统各部分的技术评估，以评估其与安全标准的一致性。鉴定是指定机构正式接受认证配置的过程。

能够描述开放和封闭的系统。开放系统采用行业标准设计，通常易于与其他开放系统集成。封闭系统通常是专有硬件和/或软件。它们的规范通常不会公开，并且通常难以与其他系统集成。

知道什么是限制、界限和隔离。对进程读取或写入某些内存地址进行限制。界限是进程在读取或写入时不能超过的内存地址限制范围。隔离是通过使用内存界限将一个进程进行限制的一种运行模式。

能够从访问控制的角度定义客体和主体。主体是发出访问资源请求的用户或进程。客体是用户或进程想要访问的资源。

了解安全控制的工作原理及功能。安全控件使用访问规则来限制主体对客体的访问。

能够列出TCSEC 、ITSEC 和通用准则(CC)的类别。TCSEC 的类别包括已验证保护、强制保护、自主保护和最小保护。表8.4 涵盖并比较了TCSEC 、ITSEC 和CC 的等效和适用的评级（记住， ITSEC 中从F7 到FlO 的功能评级在TCSEC 中没有相应的评级）。

定义可信计算基(TCB) 。TCB 是硬件、软件和控件的组合，它们构成了一个执行安全策略的可信基础。

能够解释安全边界。安全边界是将TCB 与系统其余部分分开的假想边界。TCB 组件使用可信路径与非TCB 组件通信。

了解参考监视器和安全内核。参考监视器是TCB 的逻辑部分，用于在授予访问权限之前确认主体是否有权使用资源。安全内核是实现参考监视器功能的TCB 组件的集合。

了解信息系统的安全功能。常见的安全功能包括内存保护、虚拟化和可信平台模块(TPM) 。

第9章. 安全漏洞威胁和对策

能够解释多任务、多线程、多处理和多程序设计之间的差异。多任务处理是在计算机上同时执行多个应用程序，并由操作系统管理。多线程允许在单个进程中执行多个并发任务。多处理使用多个处理器来提高计算能力。多道程序设计类似于多任务处理，但在大型机系统上进行，需要特定的编程。

了解单一状态处理器和多状态处理器之间的差异。单一状态处理器一次只能在一个安全级别运行，而多状态处理器可同时在多个安全级别运行。

描述美国联邦政府批准的用于处理机密信息的四种安全模式。专用模式要求所有用户对存储在系统上的所有信息都有适当的许可、访问权限、“知其所需“要求。系统高级模式消除了“知其所需＂的要求。分隔模式消除了“知其所需＂的要求和访问权限要求。多级模式消除了所有三个要求。

解释大多数现代处理器使用的两种操作模式。用户应用程序在称为用户模式的有限指令集环境中运行。操作系统在特权模式下执行受控操作，也称为系统模式、内核模式和监管模式。

描述计算机使用的不同类型的内存。ROM 是非易失性的，不能由最终用户写入。最终用户只能将数据写入PROM 芯片一次。可通过使用紫外光擦除EPROM/UVEPROM 芯片，然后写入新的数据。EEPROM 芯片可以用电流擦除，然后写入新的数据。RAM 芯片是易失性的，当计算机断电后其内容会丢失。

了解内存组件相关的安全问题。存储器组件存在一些安全问题：断电后数据可能保留在芯片上，并且控制多用户系统中的存储器访问。

描述计算机使用的存储设备的不同特征。主存储器与内存相同。辅助存储器由磁性、闪存和光学介质组成，在CPU 可使用数据之前必须先将其读入主存储器。随机存取存储设备可以在任何点读取，而顺序存取设备需要在访问所需位置之前扫描物理存储的所有数据。

了解关于辅助存储设备的安全问题。关于辅助存储设备存在三个主要的安全问题：可移动介质可用来窃取数据，必须应用访问控制和加密来保护数据，即使在文件删除或介质格式化之后数据也可以保留在介质上。

理解输入和输出设备可能带来的安全风险。输入输出设备可能受到偷听和窃听，用于将数据带出组织，或用于创建未经授权的、不安全的进入组织系统和网络的入口点。准备好识别并缓解这些漏洞。

理解固件的用途。固件是存储在ROM 芯片上的软件。在计算机层面，它包含启动计算机所需的基本指令。固件还可用于诸如打印机之类的外围设备中，为其提供操作指令。

能够描述进程隔离、分层、抽象、数据隐藏和硬件分隔。进程隔离确保各个进程只能访问自己的数据。分层在一个过程中创建了不同的安全领域，并限制了它们之间的通信。抽象为程序员创建了“黑盒“接口，不必了解算法或设备的内部工作原理。数据隐藏可防止从不同的安全级别读取信息。硬件分隔使用物理控件强制执行进程隔离。

