信息安全知识竞赛培训_基础理论.ppt

,信息安全理论基础知识培训,目录,计算机网络及系统安全理论知识 计算机犯罪学基础理论知识 CISSP基础理论知识 通用安全准则（CC）基础知识 Cobit基础知识,计算机网络及系统安全理论知识,网络及系统安全理论知识 信息安全加密技术 常见网络攻击与防范技术,OSI 七层参考模型,OSI 七层参考模型,Application,OSI模型与TCP/IP协议族对应,OSI模型与TCP/IP协议族对应,传输层,数据连路层,网络层,物理层,会话层,表示层,应用层,网络安全基础知识,IANA国际组织使用特定的端口来标识在TCP上运行的标准服务，包括FTP、HTTP、TELNET、SMTP等，这些端口号码范围为0-1023。 ftp（文件传输）协议有两种运行模式，分别是： Port模式和Passive模式。 统一威胁管理（UTM）是将各种安全防护功能集成在一起的安全设备。 为了解决日益紧张的公网IP地址资源紧缺的状况，通常使用网络地址转化（NAT）和端口地址转化（PAT）来节省公网IP的使用数量。 通常使用sniffer软件来对网络数据流进行协议分析、内容解析等，sniffer的工作是基于网卡处于混杂模式。 垃圾邮件一般包括商业广告、政治邮件、病毒邮件、恶意欺诈邮件（网络钓鱼）等几个方面。 ping、traceroute等命令是网络管理员经常使用的，二者都使用了TCP/IP协议栈中的icmp协议来实现各种功能。,TCP协议安全问题,TCP协议安全问题： 明文传输易受Sniffer的捕获 复杂的协议相对缺少内在的验证机制 TCP采用简单确认机制有可能被冒用 ISN变化具有一定的规律性 TCP可能被用来做DOS/DDOS攻击,信息安全加密技术,网络及系统安全理论知识 信息安全加密技术 常见网络攻击与防范技术,加密所能提供的四种服务,加密所能提供的四种服务 数据的保密性 数据的完整性 身份认证 不可否认性,加密类型和强度,加密的类型 非对称加密：RSA、DSA、Diffie-Hellman 对称加密：DES、3DES、Blowfish HASH安全加密：MD5、SHA 决定加密强度的三个重要因素 加密算法的强度 加密密钥的长度 密钥的保密性,HASH安全加密算法,HASH安全加密将不同的信息转化成杂乱的128位编码 不像另外两种加密，对原始数据没有改动 唯一性 单向性（One-way Encryption） 用于校验数据的完整性 用于数字签名 HASH安全加密包括以下两种类型： MD2、MD4及MD5(现广为使用) 使用128位的hash值 SHA(安全HASH算法) 由NIST和NSA开发并用于美国政府 使用160位hash值 速度与MD5相比要慢25%，但由于信息摘要比MD5长25%，因此更安全一些,数字签名,数字签名定义： 在信息通信过程中，接收方能对公正的第三方证明其收到的数据内容是真实的，而且确实是由那个发送方发过来的。 数字签名功能： 发送方事后不能抵赖对报文的签名 接收者能够核实发送方对报文的签名 任何人不能伪造对报文的签名 保证数据的完整性，防止被第三方恶意篡改 对数据和信息的来源进行保证，确保发送方的身份 数字签名的速度可以满足应用需求,计算机网络及系统安全理论知识,网络及系统安全理论知识 信息安全加密技术 常见网络攻击与防范技术,常见网络攻击与防范技术,常见的网络攻击方法 字典攻击 拒绝服务攻击(DOS/DDOS) 会话劫持攻击 网络钓鱼 病毒攻击 SQL会话注入 缓存溢出 ARP地址欺骗,发动一次网络攻击流程,发动一次网络攻击的流程是： 远程主机漏洞扫描 获取访问权限 本地权限提升 种植后门程序 清除日志,字典攻击,字典攻击介绍： 侵入者利用程序尝试字典中的单词的每种可能。字典攻击可以利用重复的登陆或者收集加密的口令并且试图同加密后的字典中单词匹配。侵入者通常利用一个英语字典或其他语言的字典。他们也使用附加的类字典数据库，比如名字和常用的口令。,陷阱和蜜罐介绍,陷阱和蜜罐相同和不同之处： 相同之处：“蜜罐”和“陷阱”都是一种试图捕捉黑客攻击行为的原始记录。两者的实现原理都是将没有安装系统安全补丁的主机直接挂在互联网上，并且开启各种常见的网络服务：WEB、SMTP、POP3、TELNET、FTP等。 不同之处：“蜜罐”是合理、合法的，一般有明确的警示信息禁止非法登录；而“陷阱”是不合理、不合法的，一般有暗示性或明确的提示信息可以登录系统。,网络钓鱼,网络钓鱼介绍： 也叫Phishing，本质上就是一种电子邮件欺诈。