2018CISSP考纲变革及备考重点解析知识点解读.docx

第1章.安全与风险管理-知识点1.理解和应用机密性、完整性、可用性概念概念的理解.评估和应用安全治理原则1.安全功能与业务战略、目的、使命、目标一致战略一致性2 .组织流程（例如：收购、剥离、治理委员会）3 .组织角色和责任4 .安全控制柢架5 .尽职关注/尽职勤勉（尽职调查）2 .确定合规要求1 .合同、法律、行业标准和监管要求2 .隐私要求3 .理解在全球范围内涉及信息安全的法律和监管问题1 .计算机犯罪和数据泄露2 .许可与知识产权的要求（例如：权、与林、数”二权;：）3 .进口/出口控制4 .跨境数据流5 .隐私4 .理解、遵循和促进职业道第1 .（ISC）2职业道德规范2 .组织道然规范5 .制定、记录和实施安全政策、标准、程序和指南6 .对业务连续性（BC）需求进行识别、分析和排优先级1 .制定和记录范围和计划2 .开展业务影响分析（BIA）风险评估-业务影响分析一制定策略-开发计划-培训测试-维护7 .促进和执行人员安全政策和程序1 .候选人甄选和聘用（例打:证吠人核实.教2 .雇佣协议和政策3 .入职和聘用终止过程4 .供应商、顾问和承包商的协议和控制5 .政策合规要求6 .隐私政策要求8 .理解和应用风险管理概念1 .识别威胁和漏洞2 .风险评估/分析3 .ML4 .对策的选择和实施控制适用类型（例如：预防性、检测性、纠正性）物理、技术、管理5 .安全控制评估（SCA）6 .监测和衡量7 .资产估值8 .报告9 .持续改进10 .风险框架9 .理解和应用威胁建模的概念和方法1 .威胁建模概念2 .威胁建模方法10 .将基于风险的管理理念应用到供应链中1 .与硬件、软件和服务相关的风险2 .第三方评估和监测3 .最低安全要求4 .服务级别要求11 .建立并维持安全意识宣贯、教育和培训计划1 .意识宣贯与培训的方法和技术2 .定期内容评审3 .方案效果评价第2章.资产安全-知识点1 .识别与分类信息和资产（1L如1 .数据分类2 .资产分类资产分类排序：记录、分配、标记、评审、解除2 .确定与维护信息与资产所有权3 .保护隐私隐私保护的第一步是数据最小化1 .数据所有者2 .数据处理者3 .数据残留清除、根除、净化SanitiZing排序：物理销毁消磁覆写格式化4 .数据收集限制4 .确保适当的资产保留5 .确定数据安全控制1 .理解数据状态静态数据、动态数据2 .确定范围和剪裁3 .标准的选择4 .数据保护方法6 .建立信息和资产处理要求第3章.安全工程-知识点1.使用安全设计原则实施和管理工程流程2 .理解安全模型的基木概念BLP、Biba)3 .基于系统安全要求选择控制4 .理解信息系统的安全能力(例如：内存保护、可信平台模块(TPM)、加密/解密)5 .评估和减轻安全架构、设计和解决方案的脆弱性1 .客户端系统2 .服务度端系统3 .数据库系统k,4 .密码系统5 .工业控制系统(ICS)"、机界面控制服务器历史数据应用服务器I：作站jfi6.基于云的系统7 .分布式系统8 .物联网(IoT)6 .评估和缓解Web系统中的漏洞<XSS,SQL注入攻击(SAML：安全断言标记语言(XACML：用于决定请求/响应的通用访问控制策略语言和执行授权策略的桩架(OAuth2.0：使用的是令牌(CVE(CommonVulnerabilities&Exposures)公共漏洞和暴露7 .评估和缓解移动系统中的漏洞8 .评估和缓解嵌入式设备中的漏洞9 .应用密码学1 .密码生命周期(例如：密钥管理、算法选择)2 .加密方法(例如：对称，非对称，椭圆曲线)(ECC的优点效率高3 .公钥基础设施(PKI)数字证书（CA交叉认证4 .密钥管理实践5 .数字签名6 .不可否认性7 .完整性（例如：散列）理解密码攻击方法数字版权管理（DRM）密码学的实际应用10 .将安全原则应用于场地与设施设计11 .实施场地和设施安全控制1 .配线间/中间配线设施2 .服务器机房/数据中心3 .介质存储设施4 .证据存储5 .限制区和工作区安全6 .公用设施与供热通风空调系统（HVAC）机身正气压7 .环境问题8 .火灾预防、检测和灭火5类火（CPTED:CrimePreventionThroughEnvironmentalDesign）第4章.通信与网络安全-知识点1 .在网络架构中实现安全设计原则1 .开放系统互连（OSl）与传输控制协议/互联网协议（TCP/IP）模型<7层协议、TCP/IP4层2 .互联网协议（IP）网络3 .多层协议的含义（DNP3）4 .聚合协议（MPLS.VoIiSCSI）5 .软件定义网络（SDN）6 .无线网络2 .安全网络组件1 .硬件操作（例如:调制解调器、交换机、路由器、无线接入点、移动设备）2 .传输介质3 .网络访问控制（NAC）设备.4 .端点安全5 .内容分发网络（CDN）3 .根据设计实现安全通信通道1 .语音2 .多媒体协作（例加:运R'会议术、一时也上）3 .远程访问4 .数据通信（例TLS/SSL）5 .虚拟网络：'HSI）N,E京II第5章.身份与访问控制-知识点1 .控制资产的物理和逻辑访问1 .信息2 .系统3 .设备4 .设施2 .管理人员、设备、服务的身份标识和验证1 .身份管理实施(例如:SSO,LDAP)2 .单/多因素认证(例如:因总”L-物识别)生物识别：FRR、FAR,精度比较3 .问责4 .会话管理(例如5 .