Mr.Bank

分类: 信息系统安全专家(CISSP)认证资格考试

  • CISSP考试一次性通过-AIO+Prep Guide知识点详解-加密学

    CISSP考试一次性通过-AIO+Prep Guide知识点详解-加密学

    CISSP考试一次性通过-AIO+Prep Guide知识点详解-加密学部分,

    一.加密学定义
    1.将plaintext转换成ciphertext。提供加解密的系统或者产品称为cryptosystem加密系统,使用必要的加密算法,key,软件组件和协议。加密系统的组成部分4个

    2.一般来说加密算法是公开的,秘密在于key密钥,key是一长串随机bits, 一个算法包含了一个密钥空间keyspace。包含了一系列数值可以构建key.当算法要生成一个新key.使用这个空间中的随机数值。

    二.加密系统的强度:也成为work factor 工作因子:是预估攻击者的努力和资源用于渗透一个加密系统
    1.加密方法的强度来自于算法,key的秘密性、长度,初始向量,以及他们的协同性。
    2.保护机制的强度来自于所要保护数据的敏感性。
    3.一个良好的加密系统包括:没有缺陷的算法,长key size,使用keyspace里面的所有可能数值,保护实际的key

    三.加密系统的服
    1.机密性
    2.完整性
    3.认证
    4.授权
    5.抗抵赖

    军事要求机密性高一些,金融机构要求机密性,但是也关心完整性;法律机构更关心受到消息的认证

    CISSP一次性通过的牛人在备考CISSP考试的时候根据AIO 第四版英文和Prep Guide英文版整理的读书笔记,是CISSP资格认证考试复习所用材料的精华,适合前3个月备考复习使用。是极其有价值的复习资料。

  • CISSP复习笔记模板-访问控制笔记

    CISSP复习笔记模板-访问控制笔记

    访问控制
    本章您将学到如下知识:
    识别(identification)的方法和技术
    认证(authentication)的方法、模式和技术
    选择的(discretionary),强制的(mandatory)和非选择的(nondiscretionary)的模式
    可追溯性(可记帐性accountability),监控和审计实践
    发射(emanation)安全和技术
    入侵检测系统(IDS, Intrusion detection systems)
    对访问控制可能的威胁的实践和技术

    信息安全建立的基础在于如何控制访问自身资源以保护他们免受未授权的修改(modification)或者披露(disclosure)。访问控制方法实质上可以通过技术的,物理的和管理的层面进行。

    一.访问控制概述Access Controls Overview
    访问控制是一种安全手段,控制的是不同用户或者系统之间的通信和交互;保护系统或资源免受未授权访问;在认证(authentication)流程成功完成授权用户的权限水平(the level of authorization)。虽然我们将用户当作一个需要访问信息和网络资源的实体(entity),但是还有其他类型的实体要求访问其他的信息资源,资源是访问控制中的客体(object),在访问控制的环境(context)中了解客体(object)、主体(subject)的定义是十分重要的。
    访问(access)是主客体之间的信息流动,主体(subject)是一个主动(active)的实体,它要求访问客体(object)或者客体包含的数据。主体可以是用户(users)、程序(program)、需要调用客体以完成任务的流程(process);客体(object)是一个包含信息的被动(passive)实体。客体可以是电脑、数据库(database)、电脑程序、文件、目录(directory)以及数据库中内置在一个表(table)中的field(field contained in a table within a database)。
    例子:当一个程序访问一个文件时,程序是主体,文件是客体
    又如: 一个用户要访问一个数据库,这个时候用户就是主动的实体而数据库则是被动的
    访问控制采用的机制很广泛,使用对电脑系统,网络和信息使用安全手段(feature),访问控制非常重要因为他是阻止未授权访问的第一道防线之一。当用户登陆系统并随后尝试访问一个文件,这个文件的访问控制列表(ACL access control list)中应该有此用户或这个用户所在的组(groups),这个是另外一个形式的访问控制,用户被允许和其权限取决于其身份(identity)、许可(clearance)和其所在组(group membership)。访问控制给了机构保护、通知、限制和保护CIA的能力。

