《cissp备考中文详解(超详细的中文备考资料)》由会员分享,可在线阅读,更多相关《cissp备考中文详解(超详细的中文备考资料)(60页珍藏版)》请在金锄头文库上搜索。
1、CISSP 备考资料中文详解备考资料中文详解 目录 目录 1. 复习流程及资源复习流程及资源 . 2 2. 复习信息安全管理复习信息安全管理 . 3 3. 复习信息安全管理复习信息安全管理 . 6 4. 复习信息安全管理复习信息安全管理 . 8 5. 复习信息安全管理复习信息安全管理 . 11 6. 安全意识教育介绍安全意识教育介绍 . 13 7. 安全架构和设计安全架构和设计 . 15 8. 安全架构和设计之安全模型安全架构和设计之安全模型 . 17 9. 系统架构和设计之保护机制系统架构和设计之保护机制 . 21 10. 系统架构和设计之安全标准系统架构和设计之安全标准 . 25 11.
2、复习访问控制(一)复习访问控制(一) . 30 12. 复习访问控制(二)复习访问控制(二) . 31 13. 详述网络威胁类型详述网络威胁类型 . 34 14. 详述安全威胁控制手段详述安全威胁控制手段 . 38 1. 复习流程及资源复习流程及资源 在 51CTO 安全频道特别策划的 CISSP 的成长之路系列的前几篇文章里,J0ker 向大家简要介绍了 CISSP 认证考试的基本情 况,但对于想要进一步深入了解 CISSP 认证体系、或者想要获得一个 CISSP 认证的朋友来说,内容还是稍微简单了点。所 以,从本文开始,J0ker 将用大概 15 篇文章的篇幅,向大家详细的介绍 CISSP
3、 认证考试的复习流程、各种复习资源和 CISSP 的 10 个 CBK 的内容,本文要介绍的即是 CISSP 认证考试的复习流程及资源。 J0ker 先给大家说说 CISSP 考试的复习流程,和其他考试一样,CISSP 考试的复习也需要循序渐进,不断巩固,由于 CIS SP 考试的广度和深度”One Mile wide, One inch deep”,决定了复习的同时也是一个学习过程。因为要报考 CISSP 的朋友 大多是各自单位的技术骨干和中高层管理,日常事务十分繁忙,所以复习的时间安排和计划对考试的成功显得无比重要。 怎么制定复习计划 知己知彼,方可百战不殆。考生应该先了解一下 CISSP
4、 考试的 10 个 CBK 的组成和内容,根据自己的情况将掌握得较 好、较差的 CBK 分别列到表里,并以此为根据安排各 CBK 复习的优先度。考生还需要根据自己空闲时间的多少,合理的进行 分配,比如,如果有半年的准备时间的话,每天保证 1 到 1 个半小时复习即可,如果准备的时间较短,可以斟酌增加每天复习 的时长。 进行复习 制定好复习计划之后,考生便可每天按照计划好的优先度和时间安排进行复习。复习中有 2 个要点,其一复习贵在坚持, 持续的复习可以保持考生对 CISSP 知识的掌握程度,三天打鱼,两天晒网只不过是在浪费时间;其二复习不可偏颇,考生应该 对自己掌握较好的章节也进行全面复习,C
5、ISSP 考试的广度往往出乎过分自信的考生意料之外。 如何巩固复习效果 在 CISSP 考试的复习过程中做些模拟题是必须的,但因为 CISSP 考试出题相当灵活,如果考生想靠猜题、押题来通过 CI SSP 考试,恐怕只会换来一个失败的结果。J0ker 的建议是,CISSP 考试说到底是考察考生的能力和经验,如果考生有条件的 话,对掌握不好,平时也没有机会接触的内容自己做个模拟环境来实践一下,比如 Telecommunication and Network security、 Operational Security 等 CBK,都可以自己实验一下。另外,考生可以精选 1 到 2 个模拟题库,时