理解安全策略如何推动系统设计、实施、测试和部署。安全策略的作用是通知和指导某些特定系统的设计、开发、实施、测试和维护。

理解云计算。云计算是一种流行的术语，是计算的概念，指的是通过网络连接在其他地方而不是本地执行处理和存储的计算概念。云计算通常被认为是基于互联网的计算。

理解与云计算和虚拟化相关的风险。云计算和虚拟化，特别是结合使用时，会产生严重风险。一旦敏感、机密或私有数据离开了组织的范围，也就离开了组织安全策略和组合的基础设施所给予的保护。云服务供应商及其人员可能不遵守与你的组织相同的安全标准。

理解虚拟机管理程序。虚拟机管理程序（也称为虚拟机监视器(VMM))是创建、管理和操作虚拟机的虚拟化组件。

理解Type-I 虚拟机管理程序。Type-I 虚拟机管理程序是原生或裸机管理程序。在此配置中，没有主机操作系统；相反，虚拟机管理程序直接安装到通常主机操作系统安装的硬件上。

Type-II 虚拟机管理程序。Type-II 虚拟机管理程序是托管管理程序。在这种配置中，在硬件上安装一个标准的常规OS, 然后将虚拟机管理程序作为一个软件应用程序安装。

定义CASB 。云访问安全代理(CASB)是一种实施安全策略的解决方案，可以在本地安装也可以基于云。

理解SECaaS 。安全即服务(SECaaS)是一个云提供商概念，其中通过在线实体或由在线实体向组织提供安全性。

理解智能设备。智能设备是一系列移动设备，通常通过安装应用程序为用户提供大量的自定义选项，并可利用设备上或云端的人工智能(Al)处理。

理解loT。物联网(loT)是一个新的子类别，甚至是一类新的智能设备，它们通过互联网连接，以便为家庭或办公室环境中的传统或新装置或设备提供自动化、远程控制或AI 处理。

理解移动设备安全。设备安全性涉及可用于移动设备的一系列潜在安全选项或功能。并非所有便携式电子设备(PED)都具有良好的安全功能。PED 安全功能包括全设备加密、远程擦除、锁定、锁屏、GPS、应用控制、存储分隔、资产跟踪、库存控制、移动设备管理、设备访问控制、可移动存储以及关闭不使用的功能。

理解移动设备应用安全。需要保护移动设备上使用的应用程序和功能。相关概念包括密钥管理、凭据管理、身份验证、地理标记、加密、应用程序白名单和可传递信任。

理解BYOD 。BYOD(Bring Your Own Device)是一项策略，允许员工将自己的个人移动设备投入工作，并使用这些设备或通过公司网络连接到业务资源和／或互联网。尽管BYOD 可提高员工士气和工作满意度，但它会增加组织的安全风险。相关问题包括数据所有权、支持所有权、补丁管理、反病毒管理、取证、隐私、入职／离职、遵守公司策略、用户接受度、架构／基础架构考虑因素、法律问题、可接的使用策略以及机载摄像头／视频。

理解嵌入式系统和静态环境。嵌入式系统通常是围绕一组有限的特定功能设计的，这些特定功能是与其作为组件的较大产品相关的。静态环境是为特定需求、能力或功能配置的应用程序、操作系统、硬件集或网络，然后设置为保持不变。

理解嵌入式系统和静态环境安全问题。静态环境、嵌入式系统和其他有限或单一用途的计算环境需要安全管理。这些技术可以包括网络分段、安全层、应用防火墙、手动更新、固件版本控制、包装器以及控制冗余和多样性。

理解最小特权原则、特权分离和问责制原则如何适用于计算机体系结构。最小特权原则确保只有最少数量的进程被授权在监督模式下运行。权限分离增加了安全操作的粒度。问责制确保存在审计踪迹以追溯操作的来源。

能够解释什么是隐蔽通道。隐蔽通道是一种用于在通常不用于通信的路径上传递信息的方法。

理解缓冲区溢出和输入检查是什么。当程序员在将数据写入特定内存位置之前未能检查输入数据的大小时，会发生缓冲区溢出。事实上，任何验证输入数据的失败都可能导致安全受到破坏。

描述安全架构的常见缺陷。除了缓冲区溢出之外，程序员还可以在部署后在系统上留下后门和特权程序。即使设计很好的系统也容易受到TOCTTOU 攻击的影响。任何状态更改都可能成为攻击者破坏系统的潜在机会之窗。

第10章.物理安全要求

理解为什么没有物理安全就无安全可言。没有对于物理环境的控制，再多的管理类或技术类逻辑类访问控制也形同虚设。如果有恶意的人员能够获得设施或设备的物理访问，他们可以破坏设备、窃取更改数据，肆意妄为。

