ciss p_studyguide中文版.doc

CertifiedInformationSystem SecurityProfessionalCISSP证书公共知识体系学习指南目 录如何使用本学习指南本指南针对那些对由CISSP认证感兴趣的安全实践人员开发。它分为三个部分，第一部分是介绍，本解释了CBK，它是CISSP认证考试的基础。此外，CBK也是对由（ISC）2TM提供的CBK复习研讨会（CKB Review Seminar）的基础，也是对想在谈论CISSP证书考试之前正式研究CBK的个体的基础。第二部分包括十个CBK领域。第一领域包含一个概要和主要知识范畴。第三部分提供来发展证书考试的参考目录。根据技术和方法的变化，此参考化同时，此参考的且并不试图包揽一切。本部分的目的提供参考类型的例子，它们也许对CISS 证书考试的准备工作有帮助，并且它不是由（ISC）2TM或它的执行委员会直接或间接发行这些参考的。公共知识体系（CBK）一般而言职业是特征化的，部分上讲，通过该职业的从业由一种人员共享的，的知识主体他们在工作中应用刻划。它通常是抽象的和稳定的。它独立于必要的技能，工作，行为或技术。CBK语言会专业人员之间的交流。这样一个CBK的存在是必要的，但并不足以证明有资格的专业人员。CBK委员会由（ISC）2TM执行董事会，对定期为信息安全专业的知识体系进行更新。委员会成员从相关领域中最有经验的和知名的领军人物中选取。委员会鉴定该知识体的边界和主题领域。在决定CBK中应包含什么内容时，决定CBK包含什么委员会的依据是依赖于知识的深度和广度以及中委员对知识的期望。就是，如果委员们认同其它安全专业人员的信息安全领域的某些知识，同时并不认为这些知识不在此领域内，则这些知识就确定为CBK的一部分。但是，如果通常一些特殊的知识认为不在信息安全专业内，则它的知识不包含在CBK内。当前版本的CBK已更新，由于美国政府的法律和政策删除了一些特殊的参考，增加了国际标准的参考。CBK被组织成十个领域和多个子领域。本学习指南有对CBK中的领域的一节每一，用来帮助应试者准备CISSP认证考试。这十个领域是：1. 访问控制系统和方法2. 电信和网络安全3. 安全管理准则4. 应用和系统开发安全5. 密码学6. 安全体系结构和模型7. 操作安全8. 业务连续性计划（BCP）和空难性恢复计划（DRP）9. 法律，调查研究和道德规范10. 物理安全公共知识体系领域1、 访问控制系统和方法概要访问控制是构成集合，它允许系统管理员行使指导和限制系统行为，使用和内容的影响。它允许管理设置用户可以做什么，他们可以访问什么资源和他们可以在系统上执行什么操作。应试者应该完全清楚访问控制的概念，方法和在企业计算机系统中核心的和非核心环境的应用。访问控制技术，侦测和纠正尺度应当研究用以明晰潜在风险，弱点和暴露。关键知识域l 责任l 访问控制技术自由访问控制(Discretionary Access Control)强制访问控制(Mandatory Access Control)(Lattice-based Access Control)基于规则的访问控制(Rule-based Access Control)基于角色的访问控制(Role-based Access Control)访问控制列表(Access Control Lists)l 访问控制管理帐户管理帐户，登录和日志管理日记(Journal Monitoring)访问权利和限制许可建立（认可）文件和数据拥有人，管理人和用户最小特权准则(Principle of Least Privilege)责任和义务分离(Segregation of Duties and Responsibilities)维护撤消l 访问控制模型Bell-LaPadulaBibaClark and Wilson无干扰模型(Non-interference Model)(State Machine Model)访问矩阵模型(Access Matrix Model)信息流动模型(Information Flow Model）l 鉴定和鉴别技术l 基于知识的口令，个人标识码(PINs)，短语l 口令l 选择l 管理l 控制l 基于特征(生物测定学，行为)l 令牌(token)l 门票(ticket)l 一次性口令l 基于令牌(智能卡，密钥卡)l 管理l 单点登录唯一签名(Single Sign On，SSO) l 访问控制方法和应用l 集中/远程鉴别访问控制l RADIUSl TACACSl 分散访问控制(Decentralized