『浅读-Cissp』
书籍名称《CISSP中文教材(AIO)-第七版—认证考试指南》
Mr. Sun_
欢迎小伙伴来到博客,共同学习,一同进步。
展开
-
Cissp-【第8章 软件开发安全】-2021-3-15(822页-918页)【完】
1.开发的首要目的是满足功能需求,而非安全 2.何处需要安全 3.SDLC和安全 4.OWASP 5.开发的各种模型 6.能力成熟度模型 7.变更控制过程 8.软件托管 8.几代软件编程语言 9.针对WEB环境的特定威胁 10.系统很多层次上可能发起攻击 11.数据仓库 12.数据挖掘 13.数据挖掘模型 14.恶意软件 15.防病毒软件检测方法 ...原创 2021-03-15 16:36:59 · 238 阅读 · 0 评论 -
Cissp-【第7章 安全运营】-2021-3-15(707页-821页)
1.运营部门的角色 2.角色及相关任务 3.可问责性 4.阈值级别 5.保证级别 6.锁的分类 7.CCTV产品由不同组件构成 8.平均故障间隔时间 9.平均修复时间 10.提高资源可用型的技术 11.逆向工程补丁 12.沙箱 13.网络杀伤链 14.RTO,WRT,RPO 15.预防性措施和恢复战略 16.高可用技术 ...原创 2021-03-15 15:35:14 · 212 阅读 · 0 评论 -
Cissp-【第6章 安全评估与测试】-2021-3-15(661页-706页)
1.信息系统安全需要定期评估 2.审计策略 3.信息系统的安全审计流程 4.脆弱性测试 5.漏洞和渗透测试的颜色 6.各种典型的弱点 7.渗透测试 8.渗透测试步骤,执行前切记获得授权书 9.事后检查 10.日志审查 11.代码审计 12.接口测试 13.代码审计 ...原创 2021-03-15 13:05:58 · 224 阅读 · 0 评论 -
Cissp-【第5章 身份与访问管理】-2021-3-14(601页-660页)
1.联合 2.访问控制模型 3.访问控制方法和技术,有点类似深信服等设备上网行为管理功能 4.访问控制管理(Radius,Tacacs+,Diameter) 5.访问控制方法 6.可问责性 7.访问控制实践 8.对访问控制的几种威胁(字典攻击,蛮力攻击,登录欺骗,网络钓鱼) ...原创 2021-03-14 13:52:48 · 177 阅读 · 0 评论 -
Cissp-【第5章 身份与访问管理】-2021-3-14(561页-600页)
1.访问控制概述 2.身份标识,身份验证,授权,可问责性 3.身份标识组件要求 4.访问控制 5.身份管理 6.控制资产访问常见问题 7.生物测定学 8.攻击者寻找密码得不同技术 9.同步令牌 10.异步令牌 11.授权 12.授权-知其所需 13.Kerberos 14.单点登录技术的示例 ...原创 2021-03-14 11:31:12 · 218 阅读 · 0 评论 -
Cissp-【第4章 通信与网络安全】-2021-3-14(543页-560页)
1.网络攻击 2.拒绝服务 3.嗅探 4.DNS劫持 5.偷渡下载原创 2021-03-14 09:46:29 · 233 阅读 · 0 评论 -
Cissp-【第4章 通信与网络安全】-2021-3-14(476页-542页)
1.蜜罐 2.统一威胁管理 3.内容分发网络 4.软件定义网络 5.网络设备各司其职,各有各的语言 6.WAN技术总结 7.xDSL技术 8.隧道协议总结 9.扩频类型 10.WLAN 11.802.16 12.保护WLAN最佳实践 13.卫星宽带 14.移动通信技术发展阶段 15.互联网安全 ...原创 2021-03-14 09:37:41 · 213 阅读 · 0 评论 -
Cissp-【第4章 通信与网络安全】-2021-3-12(446页-475页)
1.中继器 2.网桥 3.转发表 4.PBX 5.不同防火墙之间的差异原创 2021-03-12 16:47:53 · 182 阅读 · 0 评论 -
Cissp-【第4章 通信与网络安全】-2021-3-12(408页-445页)
1.线缆 2.同轴电缆 3.双绞线 4.光缆 5.布线(噪声,衰减,串扰,线缆阻燃率) 6.网络互联基础 7.环型拓扑 8.总线型拓扑 9.星型拓扑 10.网状型拓扑 11.不同拓扑总结 12.介质共享 13.FDDI ...原创 2021-03-12 16:14:19 · 166 阅读 · 0 评论 -