能够列出管理类物理安全控制。举出设施建造与选择、场所管理、人员控制、认知培训以及应急响应与程序的例子。能够列出技术类物理安全控制。技术类物理安全控制有访问控制、入侵检测、警报、CCTV 、监视、HVAC 、电力供应以及火灾探测与消防。

能够说出物理安全的现场控制。物理安全的现场控制有围栏、照明、门锁、建筑材料、捕人陷阱、警犬及警卫。

了解控制的功能顺序。首先是威慑，其次是阻挡，然后是监测，最后是延迟。

了解选择站点及设计建造设施的要素。选择站点的关键要素有可见性、周围环境的构成、区域的便利性以及自然灾害的影响等。设施设计建造的关键要素，是在建造前要理解组织需要的安全级别，并为此制定周详的计划。

了解如何设计与设置安全工作区。设施中的所有区域不会是相同的访问等级。区域中所放置资产价值或重要度越高，对该区域的访问就应受到越严格的限制。高价值及保密资产应位于设施保护的核心或中心。同时，中央服务器或计算机房应不适宜人常驻。

理解配线间的安全要点。配线间是放置整栋或单层网络电缆的地方，这些电缆将其他重要的设备，如配线架、交换机、路由器、LAN 扩展器以及主干通道连接起来。配线间安全的重点是防止非法进入。如果非法入侵者进入该区域，他们可能会偷盗设备，割扯电缆，甚至会植入监听设备。

理解在安全设施中如何应对访客。若设施中划分了限制区域控制物理安全，就有必要建立访客处理机制。通常是为访客指派一个陪护人员，随身监视访客的出入与活动。如果允许外来者进入保护区域，却没有对其活动进行有效跟踪控制，可能会损害受保护资产的安全。

了解用于管理物理安全的三大类安全控制，并能举出每一类的例子。管理物理安全的安全控制分为三类：管理类、技术类和现场类。理解每一类的使用场合和方法，能够列出每一种的例子。

理解介质存储的安全要求。应设计介质存储设施来安全存储空白介质、可重用介质以及安装介质。需要防护的重点是偷盗、腐蚀以及残余数据恢复。介质存储设施保护措施包括：带锁的柜子或保险箱，指定保管员／托管员，设置检入／检出流程，进行介质净化。

理解证据存储的重点。证据存储常用于保存日志、磁盘镜像、虚拟机快照以及其他恢复用数据、内部调查资料及取证调查资料。保护手段包括专用／单独的存储设施、离线存储、活动追踪、hash 管理、访问限制及加密。

了解对于物理访问控制的常见威胁。无论采用哪种形式的物理访问控制，都必须配备安全保卫或其他监视系统，以防止滥用、伪装及捎带。滥用物理访问控制包括打开安全门、绕开门锁或访问控制。伪装是使用其他人的安全ID进入设施。捎带则是尾随在其他人身后通过安全门或通道，以躲避身份识别和授权。

理解审计踪迹与访问日志的要求。审计踪迹与访问日志是一种对物理访问控制非常有用的工具。它们既可以由安全保卫手工进行填写，也可以由访问控制设备（智能卡、接近式读卡器）自动记录。同时，还要考虑在入口处安装监视CCTV。通过CCTV 可将审计踪迹记录、访问曰志与视频监控资料进行对比。这些信息对于重建入侵、破坏与攻击事件全过程至关重要。

理解对于洁净电力的需求。电力公司的电力供应并不一直是持续与洁净的。大多数电子设备需要洁净的电力才能正常工作。因为电力波动而导致的设备损坏时有发生。很多组织采用多种形式来管理各自的电力供应。UPS 是一种自充电电池，能为敏感设备提供持续洁净的电源。甚至在主要电力供应中断的情况下，依然能够持续供电，供电时间从几分钟到几小时不等，时间的长短主要依靠UPS 的容量及所接设备的数量。

了解与电力相关的常用术语。知道下列术语的定义：故障、停电、电压骤降、低电压、尖峰、浪涌、合闸电流、噪声、瞬态、洁净及接地。

理解对环境的控制。除了电力供应，环境的控制还包括对HVAC 的控制。主要计算机房的温度应保持在华氏60--75 度之间（摄氏15~23 度）。机房的湿度应保持在相对湿度40%~60%）。湿度太高可能腐蚀机器，湿度太低可能产生静电。

了解静电的有关知识。即使在抗静电地毯上，如果环境湿度过低，依然可能会产生20000伏的静电放电电压。即使是最低级别的静电放电电压也足以摧毁电子设备。

理解对漏水与洪水管理的要求。在环境安全策略及程序中，应包含对漏水与洪水问题的解决方法。虽然管道漏水不会天天发生，可是一旦发生带来的后果则是灾难性的。水电不容，如果计算机系统进了水，特别是在运行状态，注定会损坏系统。任何可能的情况下，本地服务器机房及关键计算机设备都应远离水源或输水管道。