Access Control)l 领域l 信用l 文件和数据所有者和管理人地位l 攻击方法l 强力攻击(Brute Force)l (Denial of Service)l 字典攻击l 欺骗攻击（Spoofing）l 中间人攻击(Man-in-the-middle attacks)l 垃圾邮件(Spamming)l 嗅探(Sniffers)l Crackersl 监控l 侦察入侵l 入侵类型l 预防入侵(标识，鉴别)l 侦察入侵（数据提取，取样，认事，通行）l 攻击特征标识(Attack Signature Identification)l 入侵激活响应(Intrusion Reactive Response)l 不规则标识(Anomaly Identification)l 入侵响应(Intrusion Response)l 报警(Alarms)l 发信号(Signals)l (Audit Trails)检查入侵痕迹l 侵害报告(Violation Reports)l 纠正(Corrections)l 穿透测试(Penetration Testing)2、 电信和网络安全概述电信和网络安全领域包含结构，传输方法，传输格式和用于为个人及公共通信网络媒体的传输提供完整性、可用性、鉴别和机密性安全(Security Measure)。应试者应弄清楚通信和网络安全，它涉及语音通信；数据通信包括本地，广域和远程访问；Inernet/Intranet/Extranet包括防火墙，路由和TCP/IP；以及护侦通信安全管理和技术包括预防，检测和纠正手段。知识主要领域l ISO/OSIl 物理层l 数据链接层l 网络层l 传输层l 会话层l 表示层l 应用层l 通信和网络安全l 物理介质特征(如，光纤/同轴电缆/双绞线)l 网络拓朴(例如，星型/总线/环型)l IPSec鉴别和机密性l TCP/IP特性和弱点l 局域网l 广域网l 远程访问/远程办公(Telecommuting)技术l 安全远程过程调用（Secure Remote Procedure call）(S-RPC)l RADIUS/TACACS(Remote Access Dial-In User System/Terminal Access Control Access System)l 网络监控和Packet Sniffersl Internet/Intranet/Extranetl 防火墙l 路由器l 开关l 网关(Gateways)l 代理(Proxies)l 协议l Transmission Control Protocol/Internet Protocol(TCP/IP)l 网络层安全协议（IPSEC，SKIP，SWIPE）l 传输层安全协议（SSL）l 应用层安全协议（S/MIME，SSL，SET，PEM）l Challenge Handshake Authentication Protocol(CHAP)和Password Authentication Protocol(PAP)l 点到点协议(PPP)/串行线路互联网协议(SLIP)l 服务l HDLCl 帧中继l SDLCl ISDNl X25l 防护，侦测和纠正错误，以维护通过网络事务的完整性，可用性和机密性的通信安全技术l 隧道(Tunneling)l 虚拟私用网络(VPN)l 网络监控和Packet Sniffersl 网络地址翻译(Network Address Translation)l 透明度l 全部无用信息l 记录顺序检查(Record Sequence Checking)l 传输日志(Transmission Logging)l 传输错误更正(Transmission Error Correction)l 续传控制(Retransmission Controls)l EMAIL安全l (Facsimile Security)l 安全语音通信l 安全范围和如何安全政策到控制其范围(Security Boundaries and How to translate security policy to controls)l 网络攻击和对策l ARPl 强力攻击l 蠕虫(worms)l 扩散(flooding)l 窃听(eavesdropping)l (匿名)(sniffers)l Spammingl PBX欺骗和滥用（PBX Fraud and Abuse）3、 安全管理准则概要安全管理承担组织信息资产的识别，以及那些发展的鉴定，文档和政策，标准，过程和方针的化的应用以确保机密性，完整性和可用性。