【CISSP备考】AIO一刷易错知识点

把AIO综合题进行一遍溯源，也就是从书本上翻一下错题对应的知识点，预计要花2晚时间。前面70道题，主要错误都集中在第一章（安全和风险管理）和第五章（身份与访问控制），有的考点就是没当回事，回头看看就是书上的原话，也有的考点是真的不会，感觉书上都找不到一样，这个查书的过程，都容易把书翻烂，还是找不到，实际上翻书的过程，又熟悉了一遍课本，真的学习力满满，加油冲鸭~

后面70道题，新增了第三章（安全工程）、第六章（安全评估与测试）、第八章（软件安全开发），明天周四晚上要上课，周五晚上准备把讲义全部翻一遍，周六把AIO的分章习题做一遍，周日开始做培训班发的章节强化习题，终于开始要做题了~

一、安全和风险管理

• 风险管理相关要素定义

1. 风险：威胁利用资产弱点给资产带来损害的潜在可能性
2. 脆弱性/弱点/漏洞：资产中存在的可被威胁利用的缺点
3. 威胁：可能对资产或组织造成损害的某种安全事件发生的潜在原因
4. 威胁代理：威胁源
5. 安全措施/控制/对策：通过防范威胁、减少弱点、限制意外事件带来的影响的方法和措施

• 常见企业管控参考框架

1. 安全方案开发：ISO/IEC 27000信息安全管理
2. 企业架构开发：Zachman、TOGAF、DoDAF、MoDAF
3. 安全企业架构开发：SABSA安全架构框架
4. 公司治理：COSO企业内控管理模型
5. 安全控制开发：COBIT IT内部控制、NIST 800-53安全控制参考
6. 流程管理：CMMI软件开发管理、ITIL IT服务管理、6 Sigma业务流程管理

• ISO 27000系列

1. ISO 27001：信息安全管理体系建设
2. ISO 27002：信息安全管理体系最佳实践
3. ISO 27003：信息安全管理体系实施指南
4. ISO 27004：信息安全管理测量
5. ISO 27005：信息安全风险管理
6. ISO 27799：医疗机构信息安全管理指南

• 不同的法律体系

1. 普通法系/英美法系/海洋法系：强调先例，采用不成文法，判例法
2. 大陆法系/欧陆法系/罗马法系/民法法系/法典法系：成文法，不承认判例法
3. 习惯法体系：独立于国家之外，依据某种社会权威和社会组织
4. 宗教法体系：以该地区的宗教信仰为基础

• 典型的RA方法

1. AS/NZS 4360：澳大利亚的一种风险评估方法，不是专门为了安全而使用的
2. NIST SP800-30/66：定性风险分析
3. FRAP：便利的风险分析过程，专门的方法，先进行预筛选以节省时间和金钱
4. OCTAVE：是一种基于信息资产的自主式信息安全风险评估规范，强调以资产为驱动，资产形成了组织的业务目标和安全相关信息之间的桥梁，并且以保护关键的信息资产为目标，由3个阶段，8个过程构成
5. CRAMM：资产识别和评价，威胁和弱点评估，对策选择和建议
6. STA：创建一个系统可能面临的所有威胁的树，树枝可以代表诸如网络威胁、物理威胁、组件失效等类别，进行风险分析时，需要剪除不用的树枝
7. FMEA：源自硬件分析，也可用在软件和系统分析上，考察每个部件或模块的潜在失效，并且考察失效影响

三、安全工程

• 安全模型

1. BLP：第一个提供分级数据机密性保证的策略模型，不能上读下写
2. Biba：保护数据不被未授权修改，不能下读上写
3. Clark Wilson：通过三元组、职责分离和审计来实施完整性的3个目标
4. Brew Nash：中国墙，为投资银行设计

• 火灾的预防、检测和扑灭

1. 湿管：管道中一直存水，通过温控传感器控制喷水过程，缺点是可能被冻结造成无法使用
2. 干管：管道中不存水，热或烟雾传感器触发后水进入到通向喷头的水管中，电子阀被过热激活之后，阀门才会打开
3. 预响应式：不在水管内存水，只是在水管内的高压气体压力降低时才放水，水管里的水不会立即放出来，直到喷头处的一个连接头熔化，水才会放出来
4. 泛滥式：喷头总是打开的，这样在短时间内就能喷出大量的水