Cissp-【第4章 通信与网络安全】-2021-3-12(393页-407页)
1.IP网络层协议 2.TCP协议 3.TCP与UDP各有优缺点,比如开销 4.端口类型(通用型,注册型,动态型) 5.数据包的结构 6.子网是为了减少管理难题 7.超网是为了灵活的定义网段 8.第2层安全协议 9.传输类型 10.模拟与数字信号 11.同步与异步 12.宽带与基带 ...原创 2021-03-12 11:40:52 · 432 阅读 · 0 评论 -
Cissp-【第4章 通信与网络安全】-2021-3-12(377页-392页)
1.通信 2.开放系统互连 3.OSI模型 4.应用层是提供应用的接口 5.表示层转换为标准格式,也处理压缩加密问题 6.会话层用于建立连接会话,负责两个应用之间建立连接 7.传输层关注将数据从一个系统传输到另外一个系统 8.网路层负责插入信息将数据正确的路由 9.数据链路层负责封装帧 10.物理层负责转换传送的电压 11.OSI模型中的功能和协议 12.多层协议 ...原创 2021-03-12 08:59:38 · 176 阅读 · 0 评论 -
Cissp-【第3章 安全工程】-2021-2-24(322页-376页)
1.认证授权机构 2.认证结构 3.密钥和密钥管理原则 4.针对密码学的攻击有很多种 。。。。。。。。。。。 5.CPTED指南确实不错 6.物理安全计划 7.保护资产 8.内部支持系统 9.环境问题 ...原创 2021-02-24 12:44:48 · 165 阅读 · 0 评论 -
Cissp-【第3章 安全工程】-2021-2-23(290页-321页)
1.分组密码和流密码 2.初始化向量,提升密钥的随机性 3.密码转换技术 4.对称与非对称密钥的混合使用 5.对称系统的类型(DES,3DES,AES,IDEA,Blowfish,RC4,RC5,RC6)原创 2021-02-23 14:35:10 · 188 阅读 · 0 评论 -
Cissp-【第3章 安全工程】-2021-2-22(269页-289页)
1.维护陷阱 2.TOC/TOU攻击,实际上就是异步执行命令的一种攻击手段 3.存储传输时使用,密码目的就是隐藏 4.密码学的历史 5.密码学定义与概念,可以类比于日常生活中的锁 6.加密算法需要公开嘛? 7.密码系统服务相当重要 8.一次性密码本 9.滚动密码与隐藏密码 10.隐写术 11.密码的类型 12.加密的方法,对称与非对称算法 ..原创 2021-02-22 10:25:58 · 424 阅读 · 0 评论 -
Cissp-【第3章 安全工程】-2021-2-20(248页-268页)
1.引用监视器仲裁主体对客体的访问,下面的举例很形象。进程=人 ; 安全内核=社会 ; 引用监视器=法律 2.安全模型,详细的模型可以在网上搜索 3.通用准则框架 4.对产品进行评估的原因 5.开放系统与封闭系统 6.分布式系统 ...原创 2021-02-20 12:45:55 · 170 阅读 · 0 评论 -
Cissp-【第3章 安全工程】-2021-2-18(237页-248页)
1.单块操作系统架构 2.分层操作系统架构 3.微内核架构 4.不同架构的基本核心概念 5.虚拟机,使用房间的比喻很形象 6.安全从制定策略开始原创 2021-02-18 13:57:28 · 181 阅读 · 0 评论 -
Cissp-【第3章 安全工程】-2021-1-31(205页-237页)
不是推荐书籍,为了明年备考CISSP,所以在此地做个笔记,今后也能够回顾,同时也能激励自己坚持学下去。 1.系统架构师类比于房屋建筑师,就很容易理解了 2.在满足利益相关者的关注点后,加入安全性视角 3.地址和数据总线的位数对数据的处理起重要作用,32位系统,64位系统的差别于此 4.使用大脑作为存储器的比喻十分形象 5.程序只能访问自己特定的存储器段,不能任意访问 6.什么是缓冲区溢出 7.操作系统是一个工作环境 8.进程是操作系统给予相关联的资源集合原创 2021-01-31 22:16:45 · 205 阅读 · 2 评论 -
Cissp-【第2章 资产安全】-2021-1-21(186页-204页)