使用管理工具(如数据分类，风险评估和风险人析)来识别脉络，分资产，评估脆弱性以确保有效的安全控制应用。风险管理是对不确定事件和风险相关损失的鉴定，度量，控制和最小化的损失。它包括所有的安全检查，风险分析；安全措施的选择和评估，费用收获分析，管理决策安全的选择和评估，定，安全措施安全应用和有效性的检查。应试者应弄清楚计划，组织和在鉴定和安全组织的信息资产的每一部分的作有用；陈述管理概念的政策和进展和使用，特殊课题的地位和方针，标准和过程的使用以支持这些政策；安全意识训练以使职员懂得信息安全的重要性，它的意义与它们的地位相关的特殊的与安全相关的设备；机密性，所有者和私有的信息的重要性；雇用协议；职员录用和解雇准则；和风险管理准则和工具以鉴定，评估，降低对针对特殊资源的风险。知识主要领域l 安全管理概念和原则n 秘密n 机密性n 完整性n 可用性n 委托n 鉴定和鉴别n 责任n 抗抵赖n 文档(Documentation)n 审查n CIA三元组n 保护机构u 分层u 抽象u 数据隐藏u 加密l 改变控制/管理(Change Control/Management)l 硬件设置l 系统和应用软件l 改变控制过程l 数据分类(Data Classification)l 分类安排的目标(Objective of a Classification Scheme)l 通过什么样的数据分类标准分类l 商业数据分类l 政府数据分类l 信息/数据l 价值/估价(Worth/Valuation)l 收集和分析技术l 行业佣政策和惯例(Employment Policies and Practices)l 背景检查/安全调查(Background Checks/Security Clearances)l 行业许可佣(Employment Agreement)l 解雇用和解雇实践(Hiring and Termination Practices)l 职业描述l 任务和职责l 义务和职责分离(Separation of Duties and Responsibilities)l 职业转换(Job Rotations)l 政策，标准，方针和过程l 风险管理l 风险管理原则l 威胁和弱点l 确定(Probability Determination)l 资产评估l 风险评估工具和技术l 定性和定量的上的风险评估方法l 单一事件损失(Single Occurrence Loss)l 年度损失期望计算(Annual Loss Expectancy (ALE) Calculations)l 对策选择(Countermeasure Selection)(Countermeasure Evaluation)l 风险降低/分配/接受(Risk Reduction/Assignment/Acceptance)l 任务和职责管理所有者管理者用户IS/IT功能其它个体(other individual)l 安全意识训练l 安全管理计划4、 应用和系统开发安全(Applications & Systems Development Security)概要应用和系统开发安全的控制，以及一些控制，包含在系统和应用软件和开发中使用中步骤。应用涉及代理(agents)，小程序(applets)，软件，数据库，数据集合，以及基于知识的系统。这些应用可能在分布式或集中环境中使用。应试者应完全清楚系统开发过程，系统生存期，应用控制，改变控制，以及用于确保数据和应用完整性，安全和可用性的数据集合，数据发掘，基于知识的系统，程序界面和概念念中的安全和控制。主要知识领域l 应用问题l 分布式环境l 代理l 小程序l Active-Xl Javal 目标l 本地/非分布式环境l 病毒l 特洛伊木马l 逻辑炸弹l 蠕虫l 数据库和数据集合l 集合(Aggregation)l 数据发掘l 推理(Inference)l 多实例(Poly-instantiation)l 多级安全l 数据基础管理系统(DBMS)l 数据/信息存储l 首要的(Primary)l 其次的(Secondary)l 真实的(Real)l 虚拟的(Virtual)l 随机的(Random)l 可变的(Volatile)l 序列(Sequential)l 基于知识的系统l 专家系统l 神经网络l 系统开发控制l 系统开发生存期l 概念定义(Conceptual Definition)l 功能需求确定(Functional Requirements Determination)l 