    二.安全原则
    任何安全控制的三个主要的安全原则是:
    可用性(vailability)
    完整性(integrity)
    保密性(Confidentiality)

    这些原则在第三章已经提过了,AIO 的每一章都会以不同的方式体现这三个原则。本章研究的是通过访问控制如何影响和保护CIA原则的方法。
    我们所采用的每一个控制都能够影响CIA中至少一个原则,对于安全从业者(security professionals)来说了解所有可能保护和巧取(circumvented)安全原则的方法是十分必要的。

    (一)可用性 availability
    用户要求大多数信息,资源和系统必须是及时的(timely manner)以使得生产力不会受到影响;所访问的信息只有在其无法访问(inaccessible)的时候才显示出其重要性(管理者会体会到当一个重要的文件服务器无法正常使用)。容错和恢复机制(Fault tolerance and recovery mechanisms)将用来保证资源可用性的连续,如果要求的数据不能得到的话对于生产力的影响是显而易见的。
    信息有很多属性(attribute),例如准确性(accuracy),相关性(relevance),合时性(timeliness)和私密性(privacy)。用户往往只是关注其中几个属性。
    例如:一个股票交易者往往只是关注数据的准确性和及时性以便他能够及时在正确价位买卖,而不管其信息的隐私性;而饮料公司关注的是配方(recipe)的保密性。

    (二)完整性 Integrity
    信息必须是准确的,完整的(complete)和免于未授权更改。当一个安全方法作用于完整性的时候,它保护数据或者资源免于未授权形式的更改。如果任何非法(illegitimate)的变动确实发生了,安全方法必须以同样的方式提醒用户或者管理者
    例如:当一个用户对其网上银行帐号(online bank account)发送一个请求要支付水费,银行需要确认这个交易的完整性在交易期间没有收到警告,因此用户不会结束支付水电局。
    数据的完整性是十分重要的,试想当一个寄给美国总统的机密的电子邮件被截留发生了变动,而此变动是安全方法不允许,它本来应该警告总统这些消息已经更改了却没有警告,后果是非常严重的。

    (三)机密性 confidentiality
    机密性是一种信息不会被透露给未授权主体(个人,程序,进程)的保证。一些信息比另外一些信息要求有更高的敏感度,相应的也要求更高水平的机密性。需要有安全方法来声明WHO谁可以访问数据,还有一旦主体获得访问权可以做什么HOW,这行行动需要被审计,监控和控制。
    被当作机密资源的例子:医疗记录、金融帐号信息、犯罪记录、源代码(resource code)、商业秘密(trade secrets)和军事战略计划等。
    相应的安全方法的例子:加密(encryption)、逻辑和物理访问控制、交易协议(transmission protocol)、database views和受控的数据流(controlled traffic flow)。
    对一个公司来讲识别出数据的分类是十分重要的,这样可以保证公司采用最优先的安全方法来保护最高安全等级数据以使其机密性得到保护。如果这种敏感程度高的信息没有被单独区分开来的话,将会耗费巨大的时间和人力物力保护其安全性。当在交换商业秘密,客户信息或从事金融交易时有必要在机构间搭建VPNs(virtual private networks)或者通过IP sec加密协议(encryption protocol)来加密所有的传递消息。这需要花费相当数量的硬件,人力,金钱和企业管理费用(overhead)。所以对于数据的保护应该首先识别出数据的敏感性和敏感程度,然后执行与之相应的安全措施
    不同的安全技术适用于不同层次的CIA。环境、将要施行保护的数据分类的方法、安全目标等必须经过评估(evaluate)以确认公司已经购买了合适的安全技术并将其合理应用(put into place)。许多的公司花费了大量的时间和财力而没有采取以上的步骤,反而代之以购买现在冲击市场的名头较响的产品(gee whiz)。