电子邮件诈骗者会向没有防范的用户发送一些貌似来自银行或零售商的电子邮件，声称收件者的账户需要更新或有新产品待售，目的在于钓取（fishing）客户的账户资料或信用卡号码。 工作原理： 网络钓鱼，一般是通过发送电子邮件的方式进行。电子邮件中会提供一个与银行或购物网站极为相似的链接。收到此类邮件的用户一旦点击此链接，紧接着页面会提示用户继续输入自己的账户信息。如果用户填写了此类信息，这些信息将最终落入诈骗者手中。,僵尸网络,僵尸网络介绍： (英文名称叫BotNet)，是互联网上受到黑客集中控制的一群计算机，往往被黑客用来发起大规模的网络攻击，如分布式拒绝服务攻击(DDoS)、海量垃圾邮件等，同时黑客控制的这些计算机所保存的信息也都可被黑客随意“取用”。 僵尸网络工作原理： 首先利用网络蠕虫病毒“bot”不断感染Internet大量的计算机。当得到大量的中毒计算机后，黑客利用自己的计算机与Internet上的控制服务器（Control Server）通过IRC（因特网中继聊天）协议进行远程通信和控制，远程操控被植入“bot”病毒的“僵尸计算机”。,ARP地址欺骗,ARP地址欺骗定义： ARP地址欺骗是一种常见的网络安全事件，其原理是将某个网段中的IP地址和MAC地址对应关系进行篡改，从而导致网段中的数据包不能正常到达正确的目的。,TCP/IP服务攻击原理,现将TCP/IP攻击的常用原理介绍如下： 源地址欺骗（Source Address Spoofing）、IP欺骗（IP Spoofing）和DNS欺骗（DNS Spoofing）. 其基本原理：是利用IP地址并不是出厂的时候与MAC固定在一起的，攻击者通过自封包和修改网络节点的IP地址，冒充某个可信节点的IP地址，进行攻击。主要有三种手法： 瘫痪真正拥有IP的可信主机，伪装可信主机攻击服务器； 中间人攻击； DNS欺骗（DNS Spoofing）和“会话劫持”（Session Hijack）；,TCP/IP服务攻击原理,源路由选择欺骗（Source Routing Spoofing）。 原理：利用IP数据包中的一个选项-IP Source Routing来指定路由，利用可信用户对服务器进行攻击，特别是基于UDP协议的由于其是面向非连接的，更容易被利用来攻击； 路由选择信息协议攻击（RIP Attacks）。 原理：攻击者在网上发布假的路由信息，再通过ICMP重定向来欺骗服务器路由器和主机，将正常的路由器标志为失效，从而达到攻击的目的。,TCP/IP服务攻击原理,TCP序列号欺骗和攻击（TCP Sequence Number Spoofing and Attack）,基本有三种： 伪造TCP序列号，构造一个伪装的TCP封包，对网络上可信主机进行攻击； SYN攻击（SYN Attack）。这类攻击手法花样很多，蔚为大观。但是其原理基本一致，让TCP协议无法完成三次握手协议; Teardrop攻击(Teardrop Attack)和Land攻击(Land Attack)。原理：利用系统接收IP数据包，对数据包长度和偏移不严格的漏洞进行的。,缓存溢出的解决方法,缓存溢出是一种常见的、威胁严重的一种网络攻击行为。缓存溢出主要原因是：黑客是利用系统代码编写的漏洞，采用精心编写的特殊代码输入到系统中实现的。 要最大限度的避免缓存溢出，应该采取以下措施： 对系统代码进行严格测试，最大限度发现潜在的安全漏洞 对系统的输入参数的数据类型、输入位数进行严格检查 对内存执行边界进行严格的保护，避免一个进程从自己的内存地址空间“跳转”到另一个进程的内存地址空间,DOS攻击的解决方法,对于DOS网络攻击，可以采用以下措施来缓解被攻击主机系统： 缩短SYN Timeout时间和设置SYN Cookie 在系统之前增加负载均衡设备 在防火墙上设置ACL或黑洞路由,计算机网络及系统安全理论知识 计算机犯罪学基础理论知识 CISSP基础理论知识 通用安全准则（CC）基础知识 Cobit基础知识,计算机犯罪概念,计算机犯罪概念： 是犯罪分子利用计算机或网络上的技术、管理方面的漏洞，通过计算机或网络对其他用户或单位的计算机或网络进行非授权访问或恶意攻击，造成受害者在经济、名誉或心理上等方面的损失的犯罪行为。缩短SYN Timeout时间和设置SYN Cookie 目前我国在计算机犯罪方面的法律、法规不太健全，对于个别计算机犯罪量刑处罚不明朗。 随着立法机构、执法机构及其他信息安全组织机构的通力合作，社会各界的信息安全意识逐渐增强，对计算机犯罪行为的打击力度也在持续加强。