防护说明书开发(Protection Specifications Development)l 设计检查l 代码检查或排练l 系统测试检查l 鉴定(Certification)l 鉴定合格(Accreditation)l 维护l 安全控制体系结构l 过程隔离(Process Isolation)l 硬件分割(Hardware Segmentation)l 权限分离(Separation of Privilege)l 可说明性l 分层l 抽取(Abstraction)l 数据隐藏l System Highl 安全内核(Security Kernel)l 参考记录(Reference Monitors)l 运作模式(Mode of Operation)l 超级用户l 用户l 完整性级别(Integrity Levels)l 网络/系统l 操作系统l 数据库l 文件l 服务等级协议(Service Level Agreement)l 恶意代码l 定义l 术语(Jargon)l Myths/hoaxesl 黑客，解密者，盗用线路者和写病毒者的概念(The concepts of hackers, crackers, phreaks and virus writers)l 防病毒保护l 防病毒软件l 计算机病毒的不同类型l Multi-partitel 宏病毒l 传染根引导区传染l Macintoshl 传染文件传l 逻辑炸弹l 特洛伊木马l Active-Xl Javal 陷门l 攻击方法l 强力攻击或穷尽攻击(Brute Force or Exhaustive Attack)l 服务拒绝(Denial of service)l 字典式攻击l 欺骗l pseudo flawl 改变批准代码(Alteration of Authorization Code)l 隐藏代码(Hidden Code)l 逻辑炸弹l 陷门l 中断l 远程维护l 浏览(Browsing)l 推测(Inference)l 路由分析l 扩散法l Crammingl Time of Check/Time of Use(TOC/TOU)5、密码学概要密码学领域领重点放在伪装信息以确保它的完整性，机密性和可鉴别性的原理，手段和原理。应试者应该了解密码学的基本概念；在应用和使用方面的公钥和私钥算法软件；算法构造，密钥分发和管理，以及攻击方法；数字签名的应用，构造和使用，它提供了电子交易的认证和涉及的当事人的抗抵赖性。主要知识领域密码学的使用以得到(Use of Cryptography to Achieve)机密性完整性可鉴别性抗抵赖性密码学概念，方法学和惯例对称算法非对称算法消息认证数字签名抗抵赖加密/解密密码学算法包括DES，RSA，SHA，MD5，HMAC和DSA 的基本功能密码学算法的强度和弱点以及密钥长度的影响涉及密码管理汲及的基本功能，包括生成，分发确认，撤回，销毁，存储，恢复和生存期以及如些功能如何影响密码的完整性密钥分发的方法和算法包括人工，Kerberos和ISAKMP错误侦测/修正特性混乱信息函数(Hash Function)消息摘要包括MD5，SHA和HMACOne Time Cipher Keys(Pads)流密码和分组密码第三方密钥（Key Escrow）和密钥恢复公钥算法应用与使用算法方法学密钥分发和管理密钥生成/分发密钥恢复密钥存储和破坏密钥强度复杂性保密(Secrecy)弱密钥公钥算法应用与使用算法方法学密钥存储和管理密钥生成密钥恢复密钥存储与破坏密钥强度复杂性保密(Secrecy)弱密钥公钥基本构造(Public Key Infrastructure，PKI)证书权威(Certificate Authority)组成分级构造(Hierarchical Structure)l 证书n 类型和分类n 证书如何答署，核实，分发和撤回n 分级链（Hierarchy Chain）实现密码功能的系统(System Architecture for Implementing Cryptographic Functions)应用和基于网络的协议的使用包括PEM，S/MIME,SSL,HTTPS(also known as SHTTP,SET,IPSEC硬件组件的应用如智能卡和令牌密码组件的应用(如IPSEC结点/ISAKMP)攻击方法COAKPACTA包括CPA，ACPA和CCA强力攻击(Brute Force)解密Crack(Replay)MIM生日(Birthday)6、安全体构架和模型概要安全构架和模型这一领域包括安全(Secure)概念，原理，结构和用来设计，应用，监控，保护和操作系统，设备，网络，应用和用于加强各种级别的机密性，完整性和可用性的控制的标准。