一刷的综合正确率:%65 ,我发现很多知识点,我记忆不牢靠,还有很多英文缩写,我不知道是什么意思。准备二刷的时候,记录下所有的英文缩写。晚上搜了一下考试的流程,需要身份证+信用卡,另外报名费是699美元,一想到我还没有信用卡,还是有点慌的,也不知道怎么交钱。准备周末来走一下报名流程,把杂七杂八的事情准备充分,然后全身心的利用下班时间,来二刷CISSP,希望做事情要一鼓作气,既然决定了,那就全力以赴,冲啊。
--2020年9月1日(晴)
- 安全与风险管理 %73(ailx10:CISSP第1/8知识点错题集)
- 资产安全 %64(ailx10:CISSP第2/8知识点错题集)
- 安全架构和工程 %69(ailx10:CISSP第3/8知识点错题集)
- 通信与网络安全 %68(ailx10:CISSP第4/8知识点错题集)
- 身份与访问管理 %57(ailx10:CISSP第5/8知识点错题集)
- 安全评估与测试 %55(ailx10:CISSP第6/8知识点错题集)
- 安全运营 %63(ailx10:CISSP第7/8知识点错题集)
- 软件开发安全 %71(ailx10:CISSP第8/8知识点错题集)
一、安全与风险管理(第1~4章%73)
- 0x01、理解和应用保密性、完整性和可用性的概念
- 保密性
- 完整性
- 可用性
- 其他安全概念
- 保护机制
- 分层
- 抽象
- 数据隐藏
- 加密
- 0x02、评估和应用安全治理原则
- 与业务战略、目标、使命和宗旨一致的安全功能
- 组织的流程
- 组织的角色与责任
- 安全控制框架
- 应尽关心和尽职审查
- 0x03、开发、记录和实施安全策略、标准、程序和指南
- 安全策略
- 标准、基线和指南
- 程序
- 0x04、理解与应用威胁建模的概念和方法
- 识别威胁
- 确定和绘制潜在的攻击
- 执行简化分析
- 优先级排序和响应
- 0x05、将基于风险的管理理念应用到供应链
- 0x06、人员安全策略和程序
- 候选人筛选及招聘
- 雇佣协议及策略
- 入职和离职程序
- 供应商、顾问和承包商的协议和控制
- 合规策略要求
- 隐私策略要求
- 0x07、安全治理
- 0x08、理解并应用风险管理理念
- 风险术语
- 识别威胁和脆弱性
- 风险评估、分析
- 风险响应
- 选择与实施控制措施
- 适用的控制措施
- 安全控制评估
- 监视和测量
- 资产估值与报告
- 持续改进
- 风险框架
- 0x09、建立和维护安全意识、教育和培训计划
- 0x0A、管理安全功能
- 0x0B、业务连续性计划简介
- 0x0C、项目范围和计划
- 业务组织分析
- 选择BCP团队
- 资源需求
- 法律和法规要求
- 0x0D、业务影响评估
- 确定优先级
- 风险识别
- 可能性评估
- 影响评估
- 资源优先级排序
- 0x0E、连续性计划
- 策略开发
- 预备和处理
- 0x0F、计划批准和实施
- 计划批准
- 计划实施
- 培训和教育
- BCP文档化
- 0x10、法律的分类
- 刑法
- 民法
- 行政法
- 0x11、法律
- 计算机犯罪
- 知识产权
- 许可
- 进口出口控制
- 隐私
- 0x12、合规
- 0x13、合同和采购
二、资产安全(第5章%64)
- 0x01、资产识别和分类
- 识别敏感数据
- 定义敏感分类
- 定义资产分类
- 确定数据的安全控制
- 理解数据状态
- 管理信息和资产
- 数据保护方法
- 0x02、定义数据所有权
- 数据所有者
- 资产所有者
- 业务、任务所有者
- 数据使用者
- 管理员
- 托管元
- 用户
- 保护隐私
- 0x03、适用安全基线
- 范围界定和按需定制
- 选择标准
三、安全架构和工程(第6~10章%69)
- 0x01、密码学的历史里程碑
- 凯撒密码
- 美国南北战争
- Ultra和Enigma
- 0x02、密码学基本知识
- 密码学的目标
- 密码学的概念
- 密码数学
- 密码
- 0x03、现代密码学
- 密码密钥
- 对称密钥算法
- 非对称密钥算法
- 散列算法
- 0x04、对称密码
- 数据加密标准
- 三重DES
- 国际数据加密算法
- Blowfish
- Skipjack
- 高级加密标准
- 对称密钥管理
- 0x05、密码生命周期
- 0x06、非对称密码
- 公钥和私钥
- RSA
- EI Gamal
- 椭圆曲线
- 0x07、散列函数
- SHA
- MD2
- MD4
- MD5
- 0x08、数字签名
- HMAC
- 数字签名标准
- 0x09、公钥基础设置
- 证书
- 发证机构
- 证书的生成和销毁