身份注册与证明6 .联合身份管理(仇如：SAMDSAML安全断言语言(SeCUrityAssertionKdarkupLanguage),是一个基于XML的协议。是一个联合身份标准。用于传送身份信息，可用于实现单点登录。类似于KerberoS依赖J：KDC,SAML依赖riDP(Identityprovider).SAML有一项功能叫策略执行(POliCyenforCement)。7 .凭证管理系统3 .集成第三方身份服务1 .内部部署2 .云3 .联合(federated)4 .实施和管理授权机制1 .基于角色的访问控制(RBAC)2 .基于规则的访问控制3 .强制访问控制(MAC)4 .自主访问控制(DAC)5 .基于属性的访问控制(ABAC).管理身份和访问供给(provisioning)生命周期1.用户访问评审2 .系统帐户访问评审3 .供给与解除供给SPML第6章.安全评估和测试-知识点1 .设计和验证评估、测试和审计策略1 .内部2 .外部3 .第三方安全评估标准CC<ISOIEC15408信息技术一安全技术一IT安全评估准则CC7个评估保证级别（EAL）功能、结构、系统、半正式、正式地验证设计和测试。EALEFunctionallyTested；EAL2：StructurallyTested；EAL3：MethodicallyTestedandChecked；EAL4：Methodicallydesigned.Tested,andRevised；EAL5：Semi-formallyDesignedandTested；EAL6：Semi-formallyVerifiedDesignandTested：EAL7：FormallyVerifiedDesignandTested.<CC里面的PP定义了可重用的安全需求<BSIMM,15408,soc3,27001）2 .执行安全控制测试1 .漏洞评估2 .渗透测试行测、双方、针对性测试得到管理层书面批准授权发生在运维阶段目的是评估而不是检测3 .日志评审4 .合成交易5 .代码评审和测试（如:静态、动态、业和测试）6 .误用例测试7 .测试覆盖率分析8 .接口测试单元测试、集成测试、系统测试、验收测试回归测试、结构测试、功能测试、非功能测试3 .收集安全流程数据（例如技术和行政）1 .账户管理2 .管理评审和批准3 .关键绩效和风险指标4 .备份验证数据5 .培训和意识宣贯6 .灾难恢复（DR）和业务连续性（BC）4 .分析测试输出与生成报告5 .执行或促进安全审计1 .内部2 .外部3 .第三方第7章.安全运营-知识点.理解与支持调查1.证据采集与处理（例如:监常链、访淡）1 .报告与记录2 .调查技术3 .数字取证工具，手段和程序（forensics,e-discovery>2 .理解调查类型的要求1 .行政2 .刑事3 .民事4 .监管3 .执行记日志和监测活动1 .入侵检测和防御2 .安全信息和事件管理（SIEM）3 .连续监测4 .出流（Egress）监测4 .安全供给资源1 .资产清单2 .资产管理3 .配置管理5 .理解利应用基本的安全运营概念1 .知所必须/最小权限2 .职责分圈3 .特权帐户管理4 .岗位轮换防止共谋的方法是岗位轮换，而不是职责分度（导致共谋）5 .信息生命周期6 .服务级别协议（SLA）（SLA需要定期审查6 .应用资源保护技术1 .介质管理2 .硬件和软件资产管理7 .执行事件管理1 .检测2 .响应3 .缓解4 .报告5 .恢复6 .补救7 .经验教训8 .运营和维护、检测和预防措施1 .防火墙包过滤/状态检测/动态包过滤2 .入侵检测和防御系统HIDS/NIDS,特征/行为3 .白名单/黑名单4 .第三方提供的安全服务5 .沙箱行为阻断6 .蜜罐/蜜网检测性控制、Enticement/Entrapment）7 .反恶意软件考各种攻击：smurf攻击（基于Ping程序利用ICMP协议的攻击）SYNFLOOD攻击TCP序列号劫持/会话劫持中间人攻击DNS中毒/域欺骗Pharming竞争条件9 .实施与支持补丁和漏洞管理10 .理解并参与变更管理流程11 .实施恢复策略1 .备份存储策略（RPO>2 .恢复站点策略RTO冗余站点、热站、温站、冷站3 .多处理站点4 .系统韧性、高可用性、服务质量（QoS）和容错（RAID0.1、3、5、10）12 .实施灾难恢复（DR）过程1. 响应员信估复训人通评恢培2.3.4.5.6.13 .测试灾难恢复计划（DRP）1 .核对测试/桌上测试2 .穿行测试3 .模拟测试4 .并行测试5 .全面中断测试14 .参与业务连续性（BC）计划和演练15 .实施和管理物理安全1 .周边安全控制2 .内部安全控制16 .解决人员安全问题1 .旅行人员2 .安全培训和意识3 .应急管理4 .胁迫第8章.软件开发安全-知识点1 .理解安全并将其融入软件开发生命周期(SDLC)1 .开发方法瀑布模型、V字模型、原型法、快速开发、敏捷开发2 .成熟度模型3 .运营和维护4变更管理5 .集成产品团队2 .在开发环境中识别和应用安全控制1 .软件环境安全2 .配置管理作为安全编码的一个方面3 .代码库安全.评估软件安全的有效性1.审计变更与记变更日志2.风险分析与缓解验证、确认、认证、认可3 .评估获取的软件的安全影响4 .定义和应用安全编码指南和标准1 .源代码级安全弱点和漏洞堆栈溢出，可以执行任意代码2 .应用编程接口安全3 .安全编码实践