CISSP认证2021年教材 OSG 第9版 增(改)知识点:D7-运营安全

已于 2023-11-16 09:00:37 修改
阅读量4.4k 收藏
点赞数
分类专栏: CISSP|CCSP认证 文章标签: 安全架构 网络安全
于 2022-01-18 11:08:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41820959/article/details/122555533
版权

1、自动配置管理系统CMS(automated configuration management system)(p774)

许多组织使用自动配置管理系统 (CMS) 来帮助管理硬件资产。CMS的主要目的是配置管理,配置管理(CM)有助于确保系统部署在安全、一致的状态下,并在整个生命周期内保持在安全和一致的状态。CMS在检查配置设置时需要连接到硬件系统,它会验证系统是否仍在网络中并已运行。

2、无形资产(Intangible Inventories)(p775)

无形资产是一种知识资产(知识产权、专利、商标、公司声誉和版权)而不是实物资产,因此很难为它们分配货币价值。高级管理层通常是这些资产的所有者,他们试图通过估计资产将为组织带来的收益,来确定无形资产的价值。大型组织使用公认会计原则 (GAAP) 在其资产负债表上报告无形资产的价值,这将有助于他们至少每年审查一次无形资产。

3、云服务模式下的责任共担(Shared Responsibility with Cloud Service Models) (p780)

1)云供应商和客户如何分担三种主要云服务模型的维护和安全责任:

2)云供应商和客户如何分担四种主要云部署模式的维护和安全责任:

公共云模型包括可供任何消费者(客户)租用或租赁的资产,并由云服务提供商(CSP)托管。服务级别协议可以有效地确保CSP以组织(客户)可接受的级别提供基于云的服务。

私有云部署模型用于单个组织的基于云的资产。组织可以使用自己的本地资源创建和托管私有云。如果是这样,组织负责所有维护。但是,组织也可以从第三方租用资源供组织独占使用。维护需求通常根据服务模型(SaaS、PaaS 或 IaaS)进行拆分。

社区云部署模型向两个或多个具有共同关注点的组织提供基于云的资产,例如类似的任务、安全要求、策略或合规性考虑因素。资产可由一个或多个组织拥有和管理。维护责任是根据谁托管资产和服务模型来分担的。

混合云模型包括两个或多个云的组合,这些云通过提供数据和应用程序可移植性的技术绑定在一起。与社区云模型类似,维护责任根据谁托管资产和使用的服务模型来分担。

4、假阳性或真阴性?(False Positive or True Negative?)(p822)

假阳性、假阴性、真阳性和真阴性的概念经常引起混淆。下面从事件检测和生物识别系统两个领域来说明。

1)对于IDS/IPS有四种可能性它们与事件和检测有关:

  • 真阳性(True positive):事件发生,检测到
  • 假阴性(False negative):事件发生,未检测到(漏报)
  • 假阳性(False positive):事件未发生,检测到(误报)
  • 真阴性(True negative):事件未发生,未检测到

2)生物识别有四种可能性:

  • 真阳性(True positive):注册用户尝试进行身份验证,并通过身份验证
  • 假阴性(False negative):注册用户尝试进行身份验证,但未通过身份验证
  • 假阳性(False positive):冒名顶替者尝试进行身份验证,并通过身份验证
  • 真阴性(True negative):冒名顶替者尝试进行身份验证,但未通过身份验证

5、自动化事件响应(Automating Incident Response)(p845)

多年来,事件响应自动化已经有了很大进步,并且还在不断改进。以下部分介绍了其中一些,例如安全编排、自动化和响应 (SOAR)、人工智能 (AI) 和威胁情报技术。

1)安全编排、自动化和响应 (SOAR)

SOAR(Security orchestration, automation, and response)是指一组允许组织自动响应某些事件的技术。SOAR允许安全管理员定义这些事件和响应,通常使用playbook和 runbook,其中:playbook是定义如何验证事件的文档或清单;runbook将playbook数据实现为自动化工具。

2)机器学习和人工智能(AI)工具

许多公司交替使用人工智能 (AI) 和机器学习 (ML) 这两个术语,就好像它们是同义词一样。然而,他们不是。这两个术语没有严格的定义,但可以简单来区分一下:ML是人工智能的一部分,是指可以通过经验自动改进的系统,ML赋予计算机系统学习的能力。人工智能是一个广泛的领域,其中包括机器学习。一个关键点是机器学习是人工智能广泛主题的一部分。

3)威胁情报

威胁情报(Threat intelligence)是指收集有关潜在威胁的数据。它包括使用各种来源及时获取有关当前威胁的信息。

6、MITRE ATT&CK(p848)