,计算机犯罪分析： 动机：解释who、why问题 机会：解释when、where问题 手段：解释how问题,计算机犯罪类型,计算机犯罪类型： IP地址欺骗 WEB电子欺骗 邮件滥发 SYN拒绝服务 路由欺骗 Sniffer欺骗 Email欺骗,计算机犯罪著名案例,计算机犯罪著名案例： 布谷鸟彩蛋：在上世纪80年度末，一个伯克利大学的学生为了账户的丢失75美分而跟踪一个黑客，设置了第一个网络蜜罐，并且在电话公司人员的配合下抓住了该黑客，是为前苏联克格勃工作的电脑黑客。 Kevin Mitnick：是最著名的一个黑客，曾经入侵NOKIA、摩托罗拉、SUN等公司的文件服务器，对电话系统进行破坏等，是FBI最想抓住的计算机黑客之一。被判刑5年。 Chao计算机俱乐部：是一个德国的黑客组织。试图检验各个大公司、机构的信息安全防御性能，并且列出如何复制ATM卡信息、用特洛伊木马监控银行网络交易系统行为等。 Cult of the dead cow：是一个专门开发各种黑客工具的组织，其中有远程连接Windows95、Windows98的黑客工具：监控键盘输入、屏幕显示、删除程序和启动进程等。 飞客：这不是一个黑客组织，而是对电话黑客的统称。最早的针对电话的攻击是在1960年，但是贝尔公司公布了blue Boxing（利用2600HZ频率可以拨打免费长途电话）；后来有red Boxing（模拟投币声音来免费拨打本地、长途电话）；Black Boxing（调节线路电压免费打电话）。随着数字电话系统的应用，这种飞客的攻击行为没有用武之地啦。,计算机犯罪取证、证据保存,计算机犯罪取证、证据保存： 重启系统、浏览文件等都可能破坏证据，有时需要将内存内容保存到文件中，以便收集更精确的证据（需要特殊工具支持）。 将原始数据进行备份，对备份证据进行适当的分析和调查。 由于计算机证据可能被影响的因素非常多，所以需要非常恰当的证据收集流程，保存关于证据的保管链是非常重要的一个环节。 计算机日志如果做为正常业务维护的工作内容的一部分而被记录，可以被法庭认为是证据。 每个证据都要标记日期、时间、最初收集人、事件编号（如果有的话）。 计算机犯罪证据保管链： 保管链的完整与否，直接决定法庭能否接受该证据。 需要采取措施保障计算机日志、其他证据没有被破坏。这也是保护保管链重要的原因。,计算机犯罪取证技术要点,计算机犯罪取证技术要点： 物理证据的获取是全部取证工作的基础。获取物理证据是最重要的工作，保证原始数据不受任何破坏。无论在任何情况下，调查者都应牢记5点： 不要改变原始记录； 不要在作为证据的计算机上执行无关的操作； 不要给犯罪者销毁证据的机会； 详细记录所有的取证活动； 妥善保存得到的物证。如果被入侵的计算机处于工作状态，取证人员应该设法保存尽可能多的犯罪信息。 通常的做法是将要获取的数据包括从内存里获取易灭失数据和从硬盘获取等相对稳定数据，保证获取的顺序为先内存后硬盘。根据所用操作系统的不同可以使用的内存检查命令对内存里易灭失数据获取，力求不要对硬盘进行任何读写操作，以免更改数据原始性。,计算机犯罪调查小组,一般情况下，在发生计算机犯罪安全事件后，应尽快成立计算机犯罪调查小组，包括： 调查总监 询问小组 素描及影像小组 物理搜查小组 逮捕小组 技术证据没收及笔录小组,计算机网络及系统安全理论知识 计算机犯罪学基础理论知识 CISSP基础理论知识 通用安全准则（CC）基础知识 Cobit基础知识,CISSP10个公共知识体系（CBK）,CISSP考试覆盖的10个CBK包括以下内容 ： 访问控制系统和方法 通信和网络安全 安全管理准则 应用和系统开发安全 密码学 安全体系结构和模型 操作安全 业务连续性计划（BCP）和空难性恢复计划（DRP） 法律，调查研究和道德规范 物理安全,CISSP10个公共知识体系（CBK）,公共知识体系（CBK）介绍 ： CBK委员会由（ISC）2TM执行董事会，对定期为信息安全专业的知识体系进行更新。委员会成员从相关领域中最有经验的和知名的领军人物中选取。委员会鉴定该知识体的边界和主题领域。在决定CBK中应包含什么内容时，决定CBK包含什么委员会的依据是依赖于知识的深度和广度以及中委员对知识的期望。就是，如果委员们认同其它安全专业人员的信息安全领域的某些知识，同时并不认为这些知识不在此领域内，则这些知识就确定为CBK的一部分。但是，如果通常一些特殊的知识认为不在信息安全专业内，则它的知识不包含在CBK内。