    三.识别idenfication,认证authentication,授权autorization和可追溯性accountability

    (略)

  • CISSP-CIW中文学习手册下载

    CISSP-CIW中文学习手册下载

    目录

    网络安全与防火墙篇
    第一章 什么是安全?
    安全是什么
    黑客活动
    风险
    百分之百的安全
    安全即寻求平衡
    建立有效的安全矩阵
    保护资源
    终端用户资源
    网络资源
    服务器资源
    信息存储资源
    黑客的分类
    偶然的破坏者
    坚定的破坏者
    间谍
    安全标准
    安全服务
    安全机制
    额外的安全标准
    第二章 安全的基本元素
    安全的基本元素
    安全策略
    系统分类
    明智地为系统分类
    资源优先级划分
    指定因数
    宣言可接受和不可接受活动
    将策略应用到资源上
    定义教育标准
    谁负责管理策略
    加密
    加密类型
    认证
    What you know
    What you havc
    智能卡
    Who you are
    Where you are
    特殊的认证技术
    Kerberos
    一次性密码 OTP
    访问控制
    访问控制列表 ACL
    执行控制列表 ECL
    审计
    第三章 应用加密
    加密的优势
    加密强度
    建立信任关系
    ROUNDS,PARALLELIZATION 和强度加密
    对称加密
    对称加密算法
    数据加密标准
    TRIPLE DES
    对称算法由 RSA 安全公司创立
    RC6
    BLOWFISH AND TWOFISH
    SKIPJACK AND MARS
    高级加密标准
    非对称加密
    非对称密钥加密元素
    HASH 加密
    HASH 算法
    安全 HASH 算法 SHA
    应用加密的执行过程
    电子邮件 E-MAIL
    PRETTY GOOD PRIVACY(PGP)
    Secure MIME(S-MIME)
    加密文件
    MD5SUM
    WEB 服务器加密
    SECURE HTTP
    安全套接字层(SSL)
    网络级协议
    虚拟专用网络(VPN)协议
    PPTP 与 IPSEC 在安全性上的比较
    保护与服务
    公钥体系结构(PKI)
    第四章 典型的攻击方式及安全规则
    前门攻击和暴力攻击
    字典程序攻击

  • CISSP之信息安全和风险管理-复习资料下载

    CISSP之信息安全和风险管理-复习资料下载

    信息安全和风险管理
    (Information Security and Risk Management)
    本章学习如下内容:
    安全管理职责(Security management responsibilities)
    管理、技术和物理控制之间的区别
    安全三要素(Three main security principles)
    风险管理和风险分析(Risk management and risk analysis)
    安全策略(Security policies)
    信息分级(Information classification)
    安全教育培训(Security-awareness training)

    安全管理是公司计算机和信息安全的核心内容
    安全管理(Security Management)
    安全管理包括风险管理、信息安全策略、规程、标准、基线、信息分级、安全组织和安全教育。
    安全管理过程是一个循环过程:一是风险评估和需求确定;二是对对相关系统和行为的监控、教育;三是提高安全意识;最后是针对第一步确定的风险和需求实施策略和控制措施。如此循环往复。
    1、安全管理职责(Security Management Responsibilities)
    管理的功能包括决定目标、范围、方针、优先级和战略。
    安全需要得到最高管理层的重视,IT管理者可以就安全问题与其商议,但是公司的安全却不是她能解决的问题
    安全管理的职责是为其负责的资源和整个公司提供保护
    2、自顶向下的方法(The Top-Down Approach to Security)
    构建安全体系如同盖房,需要用字上向下的方法,就是指创意、支持、命令都要来自于最高管理层,该计划向下进行到中级管理层,然后再普及到员工。