MITRE ATT&CK矩阵是攻击者在各种攻击中使用的已识别策略、技术和程序 (TTP) 的知识库。它是对杀伤链模型的补充,例如Cyber Kill Chain。但是,与杀伤链模型不同,这些策略不是一组有序的攻击。

7、流行病 Pandemics(p869)

流行病给社会带来了重大的健康和安全风险,并有可能以不同于许多其他灾害的方式扰乱业务运营。流行病不会造成身体伤害,而是威胁个人健康,并阻止他们大量聚集,关闭办公室和其他设施。

8、得到教训Lessons Learned(p901)

在任何灾难恢复操作或其他安全事件结束时,组织应进行经验教训总结。经验教训过程目的是为了参与事件响应工作的每个人提供一个机会,来反思他们在事件中的个人角色以及团队的整体响应。这是一个改进事件响应中使用的流程和技术以更好地应对未来安全危机的机会。

9、组织道德规范Organizational Code of Ethics(p930)

几乎每个组织都有自己的道德准则,这些准则发布给员工以帮助指导他们的日常工作。这些可能以官方道德声明的形式出现,也可能体现在组织用于开展日常业务活动的策略和流程中。

更多问题或CISSP学习备考交流,可添加铭学在线小助手VX:15001033931,申请入群

轻松搞定CISSP
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【精品推荐】CISSP最新全套培训讲义(完整).zip
08-19
【精品推荐】CISSP最新全套培训讲义(完整),供大家学习参考。 CISSP最新讲义目录 Day001-安全基本概念(1) Day001-安全基本概念(2) Day002-安全治理、安全计划和框架 Day003-安全策略体系和安全人员管理 Day004-安全风险管理概述 Day005-风险评估和处置 Day006-威胁建模和风险管理框架 Day007-法律法规、采购中的风险和安全教育 Day008-业务连续性计划概述 Day009-业务连续性计划项目 Day010-业务影响评估 Day011-信息生命周期 Day012-信息分类 Day013-信息相关的角色和责任 day014-适当的数据保留 day015-保护隐私 day016-保护资产 Day017-数据泄露 Day018-使用安全设计原则实施和管理工程过程 Day019-系统架构和可信计算基 Day020-全模型和实例 Day021-系统安全评估模型 Day022-一些对安全模型和架构的威胁 Day023-密码学定义与概念 Day024-对称密码学 Day025-非对称密码学 Day026-散列算法 Day027-密码学应用 Day028-密钥管理和针对密码学的攻击 Day029-站点规划和设计 Day030-实施物理安全 Day031-OSI参考模型与多层协议概述 Day032-TCP IP模型和协议 Day033-网络组件安全 Day034-网络互联基础和设备 Day035-无线网络 Day036-远程连接 Day037-网络层攻击 Day038-网络与协议安全机制 Day039-访问控制概述 Day040-身份标识与身份认证技术 Day041-身份授权和可问责性技术 Day042-身份管理和相关技术 Day043-联合身份管理和其它相关技术 Day044-访问控制模型 Day045-访问控制方法、技术和管理 Day046-对访问控制的几种威胁和监控 Day047-安全评估与测试概述 Day048-技术控制措施的评估与测试 Day049-管理控制措施的评估与测试 Day050-评估与测试报告和管理 Day051-安全事件调查和取证 Day052-行政管理和责任 Day053-安全资源配置 Day054-配置项管理 Day055-预防措施 Day056 -事件响应和安全监测 Day057-系统的恢复和容错能力 Day058-灾难恢复计划 Day059-灾难恢复计划测试和其他 Day060-软件中的安全需求 Day061-软件开发生命周期、模型和安全 Day062-编程语言和环境 Day063-数据库管理 Day064-Web应用安全 Day065-针对应用程序的相关攻击 Day066-恶意代码
CISSP认证2021教材 OSG 第9 知识点(汇总)
weixin_41820959的博客
01-18 5521
自官方20215月更新知识点后,主要教材CISSP认证官方学习指南》(简称:OSG)也发布了新的第9。由于新教材中文需一段时间后才会发布,而新知识点可能会在考试中出现,因此我们组织进行了梳理,具体如下: ......
CISSP认证2021教材 OSG 第9 知识点:D6-安全评估和测试
weixin_41820959的博客
01-18 2328