,访问控制系统方法（CBK-1）,访问控制系统方法（CBK-1） ： 访问控制管理 帐户管理 帐户，登录和日志管理日记 访问权利和限制许可 访问控制技术 自由访问控制(Discretionary Access Control) 强制访问控制：一般用于军事机构、安全部门 基于规则的访问控制(Rule-based Access Control) 基于角色的访问控制：用于人员流动较大的企业或组织 访问控制列表(Access Control Lists),访问控制系统方法(CBK-1),鉴定和鉴别技术 一般是基于知道什么、是什么、有什么来进行访问主体的鉴别，分别是： 基于知识（口令字，个人标识码-PINs，短语），其中口令短语passphrase是由virtual password演进而来 基于特征(生物测定学，行为)。其中生物认证系统中有1类错误（拒绝授权人）和2类错误（接受非授权人），交叉错误率（cross error rating）是第1类错误和第2类错误的交叉数值 基于令牌(智能卡，密钥卡) 双因素认证技术，强认证技术,通信和网络安全(CBK-2),通信和网络安全（CBK-2） ： 概述： 电信和网络安全领域包含结构，传输方法，传输格式和用于为个人及公共通信网络媒体的传输提供完整性、可用性、鉴别和机密性安全(Security Measure)。 应试者应弄清楚通信和网络安全，它涉及语音通信；数据通信包括本地，广域和远程访问；Internet/Intranet/Extranet包括防火墙，路由和TCP/IP；以及护侦通信安全管理和技术包括预防，检测和纠正手段。 主要知识域： ISO/OSI7层模型 通信和网络安全 物理介质特征(如，光纤/同轴电缆/双绞线) 网络拓朴(例如，星型/总线/环型) IPSec鉴别和机密性 TCP/IP特性和弱点 局域网、广域网 远程访问/远程办公(Telecommuting)技术 安全远程过程调用（Secure Remote Procedure call）(S-RPC) RADIUS/TACACS,通信和网络安全(CBK-2),主要知识域： Internet/Intranet/Extranet 防火墙 路由器 交换机 网关(Gateways) 代理(Proxies) 协议：TCP/IP、DUP、ICMP、SSL、CHAP/PAP、l2TP等 防护、纠错及其他安全技术：隧道、VPN、NAT/PAT、滑动窗口、向前纠错、续传控制等 网络攻击和对策 ARP 强力攻击 蠕虫(worms) 扩散(flooding) 窃听(eavesdropping) (匿名)(sniffers) Spamming PBX欺骗和滥用（PBX Fraud and Abuse）,安全管理实践(CBK-3),安全管理实践（CBK-3）： 概要： 安全管理承担组织信息资产的识别，以及那些发展的鉴定，文档和政策，标准，过程和方针的化的应用以确保机密性，完整性和可用性。使用管理工具(如数据分类，风险评估和风险人析)来识别脉络，分资产，评估脆弱性以确保有效的安全控制应用。 风险管理是对不确定事件和风险相关损失的鉴定，度量，控制和最小化的损失。它包括所有的安全检查，风险分析；安全措施的选择和评估，费用收获分析，管理决策安全的选择和评估，定，安全措施安全应用和有效性的检查。 主要知识域： 安全管理概念和原则 机密性 完整性 可用性 改变控制/管理(Change Control/Management) 硬件设置 系统和应用软件 改变控制过程,安全管理实践(CBK-3),安全体系建设关键成功因素： 高层领导的支持 自上而下的方法 风险管理 威胁和弱点 资产赋值和评估 风险评估工具和技术 风险分析方法 定性风险分析：头脑风暴、情景串联、人员访谈、delphi（允许人员匿名发表意见的一种定性风险分析方法 ） 定量风险分析 单一事件损失(Single Occurrence Loss) 年度损失期望计算(Annual Loss Expectancy (ALE) Calculations) 安全对策选择 风险降低/转嫁/接受,安全管理实践(CBK-3),安全意识训练 安全管理计划 人员安全管理 背景检查/安全调查(Background Checks/Security Clearances) 行业许可佣(Employment Agreement) 签署保密协议 岗位调整 解雇用和解雇实践(Hiring and Termination Practices) 职业描述 任务和职责 职责分离(Separation of Duties and Responsibilities) 岗位轮换(Job Rotations),应用和系统开发安全(CBK-4),应用和系统开发安全（CBK-4） 概述 应用和系统开发安全的控制，以及一些控制，包含在系统和应用软件和开发中使用中步骤。应用涉及代理(agents)，小程序(applets)，软件，数据库，数据集合，以及基于知识的系统。