6、不时对自己的复习情况进行 检查,做错的题目应该记录起来,重新对涉及到的 CBK 内容进行复习。 CISSP 考试复习中可以用到的资源: 复习书籍 目前市面上 CISSP 考试复习的书籍不少,内容虽然大同小异,但写作风格写作水平是大不相同,有的追求语言生动易懂, 有的则比较详细枯燥。考生如何选择适合自己的 CISSP 复习材料?J0ker 觉得选择的标准应该由考生自身的语言水平、信息安 全从业经验等来决定,在语言水平差不多的情况下,如果考生的从业经验较多,但对概念的把握上仍有欠缺,可以选择 CISSP official guide 解释概念较为详细的材料;如果考生平时主要从事咨询或管理类的工作,
7、具体技术方面的经验不足,则可以选择 CISSP All in One 3rd 或者 Pre guide 2nd 这样的材料,它们生动的描述会使技术方面的难题变得容易理解;还可以准备一本 E xam Cram 的 CISSP 小书,出差或旅行时可以随手翻阅。 在线资源 在准备 CISSP 考试时,考生同样有丰富的在线资源可以选择,不过首选的依然是(ISC)2 的官方网站,考生可以从上面得 到最新的考试通知、考试资源等,(ISC)2 官方所提供的 Resource Guide 也包含了许多对 CISSP 考试很有用的在线资源、参考 资料等。另外,国外的 ccure.org 也有不少的在线资源可供选
8、择,比如电子杂志、论坛、免费的在线视频等。 模拟题库 模拟题库在 CISSP 考试的复习中可以起到查漏补缺的作用,也可以帮助考生熟悉 CISSP 考试的难度和出题方式,不过选 择模拟题库也不是题越多越好,关键还是要看模拟题库的题量是否适中,出题的难度和问法是否和真实考试接近。J0ker 认 为,Ccure.org 上所提供的 CISSP 在线测试题库(1000 题)和 Acutaltest 提供的 CISSP 模拟题库都比较好用,Ccure.org 的题 较浅但覆盖知识点也较全,Acutaltest 的题的问法更接近真实的 CISSP 考试。J0ker 当时主要用的就是 Acutaltest
9、的题库,尽 管在真实 CISSP 考试中找不到和 Acutaltest 题库相同的题目,但 Acutaltest 题贴近真实考题的特点使 J0ker 在考试能得以提高 不小作答的速度和准确率。 Where to ask 如果考生在复习 CISSP 知识的过程中遇到问题,可以选择论坛等在线途径向 CISSP 们请教,国外较好的是 Ccure.org 的 论坛,因为在 ccure.org 的论坛上回答一定数量的问题可以得到 CPE 的奖励,CISSP 们通常会比较乐意回答论坛上的问题。中 文方面的资源可以选择国内的 的论坛,上面同样有许多热心的 CISSP 会回答考生各方面问题,不仅仅是 CIS
10、S P 知识点,还包括 CISSP 考试的方方面面。J0ker 也欢迎大家来询问 CISSP 方面的问题,J0ker 会尽自己一份微薄之力为大家 的 CISSP 历程提供尽可能多的帮助 : ) 2. 复习信息安全管理复习信息安全管理 在 51CTO 安全频道特别策划的 CISSP 的成长之路系列的上一篇文章复习流程和资源里,J0ker 给大家介绍了一般的复习 流程和对复习比较有帮助的资源。从本文开始,J0ker 将带大家进入 CISSP 考试的正式复习过程:2007 年(ISC)2 修改过 CISS P 考试的各 CBK 名称和内容,虽然新内容绝大部分和原来的 CISSPCBK 相同,但还是增
11、加了一些新内容。J0ker 手上只有比 较老的 CISSP Official Guide 和 CISSPAllin One3rd(J0ker 准备考试时也是用这两本资料,对增加新内容的考试还可以应 付),所以在本系列文章中依然沿用(ISC)2 修改前的 CBK 名称和内容,J0ker 会按照 CISSP Official Guide 的内容安排给大家 介绍一下复习中的心得和要点,限于 J0ker 自己水平和各人的情况不同可能有所不足,请大家原谅。 CISSP 复习的第一章 Information Security Management 安全行业有句行话,“三分技术,七分管理”,意为安全技术应该