  • CISSP之安全体系和设计-复习资料下载

    CISSP之安全体系和设计-复习资料下载

    如前所述,计算机安全由一下几个主要特性构成:
    1、可用性(availability)2、完整性(integrity)3、安全性(confidentiality)
    这些主要特性可再分出更细的安全特性,例如真实性(authenticity),可追溯性(accountability),不可抵赖性(non-repudiation)和可靠性(dependability)。
    这些安全特性有些需要在一个产品的设计和建立体系结构之前以及期间就要考虑号。如果安全性扎根于操作系统和应用的基础之中,而不是作为亡羊补牢的结果增补上去的,那么这样的安全性就是最佳的。一个产品的安全性必须就其所声称的安全性、完整性和可用性评定等级。
    计算机体系结构(computer architecture)
    计算机体系结构包括操作系统、存储器芯片、逻辑电路、存储设备、输入输出设备、安全部件、总线以及网络部件。

    中央处理器单元
    CPU可以从内存中读取指令并执行它们。尽管CPU是一个硬件,但是它有自己的指令集以实现其功能。不同类型的CPU有不同的结构和指令集。操作系统必须根据不同体系CPU进行设计。这就是为什么一个操作系统可以工作在奔腾处理器上却不能运行在SPARC处理器上。CPU根据不同电压表现的0/1电信号来实现操作。CPU中包含的寄存器指向存储器中即将执行的下一条指令的位置,并且使得CPU能够保持需要处理的数据的状态信息。
    实际执行指令的部件是算术逻辑单元(arithmetic logic unit,ALU)。ALU对数据进行数学函数运算和逻辑操作。
    软件将其指令和数据存放在存储器中。当需要对数据进行操作时,指令及数据的地址被传送到CPU的寄存器。当控制单元指示CPU对其进行处理的时候,指令及数据的地址传送至CPU进行实际的操作,数据计算和数据操作。结果发送至所需程序的存储器地址。
    操作系统和应用程序都是由一行行的指令构成。这些指令包含了一些空变量,这些空变量用来存储实际的操作数据。这是指令和数据的区别。指令用来完成对数据的某些操作功能。
    当不同的应用程序代码及操作系统指令同时执行,由控制单元(control unit)管理并保持系统的同步。控制单元用来获取代码、中断代码,并检查不同指令单元的执行。它决定要处理哪些应用指令,以及执行优先级和什么时间片内处理。它控制着什么时候执行指令,并决定在执行过程中何时使应用程序处理数据。控制单元实际上并不处理数据。它就像交警,告诉车流什么时候停,什么时候开。
    一个CPU时钟周期被分为许多时间片,并以这些时间片为基本时间单元执行操作。这使人们误以为CPU在同一时间执行了多个操作。当操作系统进行多任务(multitasking)操作时,实际上CPU是以连续的方式来执行的。
    CPU拥有几种不同类型的寄存器,用来存储需要被执行和操作的指令集和数据。
    通用寄存器(general registers)用来存储变量和ALU在运算工程中产生的临时结果。通用寄存器就像是ALU在运行过程中的便笺本。
    专用寄存器(special registers)用来存储程序计数器(program counter),堆栈指针(stack pointer)以及程序的状态字(PSW)。

  • CISSP考试一次性通过-AIO+Prep Guide知识点详解-运行安全

    CISSP考试一次性通过-AIO+Prep Guide知识点详解-运行安全

    CISSP考试一次性通过-AIO+Prep Guide知识点详解-运行安全部分,

    攻击:
    1.slamming:未经过用户同意,更改了其服务提供商
    2.cramming:未经用户同意增加服务,而多收费用。

    二.penertration testing 渗透测试
    1.discovery
    2.enumeration
    3.vulnerability mapping
    4.exploitation
    5.report

    方法:
    blind:测试人员只有公开数据,安全人员事先知晓
    double-blind:测试人员只有公开数据,安全人员事先不知晓
    targeted test:基于特定目标

