分类： 信息系统安全专家（CISSP）认证资格考试

CISSP考试一次性通过-AIO+Prep Guide知识点详解-访问控制

CISSP考试一次性通过-AIO+Prep Guide知识点详解-访问控制部分，

一.生物学中的两种错误类型：
Type I error（错误拒绝率false rejection rate）:当生物测定系统阻止了一个已获得授权的用户
TYPE II error（错误接受率false acceptance rate）:系统接受了本应被拒绝的冒充者（impostor）

我们评价不同的生物测定系统时常用的一个参数是交叉错误率CER (crossover error rate)。这个比率指的是一个系统中的两种类型错误相同时的比率。CER越低，系统的准确性就越高。
CER通常也称为相同错误率EER equal error rate

二.一次性密码
同步和异步
同步：相同密钥用于加解密
1)基于时间，时钟同步 key 加密时间生成密码，密码输入被解密，比较时间
2)基于事件：手动触发口令装置的按键

异步；使用异步口令生成方法的口令装置使用了一套质询/应答（challenge/response）方式来认证。

CISSP一次性通过的牛人在备考CISSP考试的时候根据AIO 第四版英文和Prep Guide英文版整理的读书笔记，是CISSP资格认证考试复习所用材料的精华，适合前3个月备考复习使用。是极其有价值的复习资料。

CISSP考试一次性通过-AIO+Prep Guide知识点详解-法律道德

CISSP考试一次性通过-AIO+Prep Guide知识点详解-法律道德部分，

一.ISC组织的道德法典 Code of Ethics 如果一个CISSP故意破坏这个法典，那么将会被业者委员会检查是否收回证书
公司应该有一个计算机和业务道德的指引,可以是雇员手册,

二.计算机道德机构的10条计算机道德戒律commandments
1.不应使用计算机伤害别人
2.不应干扰他人的计算机工作
3.不应snoop窥探他人的计算机文件
4.不应使用计算机来盗窃
5.不应使用计算机来bear false witness 做伪证
6.不应不花钱就使用别人的产权软件
7.不应未经允许使用别人的计算机资源
8,不应不恰当使用他人的知识产出
9.应该考虑自己设计开发的程序的社会后果
10.应该总是采用考虑和尊重他人意愿的方式使用计算机

三.internet architecture board IAB的因特网道德ethic and internet
是一个用于因特网涉及,开发,管理的合作委员会
IAB认为以下是不道德的
1.故意获取对因特网资源的非授权访问
2.干扰因特网的正常使用
3.故意浪费资源
4.破坏计算机的信息的完整性
5.入侵别人隐私
6.采取负面的方法进行因特网范围内的试验

CISSP一次性通过的牛人在备考CISSP考试的时候根据AIO 第四版英文和Prep Guide英文版整理的读书笔记，是CISSP资格认证考试复习所用材料的精华，适合前3个月备考复习使用。是极其有价值的复习资料。

CISSP考试一次性通过-AIO+Prep Guide知识点详解-安全架构

CISSP考试一次性通过-AIO+Prep Guide知识点详解-安全架构部分，

1.C I A 可以在公司的不同地方执行。例如公司可以保存客户信用卡信息到一个很多用户可以访问的数据库中，这些信息要求得到合理保护，需要经过很多的考虑。同样的问题在建立OS时同样被提及。安全机制可以设置在硬件、kernel、OS、services、program层。如果设置在硬件层，将会提供一个广范围的保护，因为提供了所有工作在物理层上的组件的安全基准。如果保护机制接近于用户，安全应该是更为面向细节和关注细节。
2.无论安全机制设置在OS基础架构的哪个层次，安全机制越复杂，其提供的保证度就越低。因为越复杂的机制需要使用者的理解程度更高。而低复杂度的机制在其功能性上提供不足。所以要在功能性和安全性之间要做平衡。
3.一旦设计者决定了如何关注安全(users、operation、data),设置在哪一层(hardware、kernel、OS、services、program),每个机制的复杂度，他们需要建立和整合机制到整个的系统架构中。
4.首先设计团队需要判断哪些系统机制设置在ring 0，然后判断这些不同的代码模块如何在安全方式下工作。要信任一个机制，需要精确和安全方式下执行机制，不能负面影响其它可信或者不可信的机制。

一. defined subsets of subjects and objects定义不同的主体和对象子集
1.不是所有的组件都是可信的，不是所有的组件都处于可信计算基TCB中，TCB是计算机系统中所有保护机制的结合。TCB包括hardware、software、firmware.这些是TCB的一部分，因为系统确认这些组件会加强安全策略而不会破坏它。
2.TCB中的组件应该识别并定义他们可接受的能力。例如一个不需要高级别可信的系统可能允许所有的认证用户访问和更改计算机中的所有文件。主体和对象的子集很大，而且关系松散。要求更高可信级别的系统可以设置只允许两个主体访问所有的计算机系统文件，允许一个用户更改文件。 subset更小，而执行的规则更为严格和细化。
3.如果开发者想要开发一个满足低保证度的系统，那么TCB中的成分就不是那么重要了，因为系统本身不提供一个更高的安全性。然而如果想要开发一个高安全保证的系统，那么需要确保TCB中所有的组件正当执行任务。TCB组件需要实施严格的规则限制主客体之间的交互。需要识别，审计这些组件。

CISSP一次性通过的牛人在备考CISSP考试的时候根据AIO 第四版英文和Prep Guide英文版整理的读书笔记，是CISSP资格认证考试复习所用材料的精华，适合前3个月备考复习使用。是极其有价值的复习资料。