12、从属于管理。不少安全厂商在推销自己的产品时,常常只 顾鼓吹说自己的产品有多好,却没有向客户说明产品是否适用于目标企业的实际环境。CISSP 需要明白,安全技术也好,安全 产品也好,都是必须从属于安全管理,只能因管理而技术,从安全技术和产品的使用去推导安全管理应该怎么做,就是本末倒 置了。因此 CISSP CBK 中引入了 Information Security Management 这一概念,假如把企业的信息安全计划比作一艘船,信息 安全管理就如同灯塔,指挥着船往哪里走,怎么走,如果舵手(CISSP)不按照灯塔(Information Security Management)的 指示走,船就
13、很可能触礁沉没(安全项目失败,或达不到想要的效果) 信息安全管理,或者说所有的信息安全项目,都是围绕着实现信息资产的 A-I-C 三角而设计和实施的。所谓的 A-I-C 三 角,也即信息资产的三个重要属性: Availability,可用性,保证信息资产对授权的用户随时可用; Integrity,完整性,保证信息资产不受有意或无意的未授权修改; Confidentiality,保密性,保证信息资产不受未经授权的访问。 A-I-C 三角也是贯穿整个 CISSPCBK 内容的宗旨。因此,对一个组织实体来说,信息安全管理的内容就是识别信息资产的 类型价值,并通过开发、记录和实施安全策略(Polici
14、es)、标准(Standards)、流程(Procedures)和指导(Guidelines) 来确保信息资产的 A-I-C 属性。在这个过程中,需要对信息资产进行识别和分级、识别可能威胁信息资产的威胁、并对可能存 在的漏洞进行评估,我们可以使用数据分级(Dataclassification)、安全意识教育(Security Awareness Training)、风险评估(Ri sk Assessment)和风险分析(Risk Analysis)这些工具来完成。J0ker 将在接下去的文章里面再给大家详细解释上面提到的各 个名词。 在 CISSP CBK 中还可以看到一个和信息安全管理相似的
15、名词风险管理(Risk Management),信息安全管理是从管理流 程的角度实现信息资产的保护,而风险管理则是从风险防范的角度出发,将风险对信息资产的损害降到最低。风险管理是识 别、评估、控制和最小化风险或未确定因素对信息资产的损害的过程,它包括整体安全评估(Overall Security Reviews)、风 险分析(Risk Analysis)、防御方案的选择和评估(Evaluationand Selectionof Safeguard)、效能分析(Cost/Benefit Analysi s)、管理决策(Management Decision)、防御方案部署(Safeguard I
16、mplementation)和效能评估(Effectiveness Review s)等步骤。 A-I-C 三角是贯穿 CISSP CBK 的宗旨,这也是我们在 CISSP 复习中遇到的第一个重点,如何把抽象的 A-I-C 概念,转化 成具体的知识?J0ker 打算用实际应用中的例子说明一下: Availability,是确保信息资产对授权用户随时可用的能力,在实际应用中,我们可以把有可能损害可用性的威胁分成 2 类: 1、Denial of Service 拒绝服务 2、会造成数据处理所需设备损失的自然灾害(火灾、水灾、地震等)或人为因素(恐怖袭击等) 拒绝服务通常指因为用户或入侵者的原因导致某个数据服务无法向其用户提供服务的故障,比如计算资源的耗尽导致的计 算机锁死、存储器资源的耗尽导致的文件读写失败、网络资源耗尽导致的网站无法访问等,但拒绝服务通常不会物理损坏数据 服务所依靠的设备,进行释放资源之类的相关处理便可恢复正常。而自然灾害和人为因素则是物理损坏,只能重新购置部署设 备才能使数据服务恢复正常。我们可以制定业务持续性计划(Cont