    三.symbolic links
    symbolic link 连接的是文件名,可以跨文件系统建立连接.造成非授权访问
    hard link连接的是inode,只能在同一文件系统

    CISSP一次性通过的牛人在备考CISSP考试的时候根据AIO 第四版英文和Prep Guide英文版整理的读书笔记,是CISSP资格认证考试复习所用材料的精华,适合前3个月备考复习使用。是极其有价值的复习资料。

  • CISSP考试一次性通过-AIO+Prep Guide知识点详解-应用安全

    CISSP考试一次性通过-AIO+Prep Guide知识点详解-应用安全

    CISSP考试一次性通过-AIO+Prep Guide知识点详解-应用安全部分,

    一.软件生命周期开发过程
    1.软件开发的两个基本目标是:开发出符合消费者需求的品质软件;满足成本、时间计划。
    2.waterfull 模型 缺乏项目控制 软件开发在开发者只被允许重复上一个阶段的工作时才能被管理,超过一个阶段的返工将难以管理
    3.verification 和validation Verification evaluates the product during development against the specification, and validation refers to the work product satisfying the real-world requirements and concepts.Verification is doing the job right and validation is doing the right job.

    4.The Spiral 旋转模型。the angular dimension represents the progress made in completing the phases, and the radial dimension represents cumulative project cost.The model states that each cycle of the spiral involves the same series of steps for each part of the project.左下角关注开发计划,然后到左上角定义项目目标、完成项目的可选方法以及这些方法的局限。右上角接下来就是基于项目目标和局限来评估各种可选方法,评估有可能包括:prototyping、modeling、simulation等,这个步骤地目的在于识别和评估风险。一旦这个步骤完成,接下来的遵循传统的生命周期模型方法,右下展示的最终产品的每个部分开发的状态。旋转模型的一个重要概念是左边展示的是完成一个生命周期的主要检查点。

    CISSP一次性通过的牛人在备考CISSP考试的时候根据AIO 第四版英文和Prep Guide英文版整理的读书笔记,是CISSP资格认证考试复习所用材料的精华,适合前3个月备考复习使用。是极其有价值的复习资料。

  • CISSP考试一次性通过-AIO+Prep Guide知识点详解-物理安全

    CISSP考试一次性通过-AIO+Prep Guide知识点详解-物理安全

    CISSP考试一次性通过-AIO+Prep Guide知识点详解-物理安全部分,

    1.CPTED犯罪预防通过环境设计:结合物理环境和社会学,来减少犯罪率以及震慑罪犯
    2.safety 和security往往是冲突的,但是第一位的是生命安全
    3.HVAC 温度,通风,空调系统 :提供适宜的温度和湿度,提供闭环空调循环,正气压,通风
    4.高湿度引起corrosion,低湿度引起静电
    5.灰尘和空气污染物影响计算机硬件,应加以控制
    6.接近识别系统分成两个:user-activated 和system-sensing
    7.异频雷达收发机transponder是一个接近识别装置,不需要用户行动,读卡器传递信号给装置,装置回应一个access code
    8.内部partitions不能到达ceiling,因此攻击者可以去掉天花板从上面爬到保密区域
    9.入侵检测装置包括:motion detectors,CCTVs,vibration sensors,electromechanical devices
    10.入侵检测装置可以被渗透,安装费用昂贵,监控需要人员响应,而且容易发生错误报警
    11.cipher key使用key pad而且可以编程

    CISSP一次性通过的牛人在备考CISSP考试的时候根据AIO 第四版英文和Prep Guide英文版整理的读书笔记,是CISSP资格认证考试复习所用材料的精华,适合前3个月备考复习使用。是极其有价值的复习资料。