- 0x0A、非对称密钥管理
- 0x0B、应用密码学
- 便携设备
- 电子邮件
- Web应用程序
- 数字版权管理
- 联网
- 0x0C、密码攻击
- 0x0D、适用安全设计原则实施和管理工程过程
- 客体和主体
- 封闭系统和开放系统
- 用于确保保密性、完整性、可用性的技术
- 控制
- 信任与保证
- 0x0E、理解安全模型的基本概念
- 可信计算基
- 状态机模型
- 信息流模型
- 非干扰模型
- Take-grant模型
- 访问控制矩阵
- Bell-Lapadula模型
- Biba模型
- Clark-Wilson模型
- Brewer and Nash模型
- Goguen-Meseguer模型
- Sutherland模型
- Graham-Denning模型
- 0x0F、基于系统安全需求选择控制措施
- 彩虹系列
- TCSEC分类和所需功能
- 通用准则
- 行业和国际安全实施指南
- 认证和鉴定
- 0x10、理解信息系统的安全功能
- 内存保护
- 虚拟化
- 可信平台模块
- 接口
- 容错
- 0x11、评估和缓解安全漏洞
- 硬件
- 固件
- 0x12、基于客户端的系统
- applet
- 本地缓存
- 0x13、基于服务端的系统
- 0x14、数据库系统安全
- 聚合
- 推理
- 数据挖掘和数据仓库
- 数据分析
- 大规模并行数据系统
- 0x15、分布式系统和端点计算
- 基于云的系统和云计算
- 网格计算
- 对等网络
- 0x16、物联网
- 0x17、工业控制系统
- 0x18、评估和缓解基于Web系统的漏洞
- 0x19、评估和缓解基于移动系统的漏洞
- 设备安全
- 应用安全
- BYOD关注点
- 0x1A、评估和缓解嵌入式设备和信息物理系统的漏洞
- 嵌入式系统和静态系统的示例
- 保护嵌入式和静态系统的方法
- 0x1B、基于安全保护机制
- 技术机制
- 安全策略和计算机架构
- 策略机制
- 0x1C、常见的架构缺陷和安全问题
- 隐蔽通道
- 基于设计或编码缺陷的攻击和安全问题
- 编码
- 计时、状态改变和通信中断
- 技术和过程集成
- 电磁辐射
- 0x1D、站点与设施设计的安全原则
- 安全设施计划
- 站点选择
- 可见度
- 自然灾害
- 设施设计
- 0x1E、实现站点与设施安全控制
- 设备故障
- 配线间
- 服务器间和数据中心
- 介质存储设施
- 证据存储
- 受限区和工作区安全
- 基础设施和HVAC
- 火灾预防、探测和消防
- 0x1F、物理安全的实现与管理
- 边界安全控制
- 内部安全控制
四、通信和网络安全(第11、12章%68)
- 0x01、OSI模型
- OSI模型的历史
- OSI功能
- 封装与解封
- OSI模型层次
- 0x02、TCP/IP模型
- 0x03、融合协议
- 0x04、无线网络
- 保护无线接入点
- 保护SSID
- 进行现场调查
- 使用安全加密协议
- 无线防止
- 无线类型
- 调整功率电平设置
- WPS
- 使用强制门户
- 一般Wifi安全程序
- 无线攻击
0x05、安全网络组件
- 网络访问控制
- 防火墙
- 端点安全
- 硬件的安全操作
- 0x06、布线、无线、拓扑、通信和传输介质技术
- 传输介质
- 网络拓扑
- 无线通信与安全
- 局域网技术
- 0x07、网络与协议安全机制
- 安全通信协议
- 身份验证协议
- 0x08、语音通信的安全
- VoIP
- 社会工程
- 欺骗与滥用
- 0x09、多媒体合作
- 远程会议
- 即时通信
- 0x0A、管理邮件安全
- 邮件安全目标
- 理解邮件安全问题
- 邮件安全解决方案
- 0x0B、远程访问安全管理
- 远程访问安全计划
- 拨号上网协议
- 中心化远程身份验证协议
- 0x0C、虚拟专用网
- 隧道技术
- VPN的工作机理
- 常用的VPN协议
- 虚拟局域网
- 0x0D、虚拟化
- 虚拟软件
- 虚拟化网络
- 0x0E、网络地址转化
- 私有IP地址
- 有状态NAT
- 静态与动态NAT
- 自动私有IP分配
- 0x0F、交换技术
- 电路交换
- 分组交换
- 虚电路
- 0x10、WAN技术
- WAN连接技术
- 拨号封装协议
- 0x11、多种安全控制特征
- 透明性
- 验证完整性
- 传输机制
- 0x12、安全边界
- 0x13、防止或减轻网络攻击
- DoS与DDoS
- 窃听
- 假冒/伪装
- 重放攻击
- 修改攻击
- 地址解析协议欺骗
- DNS毒化、欺骗和劫持
- 超链接欺骗
五、身份与访问管理(第13、14章%57)