不是推荐书籍,为了明年备考CISSP,所以在此地做个笔记,今后也能够回顾,同时也能激励自己坚持学下去。 1.介质具备生命周期,介质上的数据也同样有完整的生命周期 2.常见的数据泄漏形式 3.数据泄露VS数据丢失 4.信息资产保护需要多方面协同 5.测试题目,答案在尾部 ...原创 2021-01-21 16:54:15 · 243 阅读 · 0 评论 -
Cissp-【第2章 资产安全】-2021-1-14(163页-185页)
不是推荐书籍,为了明年备考CISSP,所以在此地做个笔记,今后也能够回顾,同时也能激励自己坚持学下去。 1.资产安全 2.人员,声誉都是资产的组成部分 3.信息的生命周期,获取,使用,存档,处理 4.数据获取后怎么控制,事先得考虑清晰 5.对于数据得使用还得多方位考虑 6.数据时间存多久,成本与风险需要平衡 7.数据被真正销毁,被正确销毁,根据公司得制度吧 8.数据的分类依赖于数据的价值 9.数据敏感度的分类 10.配套信息分类 11.按照这原创 2021-01-14 14:45:15 · 337 阅读 · 0 评论 -
Cissp-【第1章 安全和风险管理】-2021-1-7(99页-162页)
不是推荐书籍,为了明年备考CISSP,所以在此地做个笔记,今后也能够回顾,同时也能激励自己坚持学下去。 1.风险的评估和分析是相当重要的 2.风险分析团队需要多部门的紧密配合 3.资产定价要多维度考虑 4.威胁与脆弱性间的关系,可以发散思维去想 5.风险评估方法 6.风险评估方法很多种,但是大致的思路都如下 7.风险评估与风险分析的本质区别 8. ...原创 2021-01-07 18:43:42 · 364 阅读 · 0 评论 -
Cissp-【第1章 安全和风险管理】-2020-12-31(86页-98页)
不是推荐书籍,为了明年备考CISSP,所以在此地做个笔记,今后也能够回顾,同时也能激励自己坚持学下去。 1.从法律法规,延伸到隐私,然后引入了数据泄露 2.数据的泄露是受法律保护的 3.有安全问题就需要去制定相应的策略,这需要多部门的配合 4.战略目标,战术目标 5.基线,其实就是一个基础线,也是最低的保护级别 6.指南是一个信息的补充 7.标准,指南,措施,基线的关系 8.主要的信息安全风险 9.风险管理过程四个部分:风险框架,评估风险,响应风原创 2020-12-31 13:44:18 · 211 阅读 · 0 评论 -
Cissp-【第1章 安全和风险管理】-2020-12-31(58页-85页)
不是推荐书籍,为了明年备考CISSP,所以在此地做个笔记,今后也能够回顾,同时也能激励自己坚持学下去。 1.三种类型的计算机犯罪 2.被攻击了谁愿意报案,谁愿意上头条? 3.不同种类攻击方式 4.高级持续性攻击(APT)是有组织有预谋的,较为致命 5.跨境的计算机攻击,法律文化的不同,如何联合打击是个难题 6.常识了解,法律的类型,好多法律法规的内容。。 ...原创 2020-12-31 11:58:29 · 214 阅读 · 0 评论 -
Cissp-【第1章 安全和风险管理】-2020-12-07(32页-58页)
我不是推荐书籍,我明年准备考CISSP,所以在此地做个笔记,今后也能够回顾,同时也能激励我坚持学下去。 1.管理控制 , 技术控制 , 物理控制。 2.深度防御。 3.预防和检测是一套组合。 4.预防,检测,纠正,威慑,恢复 各自的措施。 5.所有的安全措施需要协同工作,这个在公司上班一个道理,需要一个TEAM,一个人不可能承担所有事情。 6.安全规划,这属于一个架构层面,打起仗来如何建立防御工事呢? 7.这些架构是模型,我们可以套用他们建立自己的安全工事原创 2020-12-07 11:27:07 · 289 阅读 · 0 评论 -
Cissp-【第1章 安全和风险管理】-2020-12-03(1页-32页)
我不是推荐书籍,我明年准备考CISSP,所以在此地做个笔记,今后也能够回顾,同时也能激励我坚持学下去。 1.现在好像出第8版了,anyway。 2.作者Shon ,安全顾问。 3.百科全书,了解自己的弱项,终身自我学习。 4.猫捉老鼠的游戏,边界防御,深度防御,入侵防护,蜜罐,沙盒~~ 5.为什么要获取CISSP呢,可能因为梦想吧。 6.安全三元组, 可用,完整,机密 7.可用性保障措施 8.完整性保障措施 9.机密性保障措施 10.威胁,脆弱,.原创 2020-12-03 15:08:34 · 272 阅读 · 0 评论