这些应用可能在分布式或集中环境中使用。 主要知识域 系统开发生存期 概念定义(Conceptual Definition) 功能需求确定(Functional Requirements Determination) 防护说明书开发(Protection Specifications Development) 设计检查 代码检查或排练 系统测试检查 鉴定(Certification) 认可接受(Accreditation) 维护,应用和系统开发安全(CBK-4),数据库和数据集合 集合(Aggregation) 数据发掘 推理(Inference) 多实例(Poly-instantiation) 多级安全 安全控制体系结构 过程隔离(Process Isolation) 硬件分割(Hardware Segmentation) 权限分离(Separation of Privilege) 数据隐藏 安全内核(Security Kernel) 参考记录(Reference Monitors),密码学(CBK-5),密码学（CBK-5） 概要： 密码学领域领重点放在伪装信息以确保它的完整性，机密性和可鉴别性的原理，手段和原理。 应试者应该了解密码学的基本概念；在应用和使用方面的公钥和私钥算法软件；算法构造，密钥分发和管理，以及攻击方法；数字签名的应用，构造和使用，它提供了电子交易的认证和涉及的当事人的抗抵赖性。 主要知识域： 安全加密两种算法 对称算法DES、3DES、AES、Browfish 、RC4、RC5、RC6等 非对称算法：diffie-hellman 、DSA、RSA、ECC、LUC等 安全加密其他用途 消息认证 数字签名,密码学(CBK-5),分组密码和流密码 流密码比分组密码消耗更多的处理能力，适合硬件执行；而分组加密适合软件执行。在流密码中，为了最大限度避免相同明文、key产生相同密码，引入了初始向量。（初始向量不被加密） 分组密码首先是将明文分成固定的块、组。然后将这些块分别输入到加密公式中，并且用key进行加密，最后生成密文块。而流密码是将明文连续按照bit位进行加密，形成密文流。（其中使用了keystream 产生器）。它与onetime pad加密方式类似，都是通过与明文长度相同的key逐个bit相互XOR操作，生成密文。,密码学(CBK-5),链路和端到端加密 链路加密：将数据链路上传输的信号进行安全加密，包括用户信息、数据包头和尾、路由信息等。一般是在链路层、物理层执行这种加密。需要整个链路的数据包经过的所有节点设备对加密的数据包进行解密、加密过程（需要读取路由信息）。 端到端加密：数据包的头和尾、路由信息等没有加密。一般是在应用层面，有更大的灵活性，用户可以选择加密哪些内容。安全加密其他用途 密钥管理原则 密钥不应该在加密设备之外以明文方式存储。 密钥的产生应该由软件或操作系统自动、后台完成，而不是由人工执行。 应该备份现有的密钥在安全的地方存储。（应用软件应该有恢复、备份密钥的功能） 密钥恢复时需要遵守的流程，并且需要多个人员共同完成密钥恢复。,安全体系模型(CBK-6),安全体系模型（CBK-6） 概述： 安全构架和模型这一领域包括安全(Secure)概念，原理，结构和用来设计，应用，监控，保护和操作系统，设备，网络，应用和用于加强各种级别的机密性，完整性和可用性的控制的标准。 应该了解在机密性，完整性，信息流，商务与政府需求范畴内的安全模型；公共标准，国际性的（ITSEC），美国国防部 (TCSEC)，和互联网（IETF IPSEC）范畴内的系统模型；硬件，软硬结合和软件范畴内的技术平台；防护，侦测和修正控制范畴内的系统安全技术。,安全体系模型(CBK-6),主要知识域： 安全策略：指导整个企业进行安全防护出发点：实体之间如何访问、防护范围、安全级别、可接受的风险程度等；安全策略是企业建立安全体系模型之前最先需要考虑和确定的部分。 安全模型：是支持和满足整个安全策略贯彻执行；安全模型是深度描述计算机系统如何贯彻执行安全策略的，是将策略进行落实； 安全基本属性（CIA三属性）：可用性、完整性、保密性，但是还有不可抵赖性、可信性等属性； 企业关心的安全问题：恰当的访问控制措施、基本的物理防护、邮件安全传输、敏感信息加密存储、数据输入的正确性、内部无意或有意的攻击、商业可持续性发展等；,安全体系模型(CBK-6),计算机结构： CPU：是计算机的大脑，有自己独特的硬件结构和指令集合（软件性质），该指令集合只有特定的操作系统才能驱动CPU进行工作。这就说明有的操作系统只能在intel上工作，而不能在motorola上工作； register寄存器是存储关键信息的，指导CPU下一步的工作。