CISSP考试一次性通过-AIO+Prep Guide知识点详解-安全管理

CISSP考试一次性通过-AIO+Prep Guide知识点详解-安全管理部分，

雇员应该意识到加固信息安全以及保护公司信息资产的必要性，操作员应该得到培训以安全的完成他们的工作；安全从业者应该得到培训以执行和维护必要的安全控制。

一.awareness意识
1.general collective awareness
应该简单直接明确，不要包含太多专业术语
形式：
1）live/interface presentations：讲座，视频，计算机基础培训
2）publishing/distribution：posters，company newsletters，bulletins，intranet
3）incentives：对安全相关的事务的奖励和认可
4）reminders：登陆警示，marketing paraphernalia

必须保持安全提醒的新鲜感

二.training and education 培训和教育

CISSP一次性通过的牛人在备考CISSP考试的时候根据AIO 第四版英文和Prep Guide英文版整理的读书笔记，是CISSP资格认证考试复习所用材料的精华，适合前3个月备考复习使用。

CISSP考试一次性通过-AIO+Prep Guide知识点详解-BCP、DRP

CISSP考试一次性通过-AIO+Prep Guide知识点详解-BCP、DRP部分，一. BCP:business planning in terms of project scope and planning, business impact analysis, recovery strategies, recovery plan development,and implementation.

二. DRP:The candidate should understand disaster recovery in terms of recovery plan development, implementation and Restoration.”

三.BCP的过程包括
1.Scope and plan initiation
2.Business Impact Assessment (BIA)
3.Business continuity plan development
4.Plan Approval and implementation

四.DRP包括如下过程
1.Disaster Recovery Planning (DRP) processes
2.Testing the disaster recovery plan
3.Disaster recovery procedures

五.BCP的主要目的是保证Critical business functions在紧急情况下能够继续运行;DRP涉及为灾难做准备,也涉及在灾难发生时和发生后所要遵循的流程.

CISSP一次性通过的牛人在备考CISSP考试的时候根据AIO 第四版英文和Prep Guide英文版整理的读书笔记，是CISSP资格认证考试复习所用材料的精华，适合前3个月备考复习使用。

CISSP一次性考试通过者最后一轮冲刺复习资料第三部分

CISSP一次性考试通过者整理的备考资料-最后一轮冲刺复习9月5日～9月11日

今年9月12日一次性考试通过，抽出3个月时间复习了相关资料，现在发布自己根据AIO EN 4th和prep guide整理的复习资料。

最后一轮复习看的（大约15天）

CISSP一次性考试通过者最后一轮冲刺复习资料第三部分资料下载，包含安全架构、加密学、网络安全、应用安全等内容。

难点：

1.多数数据库有DDL，DML，QL和报表生成器.
2.每个object 都将自己数据和进程封装起来，提供了data hiding ，不同的object使用message通信标准接口API，对象所能完成的任务是method
3.数据库的安全问题时aggregation,inference
4.对象的问题是cohension 内聚和coupling耦合，高cohesion 低coupling是理想的状态
5.ORB object request brokers使得在异构和分布式的环境中管理不同对象的通信
6.CORBA使得不同平台，不同应用，环境中的对象进行通信
7.COM提供在本地系统上的不同对象之间的通信，DCOM提供的是COM相同的interface，使得分布和网络环境中的组件通信
8.ODBC使得不同的应用通过必要的驱动并通过驱动传递数据来和不同类型的数据库进行交互
9.OLE使得一个程序能够call另外的程序，或者使得一段数据插入到另一个程序或文档中
10.DDE通过提供一个IPC机制，使得应用工作在C/S模型下

11.贝叶斯技术用于分析垃圾邮件中，相关字眼出现的频率来作出判断
12.攻击方式：smurf利用的是ICMP，fraggle利用的是UDP，两者利用的还有一个大型的网络
13.Normalization is an important part of database design that ensures that attributes in a table depend only on the primary key.
14.A dispersed database involves interconnected and related platforms running the same software and using the same data, one of which is centralized

CISSP一次性考试通过者最后一轮冲刺复习资料第二部分

CISSP一次性考试通过者整理的备考资料-最后一轮冲刺复习9月1日～9月4日

今年9月12日一次性考试通过，抽出3个月时间复习了相关资料，现在发布自己根据AIO EN 4th和prep guide整理的复习资料。

最后一轮复习看的（大约15天）

CISSP一次性考试通过者最后一轮冲刺复习资料第二部分资料下载，包含访问控制、法律道德调查、安全管理等内容。

一.计算机犯罪分为两种： crime committed against the computer / crimes using the computer

1.DoS DDoS
2.密码失窃
3.网络入侵
4.emanation eavasdropping 发散信号窃听 电脑终端发散的radio frequency RF信号。美国政府建立一个tempest工程来解决这个问题，要求处理敏感信息的计算机采用shield屏蔽以及其他的发散减少技术。
5.社会工程：
6.illegal content of material 例如 p -orno-graphy
7.fraud欺诈
8.software piracy 软件盗版
9.Dumpster Diving 从垃圾中得到机密信息
10.malicious code恶意代码：病毒、木马、蠕虫
11.spoofing of IP地址，伪造IP地址
12.information warfare 信息战，攻击信息基础设施以获得信息上的领先
13.Espionage间谍
14.对信息的更改或者破坏
15.使用因特网上可用的攻击脚本
16.Masquerading伪造 伪造成一个高权限用户获得非授权访问
17.embezzlement 挪用
18.Data-Diddling ：篡改数据
19.terrorism恐怖主义。

新技术的快速发展通常超过法律更新速度。另外因特网的发展，造成的跨国界网络犯罪也没有统一标准界定。

二.Law

有很多类型的法律系统：common law， civil law ，islamic和其他宗教法律。 common law主要用于：美国，英国，澳洲，加拿大，civil law用于欧洲