• CPTED通过环境设计预防犯罪行为

1. 自然访问控制：通过门、栅栏、照明甚至景观的布置、绿化等来引导人们的进出，设计缺乏躲藏或实施犯罪的场所，清晰的视线和透明度可用于阻挡潜在的罪犯
2. 自然监视：通过有组织的方式（保安）、技术方式（CCTV）以及自然方式（视野开阔），让犯罪分子感到不安，让其他人感到舒适
3. 自然区域加固：建立强调或延伸公司无力影响范围的物理设计，让合法用户在那个空间具有归属感

• 数据链路层

1. LLC：负责与紧靠它上面一层（网络层）中的协议通信
2. MAC：具有以适当的方式加载的协议，从而满足物理层的协议需求

五、身份与访问控制

• 三种不同的AAA协议区别和比较

1. RADIUS：UDP、仅加密密码、组合身份认证和授权服务、在PPP连接上工作、在对某位用户进行身份验证时使用单挑响应，适用于所有的AAA活动
2. TACACS+：TCP、加密所有流量、使用AAA架构，分离身份验证、授权和审计、支持其他协议，如AppleTalk、NetBIOS和IPX、对每个AAA进程都使用多挑战响应，每个AAA活动都必须进行身份验证
3. Diameter：TCP、协议包括基本协议，NAS协议，EAP协议，MIP协议，CMS协议、支持移动IP、NAS请求和移动代理的认证、授权和计费工作

• 标记语言示例

1. SPML服务配置标记语言：允许在公司内或不同公司的应用之间配置信息交换、资源调配系统，发布服务
2. SAML安全断言标记语言：用于在不同的安全域之间交换认证和授权数据
3. SOAP：有关如何对Web服务的信息交换结构化的方式
4. SOA：对在不同业务领域，不同的系统，用统一的方式提供独立的服务
5. XACML：通过Web服务和其他应用程序，来实现用安全策略和访问权限来实现对资产管控

• Kerberos的问题

1. KDC可以是一个单点故障，如果KDC出现故障，没有人能获得所需的资源，冗余KDC是必要的
2. KDC必须能够实时处理接收到的大量请求，它必须是可扩展的
3. 秘密密钥临时存储在用户工作站上，这意味着入侵者有可能获得这些加密密钥
4. 会话密钥临时存储在用户工作站上，这意味着入侵者可可能获得这些加密的密钥
5. Kerberos容易遭受密码猜测攻击，KDC不知道是否发生字典攻击
6. 如果没有应用加密功能，那么Kerberos不能保护网络流量
7. 如果密钥太短，他们可能很容易受到蛮力攻击
8. Kerberos需要所有客户和服务器保持时钟同步

• 访问控制模型

1. 自主访问控制 DAC：访问是基于用户的授权
2. 强制访问控制 MAC：比DAC安全，基于多级安全策略，依赖安全标签
3. 基于角色访问控制 RBAC：使用集中的访问控制来决定主体和客体之间的交互
4. 基于属性访问控制 ABAC：解决RBAC的不足，每个资源和用户都赋予一系列的属性

六、安全评估与测试

• SOC报告使用观点

1. SOC1：用于财务处理服务
2. SOC2：没有影响或间接影响的到用户的财务系统
3. SOC3：向大范围用户通报其保障级别而不需要披露细节控制和测试结果

八、软件开发安全

• CMMI软件能力成熟度

1. 初始级：过程通常是随意且混乱的
2. 管理级：项目确保其过程按照方针得到计划与执行
3. 定义级：过程得到清晰的说明与理解，并以标准、规程、工具与方法的形式进行描述
4. 定量管理级：组织与项目建立了质量与过程性能的量化目标并将其用作管理项目的准则
5. 优化级：组织基于对其业务目标与绩效需要的量化理解，不断改进其过程

• 软件开发生命周期-设计阶段

1. 攻击面分析：识别和减少被不可信用户访问的代码量和功能
2. 威胁建模：通过系统化的方法来表明不同的威胁如何被实现以及如何成功发生攻击

本篇完，谢谢大家~

本文来自互联网用户投稿，文章观点仅代表作者本人，不代表本站立场，不承担相关法律责任。如若转载，请注明出处。 如若内容造成侵权/违法违规/事实不符，请点击【内容举报】进行投诉反馈！