分为两种： 基本寄存器：存储变量和临时结果； 特殊寄存器：存储程序计数器、堆栈指针、程序状态字等信息； 控制单元：是用来协调各个进程、程序对CPU、内存资源的调用。这样可以实现“多任务同时处理”，实际上是CPU将其处理能力分为时间片，多个任务轮流调用CPU，实际上是每次只能处理一个单独任务。 系统总线bus：目前大部分的系统用的总线地址是32位（寻址空间是2的32次方4G），总线数据宽度一般是32位（并行传输数据是32bit）。 操作系统结构：操作系统是管理计算机各种资源（CPU/RAM/CD-ROM/IDE硬盘和I/O设备等）的一种管理软件，提供人机交互界面的平台。 进程隔离的几种方法： 对象封装 共享资源的时间复用 进程独立命名，每个进程的PID号不同 虚拟映射，每个进程都有一个独立的虚拟内存存储空间，互不干涉,安全体系模型(CBK-6),内存管理 给程序员体提供内存提取的级别（高速缓存、内存、硬盘）； 在有限的存储空间中提供给应用程序最优的执行能力； 保护存储在内存中的操作系统和进程。 CPU模式和保护环 CPU要在自身的安全性和提供给用户和应用程序的功能之间平衡 CPU有若干个环模式，这就要求操作系统与其相适应。一般的系统有4个保护环。03，其中0环级别最高、权限最大。 操作系统按照主体、客体的级别来判断是否发生访问关系。级别高的主体可以访问同级、低级的客体；相反则不能访问。 CPU首先判断进程的保护环级别，然后再让操作系统将其放置相应级别环内执行 。,运维安全(CBK-7),运维安全（CBK-7） 概述： 操作安全用于识别加在硬件，媒介(media)和有权限访问这些资源的操作员之上的控制。审计和监控是一些方法、工具和手段，这一切允许对确定关键元素的安全事件和跟随动作的识别，并将相关信息报告给合适的个人、小组和过程。 了解必须被保护的资源，必须被限制的特权，可用的控制机制，对访问的潜在滥用，适当的控制和好的实践准则。 主要知识域： 行政管理(Administrative Management) 工作需求/规范(Job Requirements/Specifications) 背景检查 权职分离 最小权限 工作轮换(Job Rotations) 强制休假 终止,运维安全(CBK-7),控制类型 指令控制(Directive Controls) 预防控制(Preventive Controls) 检测控制(Detective Controls) 修正控制(Corrective Controls) 恢复控制(Recovery Controls) 操作控制(Operations Controls) 资源保护 特权实体控制 变更控制管理 硬件控制 输入/输出控制 媒体控制 行政管理控制（权责分离，职能转变，最小权限等等） 可信靠恢复过程,运维安全(CBK-7),审计 法规依从性检查（Compliance Checks） 内部和外部 评审频率 应有的注意和应有的努力 审计跟踪(Audit Trails) 个人可计帐性(Individual Accountability) 事件重组(Reconstruction of events) 问题识别(入侵检测) 问题解决 报告的概念(内容，格式，结构，层次，escalation，频率) 报告机制 审计日志 监控、入侵检测、渗透测试等,业务连续性(CBK-8),业务连续性（CBK-8） 概述： 业务连续性计划(BCP)和灾难恢复计划(DRP)领域强调面对正常商务运行的主要破坏时的商务保护。BCP和DRP涉及对特定动作的准备，测试和更新，以保护关键商务过程不受主要系统和网络失败的影响。 业务连续性计划可消除商务活动的中断，可用于保护关键的商务活动不受主要失败和灾难的而影响。它处理自然的和人为的事件，以及如不迅速有效的处理而产生的后果。 业务影响评估确定一个独立的商务单位维持计算和电信服务中断时受影响的部分。这些影响可能是金融上的，在金钱方面的损失，或运作上，没有能力交付。 灾难恢复计划包括紧急响应，扩展的备份操作和灾难后恢复的规程，计算机的安装应经历计算机资源和物理设备部分的或全部的损失。灾难性恢复计划的首要目标是在退化的模式下(in a degraded mode)提供处理基本任务应用的能力，并在合理的时间内回到正常的操作模式下。