1、入侵模拟攻击(Breach and Attack Simulations) (p745) 入侵和攻击模拟(BAS)平台寻求在渗透测试的某些方面实现自动化。这些系统旨在向系统和网络注入威胁指示器,以触发其他安全控制。例如,BAS平台可能往服务器上放置可疑文件,在网络上发送标记报文( beaconing packets),或探测系统中的已知漏洞。BAS平台实际上并没有发动攻击,但它正在对这些安全控制进行自动化测试,以识别可能需要进行控制更新或强的缺陷。 2、合规性检查(Compliance Che
CISSP认证2021教材 OSG 第9 知识点:与 第8 的目录对比
weixin_41820959的博客
08-12 2749
CISSP认证教材官方学习指南OSG第8本与第9目录对比表:
CISSP OSG 第九 英文
05-29
本书《CISSP OSG 第九 英文》提供了详细的学习指南和实践经验,帮助读者备战 CISSP 认证考试,提高信息安全领域的知识和技能。 通过学习《CISSP OSG 第九 英文》,读者将能够: * 了解信息安全领域的最新...
CISSP 认证详细知识点总结-中英文对照翻译.docx
06-03
CISSP 10章笔记总结 1.信息安全与风险管理 2.访问控制 3.安全架构与设计 4.物理和环境安全 5.电信与网络安全 6.密码学 7.业务连续性和灾难恢复 8.法律,法规,合规性和调查 9.应用程序安全 10.运营安全 示例: ■ A...
CISSP ALL-in-One pdf
05-31
CISSP(Certified Information Systems Security Professional)是ISC²(International Information Systems Security Certification Consortium)颁发的一种信息安全认证,旨在评估个人在信息安全领域的知识和技能...
CISSP认证考试指南中文教材第六.part2.rar
10-29
CISSP认证考试指南(第6)针对最新发布的信息系统安全专家考试做了全面修订,它全面、最新地覆盖了(ISC)2开发的CISSP考试的所有10个专业领域。这本权威的考试指南在每一章的开始都给出了学习目标、考试技巧、实践...
CISSP认证考试大纲20215月1日生效.pdf
11-22
"CISSP认证考试大纲20215月1日生效.pdf" CISSP认证考试大纲是信息安全领域最被全球广泛认可的认证CISSP认证反映了持证者具备有效设计、构建及管理组织整体安全态势所需的深厚信息安全技术、管理知识、技能与...
CMS功能(简介和配置)
qq_43063585的博客
05-02 4307
CMS (Content Management System)即内容管理系统,在本项目中主要用来管理静态页面。可以理解为,CMS帮你把一个网站的程序部分的事全做完了,你要做的只是一个网站里面美工的部分,搞几个静态网页模板,一个门户级的网站就出来了! CMS,大概2004以前,如果想进行网站内容管理,基本上都是靠手工维护,但面对千变万化的信息流,若没有好的程序支持,还继续靠手工完成是不可能的事,如果有一个好的系统来支撑你的网站,那将节省大量的人力物力,开发者就可能给客户一个软件包,可以用它定期人工修网站。只
2021CISSP考试大纲解析
agiogo的博客
03-02 2709
** 2021CISSP考试大纲解析 ** 大家要看关于2021CISSP的备考指南请到B站(麟学堂-张妤)的视频讲解“2021CISSP备考B站讲解视频” https://www.bilibili.com/video/BV1Ga4y1x7if去看。要下载PDF的,请到公众号:麟学堂 去看PDF2021CISSP https://mp.weixin.qq.com/s/XXDYCIi19wS05AzLNTATwg 的备考指南。 信息系统安全认证专家(CISSP)是信息安全市场全球公认的认证
CISSP认证2021教材 OSG 第9 知识点:D8-软件开发安全
weixin_41820959的博客
01-18 1764
1、软件保障成熟度模型(SAMM,Software Assurance Maturity Model)(p961) SAMM是由开放 Web 应用程序安全项目 (OWASP) 维护的开源项目。它旨在提供一个框架,将安全活动集成到软件开发和维护过程中,并为组织提供评估其成熟度的能力。SAMM 将软件开发过程划分为五个业务功能:治理、设计、实施、验证、运营。 2、NoSQL(p982) NoSQL 数据库是一类使用关系模型以外的模型来存储数据的数据库。NoSQL数据库没有标准的查询语言(SQL),因此
CISSP认证2021教材 OSG 第9 知识点:D4-网络和通信安全
weixin_41820959的博客
01-18 2172
1、网络流量分析(Analyzing Network Traffic)(p505) 网络通信分析通常是网络管理的基本功能。它可用于追踪恶意通信、检测错误或解决传输问题。协议分析器是一种用于检查网络流量内容的工具。协议分析器也可以称为嗅探器、网络评估器、网络分析器、流量监视器或数据包捕获实用程序。 2、DNS嫁接、DNS查询欺骗(DNS Pharming、DNS Query Spoofing)(p512) 另一种与DNS中毒(DNS poisoning)或DNS欺骗(DNS spoofing)密切相