应试者应该了解在机密性，完整性，信息流，商务与政府需求范畴内的安全模型；公共标准，国际性的（ITSEC），美国国防部 (TCSEC)，和互联网（IETFIPSEC）范畴内的系统模型；硬件，软硬结合和软件范畴内的技术平台；防护，侦测和修正控制范畴内的系统安全技术。主要知识领域公共计算机和网络组织，体系结构和设计的原理访问物理的和符号的(Addressing physical and symbolic)访问空间(Address space contrasted to memory space)与内存空间相对照硬件，软硬结合和软件机器类型(真实，虚拟，多状态，多任务，多程序，多进程，多处理器，多用户)网络协议功能(OSI七层模型)操作状态(单状态，多状态)操作模式(用户，超级用户和特权用户)资源管理器功能存储类型(首要的，次要的，真实的，虚拟的，可变的，不可变的，随机的，连续的)保护装置(分层，抽样，数据隐藏，进程分离，硬件分割，减少特权原理，权限分离，负责)防护，侦测和修正控制范畴内的系统安全技术公共安全模型、体系结构和评估标准原理证书的鉴定(Certification and Accreditation)封闭和开放系统限制，范围限度和隔离(Confinement，Bounds and Isolation)控制(强制的和自由的)IETF安全体系结构(IPSec)ITSEC类和需要的确认和功能性客体和主体(用途和关系)(Objects and subjects(purpose and relationship)安全边界和DMZ参考监控和内核(目标和功能)可信任计算机基础(TCB)用于以及安全模型(Bell-LaPadula,Clark-Wilson,Biba)包括机密性，完整性和信息流和商务与政府需求TCSEC分类和需求功能记号，能力和分类(labels)(目标和功能)与系统体系结构和设计相关的普遍性缺陷和安全课题改变通道(内存，存储和通信)初始化和失败状态输入和参数检查“钩子(Hook)”Timing7、运作安全(Operation Security)概要操作安全用于识别加在硬件，媒介(media)和有权限访问这些资源的操作员之上的控制。审计和监控是一些方法、工具和手段，这一切允许对确定关键元素的安全事件和跟随动作的识别，并将相关信息报告给合适的个人、小组和过程。应试者应了解必须被保护的资源，必须被限制的特权，可用的控制机制，对访问的潜在滥用，适当的控制和好的实践准则。关键知识域l 行政管理(Administrative Management)n 工作需求/规范(Job Requirements/Specifications)n 背景检查n 权职分离n 最小权限n 工作轮换(Job Rotations)n Mandatory taking of vacation in one week incrementsn 终止l 概念n 防病毒管理n 关键信息的备份n 工作站/位置的改变n 需要知道的/最小权限(Need to Know/Least Privilege)n 特权操作功能(Privileged Operations Functions)n Standards of Due Care/Due Diligencen 隐秘和保护n 合法需求n 非法活动(欺骗检测，勾结 fraud detection, collusion)n 记录保留n 敏感信息和媒体u 标记(Marking)u 操作(Handling)u 存储(Storage)u 破坏(Destruction)l 控制类型n 指令控制(Directive Controls)n 预防控制(Preventive Controls)n 检测控制(Detective Controls)n 修正控制(Corrective Controls)n 恢复控制(Recovery Controls)l 操作控制(Operations Controls)n 资源保护n 特权实体控制n 变更控制管理n 硬件控制n 输入/输出控制n 媒体控制n 行政管理控制（权责分离，职能转变，最小权限等等）n 可信靠恢复过程l 资源保护需要用于n 通信硬件/软件n 处理设备n 口令文件n 应用程序库n 应用程序源代码n 厂商软件(Vendor Software)n 操作系统n 系统实用程序(System Utilities)n 目录和地址表(Directories and