,业务连续性(CBK-8),主要知识域： 业务连续性计划（BCP）成功关键因素 业务连续性计划目标(Contingency Planning Goals) 公司领导的支持 优先权陈述 组织责任陈述 紧急和定时陈述 风险评估 重要记录程序(Vital Record Program) 紧急响应方针 紧急响应规程 缓解(Mitigation) 准备 测试 业务连续性计划持续更新,业务连续性(CBK-8),恢复计划开发 紧急响应 如何开发紧急响应小组和过程 个人通知 如何处理个人布告和到管理层的通信 系统软件，应用软件和从备份中重构数据 从站点外的存储中移动文件 载入所有软件和可用更新的安装 数据，参数和支持文件的载入 外部通信 危机管理 实用程序 后勤和供应 文档,业务连续性(CBK-8),业务连续性的威胁因素 爆炸(Explosions) 地震(Earthquakes) 火灾(Fires) 洪水(Floods) 断电(Power Outages) 其它效用失败(Other utility failure) 暴风雨(Storms) 硬件/软件失败(Hardware/Software Failures) 恐怖袭击 测试中断(Testing Outages) 危险物溢出 国家政变、社会动乱、大规模罢工 雇员离开/unavailability,法律，调查和道德规范 (CBK-9),法律，调查和道德规范素（CBK-9） 概述 法律，调查和道德规范领域重点在计算机犯罪法律和规章；可用于确定是否已构成犯罪的调查手段和技术，收集证据的方法(如果有的话)，道德问题以及安全专业人员的行为准则。 事件处理提供了可对恶意技术威胁和进行快速有效响应的能力。 应试者应当了解决定是否构成计算机犯罪的方法；用于这些犯罪的法律；禁止特定类型计算机犯罪的法律；收集和保存计算机犯罪的证据的方法，调查方法和技术；以及在RFC1087和（ISC）2TM中用于解决道德难题的方法。 主要知识域 法律(Laws) 由于计算机是一个迅速发展的高科技行业，需要法律、法规的制订落后于技术的发展。这就可能造成计算机犯罪的举证、量刑的难度的增加。 另外，由于各个美国的各州之间、各个国家之间的法律的区别，也给人们提出一系列的挑战。,法律，调查和道德规范 (CBK-9),主要法律类型 刑法(Criminal Law) 民法(Civil Law) 行政法(Administrative Law) 计算机犯罪调查 证据 可接纳的证据类型 证据的收集和保存 证据链(Chains of Evidence) 调查过程和技术 目标 客体/主题 小组组成 辨论 秘密 审问(Interrogation) 内部和外部的机密性,法律，调查和道德规范 (CBK-9),道德规范 道德规范是和具体的社会形态、历史因素、个人的修养等息息相关，关于道德的定义始终存在争议。但是，其中有些道德规范还是被大部分民众所认同。 (SIC)2规定每个CISSP都需要严格遵守该组织定义的道德规范，否则可能被剥夺CISSP的资格。具体的道德规范在P3页有详细的叙述。 计算机道德协会：规定了10条应该和不应该的行为准则。 Internet体系结构研究委员会（IAB）：IAB包含两个重要的分支机构，分别是IETF（Internet网工程工作组）和IRTF（Internet网研究工作组）。该组织也制订了一系列的道德规范。它的主要职责是保护互联网正常运行，为所有使用互联网的用户提供一个良好的网络环境。 通用安全规则系统（GAISP）：该国际性的组织寻求来自各个系统的意见：信息安全专家、IT产品开发人员、网络专家、网络用户。试图建立一个通用的信息安全规则。 识别、保护和起诉 个人隐私 国际合作成果：八国集团、国际刑警组织、欧盟,物理安全 (CBK-10),物理安全（CBK-10） 概述 物理安全领域解决威胁，脆弱性，以及可用于物理地保护企业资源和敏感信息的对策。这些资源包括人，他们工作的设备，数据，装备，支持系统，媒质和他们应用的供给。 应试者应当了解选择安全站点的涉及的要素，它的设计和设置，用于对付未授权访问、设备和信息盗窃的措施，以及保护人，设备及其资源必需的环境和保险措施。 主要知识域 管理控制 规章、制度及流程 授权批准 技术控制 Smart/Dumb Cards 审计跟踪/访问日志 入侵检测 生物测定访问控制,物理安全 (CBK-10),物理控制 限制区/工作区(Restricted Areas/Work Areas) 陪同需求/访问者控制(Escort Requirements/Visitor Control) Fences,Gates,Turnstiles,Mantraps 安全门卫/狗(Security Guard/Dogs) 证章(Badging) 钥匙和组合锁 照明 站点选择，设备设计和设置(Site Selection, Facility Design, and Configuration) 活动探测器，传感器和警报 CCTV（有线电视）,物理安全 (CBK-10),机房安全防护措施 内部隔离：隔墙、天花板等是建筑物内的有效隔离措施，其中天花板是最大的安全隐患。 