CISSP认证2021教材 OSG 第9 知识点:D5-身份与访问管理
weixin_41820959的博客
01-18 1610
1、HOTP、TOTP(p656) HOTP:散列消息验证码 (HMAC)包括一个散列函数,由基于HMAC的一次性密码(HMAC-based One-Time Password,HOTP) 标准用于创建一次性密码。它通常会创建6到8个数字的 HOTP 值。这类似于令牌创建的异步动态密码。HOTP 值在使用前一直有效。 TOTP:基于时间的一次性密码(Time-based One-Time Password,TOTP)标准类似于 HOTP。但是,它使用时间戳并在特定时间范围内保持有效,例如 30 秒。如果
如何搭建数据安全架构?包含数据安全资产梳理、敏感数据发现、数据风险检测、安全态势感知等解决方案
zhang9880000的博客
06-19 493
敏感数据是指一旦泄露或被滥用可能对企业或个人造成重大损失的数据。企业需要明确哪些数据是敏感数据,并制定相应的保护措施。个人敏感数据:如身份证号码、银行账户信息、健康记录等。业务敏感数据:如财务报表、客户名单、商业合同等。技术敏感数据:如源代码、专利信息、研发资料等。脱敏技术体现出来了。
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8293
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
小程序python语言pytorch框架的图像分类猫的动作行为识别-不含数据集图片-含逐行注释和说明文档.zip
06-19
本代码是基于python pytorch环境安装的。 下载本代码后,有个环境安装的requirement.txt文本 如果有环境安装不会的,可自行网上搜索如何安装python和pytorch,这些环境安装都是有很多教程的,简单的 环境需要自行安装,推荐安装anaconda然后再里面推荐安装python3.7或3.8的本,pytorch推荐安装1.7.1或1.8.1本 首先是代码的整体介绍 总共是3个py文件,十分的简便 且代码里面的每一行都是含有中文注释的,小白也能看懂代码 然后是关于数据集的介绍。 本代码是不含数据集图片的,下载本代码后需要自行搜集图片放到对应的文件夹下即可 在数据集文件夹下是我们的各个类别,这个类别不是固定的,可自行创建文件夹加分类数据集 需要我们往每个文件夹下搜集来图片放到对应文件夹下,每个对应的文件夹里面也有一张提示图,提示图片放的位置 然后我们需要将搜集来的图片,直接放到对应的文件夹下,就可以对代码进行训练了。 运行01数据集文本生成制作.py,是将数据集文件夹下的图片路径和对应的标签生成txt格式,划分了训练集和验证集 运行02深度学习模型训练.py,
大数据可视化大屏页面-大数据可视化展板通用模板+源代码+演示地址
最新发布
06-19
1、资源内容地址: https://blog.csdn.net/2301_78627004/article/details/136655536 2、代码特点:内含运行结果,不会运行可私信,参数化编程、参数可方便更、代码编程思路清晰、注释明细,都经过测试运行成功,功能ok的情况下才上传的。 3、适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
cissp第9pdf
11-30
CISSP(Certified Information Systems Security Professional)是国际上最具权威性的信息安全认证之一。第9CISSP的最新本,其中的PDF指的是以电子文档形式出的书籍。 CISSP第9PDF是一本权威的信息安全教材,内容涵盖了企业信息安全管理的核心知识。这本书是由来自全球信息安全领域的专家和学者共同编写而成,其目的是为了帮助安全专业人员提升其在信息安全领域的知识和技能。 这本书的主要特点是详细解释了CISSP知识域的核心概念和最佳实践。它包括了安全和风险管理、资产安全安全工程、通信和网络安全、身份和访问管理、安全评估和测试等方面的内容。 CISSP第9PDF提供了丰富的案例研究和实用的建议,可以帮助读者更好地理解和应用所学的知识。此外,这本书还包括了大量的练习题和实际场景的考试模拟,可以帮助读者更好地备战CISSP认证考试。 总的来说,CISSP第9PDF是一本非常有价值的信息安全教材,对于想要在信息安全领域取得认证的专业人士来说,是一本必读的参考书。通过学习这本书,读者可以全面了解和掌握企业信息安全的核心概念和最佳实践,提高其在信息安全管理方面的专业能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值