- 0x01、控制对资产的访问
- 比较主体和客体
- CIA三性和访问控制
- 访问控制的类型
- 0x02、比较身份识别和身份验证
- 身份注册和证明
- 授权和问责
- 身份验证因素
- 密码
- 智能卡和令牌
- 生物识别技术
- 多因素身份验证
- 设备验证
- 服务身份验证
- 0x03、实施身份管理
- 单点登陆
- 凭据管理系统
- 集成身份服务
- 管理会话
- AAA协议
- 0x04、管理身份和访问配置生命周期
- 访问配置
- 账户审核
- 账户撤销
- 0x05、比较访问控制模型
- 比较权限、权利和特权
- 理解授权机制
- 使用安全策略定义需求
- 实施纵深防御
- 总结访问控制模型
- 自主访问控制
- 非自主访问控制
- 0x06、了解访问控制攻击
- 风险要素
- 识别资产
- 识别威胁
- 识别漏洞
- 常见的访问控制攻击
- 保护方法综述
六、安全评估与测试(第15章%55)
- 0x01、构建安全评估和测试方案
- 安全测试
- 安全评估
- 安全审计
- 0x02、开展漏洞评估
- 漏洞描述
- 漏洞扫描
- 渗透测试
- 0x03、测试软件
- 代码审查与测试
- 接口测试
- 误用例测试
- 测试覆盖率分析
- 网站监测
- 0x04、实施安全管理流程
- 日志审查
- 账户管理
- 备份验证
七、安全运营(第16~19章%63)
- 0x01、应用安全运维概念
- 知其所需和最小特权
- 职责分离
- 岗位轮换
- 强制休假
- 特权账户管理
- 管理信息生命周期
- 服务水平协议
- 关注人员安全
- 0x02、安全配置资源
- 管理硬件和软件资产
- 保护物理资产
- 管理虚拟资产
- 管理云资产
- 介质管理
- 0x03、配置管理
- 基线
- 使用镜像技术创建基线
- 0x04、变更管理
- 安全影响分析
- 版本控制
- 配置文档
- 0x05、管理补丁和漏洞减少
- 系统管理
- 补丁管理
- 漏洞管理
- 常见的漏洞和风险
- 0x06、事件响应管理
- 事件的定义
- 事件响应步骤
- 0x07、落实检测和预防措施
- 基本预防措施
- 了解攻击
- 入侵检测和预防系统
- 具体预防措施
- 0x08、日志记录、监测和审计
- 日志记录和监测
- 出口监测
- 效果评价审计
- 安全审计和审查
- 报告审计结果
- 0x09、灾难的本质
- 自然灾难
- 人为灾难
- 0x0A、理解系统恢复和容错能力
- 保护硬盘驱动器
- 保护服务器
- 保护电源
- 受信恢复
- 服务质量
- 0x0B、恢复策略
- 确定业务单元的优先顺序
- 危机管理
- 应急通信
- 工作组恢复
- 可代替的工作站点
- 互相援助协议
- 数据库恢复
- 0x0C、恢复计划开发
- 紧急事件响应
- 人员通知
- 评估
- 备份和离站存储
- 软件托管协议
- 外部通信
- 公用设施
- 物理和供应
- 恢复和还原比较
- 0x0D、培训、意识和文档记录
- 0x0E、测试和维护
- 通读测试
- 结构化演练
- 模拟测试
- 并行测试
- 完全中断测试
- 0x0F、调查
- 调查的类型
- 证据
- 调查过程
- 0x10、计算机犯罪的主要类别
- 军事和情报攻击
- 商业攻击
- 财务攻击
- 恐怖攻击
- 恶意攻击
- 兴奋攻击
- 0x11、道德规范
- ISC的道德规范
- 道德规范和互联网
八、软件开发安全(第20、21章%71)
- 0x01、系统开发控制概述
- 软件开发
- 系统开发生命周期
- 甘特图和PERT
- 变更与配置管理
- DevOps方法
- 应用编程接口
- 软件测试
- 代码仓库
- 服务水平协议
- 软件采购
- 0x02、创建数据库和数据仓库
- 数据库管理系统的体系结构
- 数据库事务
- 多级数据库的安全性
- ODBC
- NoSQL
- 0x03、存储数据和信息
- 存储器的类型
- 存储器威胁
- 0x04、理解基于知识的系统
- 专家系统
- 机器学习
- 神经网络
- 安全性应用
- 0x05、恶意代码
- 恶意代码的来源
- 病毒
- 逻辑炸弹
- 特洛伊木马
- 蠕虫
- 间谍软件和广告软件
- 零日攻击
- 0x06、密码攻击
- 密码猜测攻击
- 字典攻击
- 社会工程学
- 对策
- 0x07、应用程序攻击
- 缓冲区溢出
- 检验时间和使用时间
- 后门
- 权限提升和rootkit
- 0x08、Web应用的安全性
- 跨站脚本
- 跨站请求伪造
- SQL注入攻击
- 0x09、侦察攻击
- IP探测
- 端口扫描
- 漏洞扫描
- 0x0A、伪装攻击
- IP欺骗
- 会话劫持
本篇完~