计算机和设备间，主要讨论关于数据中心的防护： 数据中心一般不在最高、最低层，便于在紧急时刻进入数据中心、避免洪水侵袭。 数据中心的进入认证机制要视具体情况而定，认证组合方式最长6个月时间需要变更或者在有员工了解认证机制并且离职。 在数据中心部署烟感器、温感器，并且在升高地板下部署水感器：检测地板下是否有水存在。 数据中心的温度、湿度都很重要。 建议机房湿度保持在45%-60%，过高的湿度容易引起电子器件腐蚀、过低的湿度容易产生静电。 数据中心的电力源最好和建筑物不是同一个系统的，最好有双路供电或者一个后备的电力供应装置UPS等。 数据中心的门应该是超外开启，避免撞击内部的设备。另外数据中心的门、墙体最好是透明的。 正向压力:一般是指空气、液体等是从机房向外流动，而不是向机房内流动。,物理安全 (CBK-10),内部支持系统 电源：电源对于现代企业越来越重要，对电源故障的防护一般有两种：发电机、UPS。 在线UPS能及时检测电源故障，立即开始供电；而备用UPS则要反应慢些。 判断企业对电力故障后续电力需要的程度很关键：只是需要一段时间电源以便正常关机呢，还是继续原来的工作。这直接决定了UPS和后备电源的配置问题、投资等。 电力事件：电磁干扰（EMI）一般是由于三项线中的火线、地线和零线中的不平衡产生的，一般可由闪电、发电机能诱使EMI产生；射频干扰（RFI），是由于电子元器件产生，电线、荧光灯（通过屏蔽电线可以避免）可能会诱使RFI产生。 一些关键的计算机（需要处理重要数据）不要和其他设备在一个区段使用电源，以免出现电力瞬间电压变低的危险。 浪涌：长时间的高电压，在很短时间内对电器可能造成很大的破坏。保护器可以将多余的电压引入地下，从而保护电器。 停电：需要UPS或发电机了。 电压过低：稳压器是一个不错的选择。,物理安全 (CBK-10),火灾探测、压制系统 火燃烧需要三个要素：燃料、氧气、温度。要理解各种灭火原料的工作原理，其中苏打是移除燃料；CO2是移除氧气；水是降低温度；Halon气体是阻断燃烧中的各个元素之间的化学反应。 火灾按照燃烧物的不同，分为4个级别：A级为普通火灾，使用水和泡沫；B级是石油及其他化学液体燃烧；C级是电子元器件燃烧，使用较多灭火方法气体（Halon）、CO2、干粉和泡沫；D级是金属燃烧，使用干粉灭火。 手工灭火器被放置的位置距离设备最远不超过50英尺，并且至少一季度检查一次。 消防喷水装置有四种： 干管式：用在气候较冷的地区，不会冻裂水管。 湿管式：可能会引起其他水患（天气冷冻裂水管、水管有裂缝等） 提前式：将干管、湿管结合起来。造价较高，一般用于数据处理中心。它还提供一段时间让人判断避免错误报警，如果是小火情可以人工扑灭。 泛滥式：同时打开所有喷水口，不能用于数据处理中心。 自然环境控制（CPTED）通过环境的设计来直接影响人的行为，降低犯罪的发生。包含三个内容： 自然访问控制：利用人行道、灯光、隔离柱（防止汽车炸弹袭击）、景观绿化等对人的行为进行引导； 自然监视：利用低灌木丛、高大显眼的入口等，对罪犯心里进行一种警告和威慑；（与自然监控向对应的是：组织方面（保安）、技术方面（闭路电视） 边界加强：利用篱笆、围墙、人行道、景观绿化、灯光等对公司的边界进行划分强化。达到给人一种公司边界线的提示，对潜在的犯罪分子一种警示、威慑的作用。,计算机网络及系统安全理论知识 计算机犯罪学基础理论知识 CISSP基础理论知识 通用安全准则（CC）基础知识 Cobit基础知识,通用安全准则（CC）,信息安全标准发展里程,CC概述,CC概述 内部支持系统 其中心内容是：当在PP（安全保护框架）和ST（安全目标）中描述TOE（评测对象）的安全要求时，应尽可能使用其与第二部分描述的安全功能组件和第三部分描述的安全保证组件相一致。国际标准化组织统一现有多种准则的努力结果； 1993年开始，1996年出V 1.0, 1998年出V 2.0，1999年6月正式成为国际标准，1999年12月ISO出版发行ISO/IEC 15408； 主要思想和框架取自TCSEC（著名的“橘皮书”，分为7个安全等级：D、C1、C2、B1、B2、B3、A ）、ITSEC和FC（美国联邦准则）； 充分突出“保护轮廓”，将评估过程分“功能”和“保证”两部分； 是目前最全面的评价准则 CC内容介绍 CC定义了一套能满足各种需求的IT安全准则，共