  • CISSP考试一次性通过-AIO+Prep Guide知识点详解-网络和远程通信

    CISSP考试一次性通过-AIO+Prep Guide知识点详解-网络和远程通信

    CISSP考试一次性通过-AIO+Prep Guide知识点详解-网络和远程通信部分,

    1.Firewalls防火墙
    1.防火墙用于不同的网络之间限制访问。大多数公司使用防火墙在因特网和内部网之间加限制。他们也可以在子网之间使用防火墙。
    2.防火墙装置支持和增强公司的网络安全策略。一个机构的安全策略通过限制和接受行动来提供高水平的指示。防火墙提供了颗粒度更高的更有用的安全策略。指示可以访问哪些服务、允许哪些IP地址范围、端口。防火墙被称为网络的“chock point”.因为所有的通讯必须经过它接受检查和限制。
    3.防火墙可以是路由器,服务器,特定的硬件设备,监控流经它的数据包,过滤掉不符合安全策略要求的数据包。可以discard包,repackage,重定向,这些依靠防火墙的配置和安全策略.基于源/目的地址和端口,并通过服务,数据包类型,协议类型,报头信息,序列号等过滤数据包。可以使用特定的功能和参数来识别和访问限制。
    4.许多时候,公司构建防火墙,建设DMZ非军事区 demilitarized zone.DMZ. DMZ是一个位于受保护和不受保护网络之间的网段上,提供了一个缓冲区。DMZ通常安装两个防火墙,DMZ之中通常含有web,mail,DNS服务器;这些服务器必须是得到安全加固的。许多DMZs可能安装有 IDS传感器监听恶意可以的行为。
    5.防火墙类型很多,因为每一个不同的环境的安全需求不一样,防火墙发展成为复杂度和功能性强的工具。
    6.防火墙工具有以下几种类型:
    1)packet filtering
    2)stateful
    3)proxy
    4)Dynamic packet filtering
    5)kernel proxy
    7.我们将研究三种主要类型的防护墙架构:
    1)screened host
    2)dual-home
    3)screened subnet
    然后我们将研究honeypot

    (一)包过滤防火墙 packet filtering-1代
    1.使用ACLs来控制数据出入。ACLs are lines of texts,称为规则。ACLs适用于防火墙,防火墙处理所有流经它的数据包,每一次防火墙收到一个包,将把包报头的信息与每行ACLs进行比较。
    2.过滤基于的是网络层信息,这意味着防火墙看不到数据包本身,只是基于header报头信息判断。大多数路由器使用ACLs执行防火墙功能,使用路由表执行的是路由决定;包过滤只是看数据包报头信息,不依赖应用,比不上代理防火墙.包过滤也不跟踪连接状态。
    3.包过滤防火墙的缺点:

    CISSP一次性通过的牛人在备考CISSP考试的时候根据AIO 第四版英文和Prep Guide英文版整理的读书笔记,是CISSP资格认证考试复习所用材料的精华,适合前3个月备考复习使用。是极其有价值的复习资料。

  • CISSP一次性考试通过者最后一轮冲刺复习资料第一部分

    CISSP一次性考试通过者最后一轮冲刺复习资料第一部分

    CISSP一次性考试通过者整理的备考资料-最后一轮冲刺复习8月28日~8月31日

    今年9月12日一次性考试通过,抽出3个月时间复习了相关资料,现在发布自己根据AIO EN 4th和prep guide整理的复习资料。

    最后一轮复习看的(大约15天)

    包含BCP、物理学、运行安全等内容。

    精炼资料:

    1.business case 需要呈现来获得support,通过解释以下
    regulatory and legal requirements
    exposing vulnerabilities
    providing solutions
    2.DRP和BCP都应该纳入正式的business decision-making procedures
    3.detrimental有害的
    4.BCP 计划的test

    5.BCP更多关注的是A可用性,而DRP更多关注的是C机密性和I完整性
    6.BCP计划
    开发BCP statement,policy / project iniation(goal,scope,support)
    BIA
    现有的控制
    开发recovery strategies
    开发BCP
    Test,drill,training
    Maintain the plan