理解火灾探测及消防系统的重要性。不能忽视火灾探测及消防。任何安保系统的首要目标都是保护人员不受伤害。除了保护人，火灾探测与消防系统还应将由火、烟、高温以及灭火材料造成的损坏降到最低，尤其要保护IT 基础设施。

理解火灾探测及消防系统可能带来的污染与损害。火灾的破坏因素不但包括火和烟，还有灭火剂，例如水或碳酸钠。烟会损坏大多数存储设备。高温则会损坏任何电子及计算机部件。灭火剂会导致短路、初级腐蚀或造成设备失效。在设计消防系统时，这些因素必须考虑进去。

理解人员隐私与安全。任何情况和任何条件下，安全最重要的方面都是保护人。因此，防止人身伤害是所有安全工作的首要目标。

第11章.安全网络架构和保护网络组件

了解OSI 模型层以及每个层中对应的协议。OSI 模型七层中每层支待的协议如下：

• 应用层： HTTP 、FTP 、LPD 、SMTP 、Telnet 、TFTP 、EDI 、POP3 、IMAP 、SNMP 、NNTP 、S-RPC 和SET 。

• 表示层：加密协议和格式类型，如ASCII、EBCDICM、TIFF、JPEG 、MPEG 和MIDI 。

• 会话层： NFS 、SQL 和RPC 。. 传输层： SPX 、SSL 、TLS 、TCP 和UDP 。

• 网络层： ICMP 、RIP 、OSPF 、BGP 、IGMP 、IP 、IPsec 、IPX 、NAT 、SKIP 。

• 数据链路层： SLIP 、PPP 、ARP 、L2F 、L2TP 、PPTP 、FDDI 、ISDN 。

• 物理层： EIA／TIA-232 、EIA／TIA-449 、X.21 、HSSI 、SONET 、V.24 和V.35 。

熟悉TCP/IP 。了解TCP 和UDP 之间的区别；熟悉四个TCP/IP 层（应用层、传输层、互联网层和链路层）以及它们与OSI 模型的对应关系。此外，了解众所周知的端口的用途并熟悉子协议。

了解不同的布线类型及其有效距离和最大吞吐率。这包括STP 、10BaseT(UTP)10Base2（细网）、10Base5（粗网）、100BaseT、1000BaseT 和光纤。你还应该熟悉UTP 1 到7的类别。

熟悉常见的LAN 技术。最常见的LAN 技术是以太网。熟悉模拟与数字通信；同步与异步通信；基带与宽带通信；广播、多播和单播通信； CSMA 、CSMA/CA 和CSMA/CD; 令牌传递和轮询。

了解安全的网络架构和设计。网络安全应考虑IP 和非IP 协议、网络访问控制、使用安全服务和设备、管理多层协议以及实现端点安全性。

了解网络分段的各种类型和目的。网络分段可用于管理流量、提高性能和实现安全性。网段或子网的示例包括内联网、外联网和非军事区(DMZ) 。

了解不同的无线技术。手机、篮牙(802.15)和无线网络(802.11)都称为无线技术。注意它们的差异、优点和缺点。了解保护802.11 网络的基础知识。

了解光纤通道。光纤通道是一种网络数据存储解决方案（即SAN 或NAS) ，支持高速文件传输。

了解FCoE 。FCoE 用千封装以太网上的光纤通信通道。

了解iSCSI 。iSCSI 是一种基于IP 的网络存储标准。

了解802.11 和802.lla、b 、g 、n 和ac 。802.11 是用于无线网络通信的IEEE 标准。版本包括802.11 (2Mbps) 、802.11a(54Mbps) 、802.11b(llMbps) 、802.11g(54Mbps) 、802.11n(600Mbps)和802.11ac(l.3+ Mbps) 。该802.11 标准还定义了WEP 。.

了解站点调查。站点调查是调查环境中部署的无线接入点的存在、强度和范围的过程。此任务通常涉及使用便携式无线设备走动，记录无线信号强度，并将其绘制到建筑物的图纸上。

了解WPA2. 。WPA2 是一种新的加密方案，称为计数器模式密码块链接消息身份验证码协议(CCMP)的计数器模式，它基于AES 加密方案。

了解EAP 。EAP 不是特定的身份验证机制；相反，它是一个身份验证框架。实际上， EAP允许新的身份验证技术与现有的无线或点对点连接技术兼容。

了解PEAP 。PEAP 将EAP 方法封装在提供身份验证和加密的TLS 隧道中。