Address Tables)n 专用软件包(Proprietary Package)n 主存储(Main Storage)n 敏感/关键数据n 系统日志/审计跟踪n 违例报告(Violation Report)n 备份文件n 敏感表格和打印l 审计n Compliance Checksn 内部和外部n 评审频率n Standard of Due Carel 审计跟踪(Audit Trails)n 个人可计帐性(Individual Accountability)n 事件重组(Reconstruction of events)n 问题识别(入侵检测)n 问题解决n 报告的概念(内容，格式，结构，层次，escalation，频率)n 报告机制n 审计日志u 安全事件u 系统审计跟踪n 取样和数据提取n 保存期n 媒介n 防改变保护(Protection against alteration)n 防不可用的保护(Protection against unavailability)u 审计日志备份(系统备份的重要性，频率，可用性，媒介，站点外的本地存储和保护机制，质量，明确性readability）l 监控n 事件监控n 硬件监控（故障检测，端口）n 非法软件监控l 监控工具和技术n 警告标语(Warning Banner)n 按键监控(Keystroke Monitoring)n 流量分析n 趋势分析n 可用工具u 实时u Ad-hocu 被动(passive)l 闭路电视n 失败识别和响应(安全机制，补救响应，可替代物)n 问题识别n 问题解决n 报告的概念(内容，格式，结构，层次，escalation，频率)n 报告机制l 入侵检测n 入侵防护(识别、鉴别)n 入侵检测（数据提取，抽样，辨别和流量）n 入侵响应l 入侵检测的类型n 模式识别和基线n 异常鉴定n 攻击特征识别l 穿透测试技术n 战争拨号(War Dialing)n 嗅探n 窃听(Eavesdropping)n 辐射监控n Dumpster divingn 社会工程l 不适当活动n 欺骗(Fraud)n 共谋(Collusion)n 性骚扰(Sexual harassment)n 色情文学n 浪费(Waste)n 滥用(Abuse)n 盗窃(Theft)l 威胁和对策(Threats and Countermeasures)n Errors and Omissionsn 欺骗和偷窃(从内部或外部)n 员工破坏n 物理和基础支持损失n Malicious Hackers/Crackersn 间谍n 恶意代码l Violations，Breaches and Reporting8、商务连续性计划（BCP）和灾难恢复计划（DRP）概要商务连续性计划(BCP)和灾难恢复计划(DRP)领域强调面对正常商务运行的主要破坏时的商务保护。BCP和DRP涉及对特定动作的准备，测试和更新，以保护关键商务过程不受主要系统和网络失败的影响。商务连续性计划可消除商务活动的中断，可用于保护关键的商务活动不受主要失败和灾难的而影响。它处理自然的和人为的事件，以及如不迅速有效的处理而产生的后果。商务影响评估确定一个独立的商务单位维持计算和电信服务中断时受影响的部分。这些影响可能是金融上的，在金钱方面的损失，或运作上，没有能力交付。灾难恢复计划包括紧急响应，扩展的备份操作和灾难后恢复的规程，计算机的安装应经历计算机资源和物理设备部分的或全部的损失。灾难性恢复计划的首要目标是在退化的模式下(in a degraded mode)提供处理基本任务应用的能力，并在合理的时间内回到正常的操作模式下。应试者应当了解商务连续性计划和灾难恢复之间的区别；商务连续性计划是在项目范围和计划，商务影响分析，恢复策略，恢复计划开发和实现。应试者应当在恢复计划开发，实现和回复(restoration)方面了解灾难恢复计划。关键知识域n 商务连续性计划n 项目范围和计划u 商务组织分析u 资源需求u Legal and Regulatory Requirements法定的和受限的需求n 商务冲击评估u 紧急评估u 商务成功因素u 关键商务功能u 优先级建立u 达成目标其它方法的开发n 牵制策略(Containment Strategy)u 如何开发一个策略，规定和进程n 恢复策略u 商务单元优先权u 危机管理u 工作组恢复n 可替代物(Alternatives)u 冷/暖/热/移动站点u Electronic Vaultingu 选择标准n 处理许可u Reciprocal/Mutualn 恢复计划开发u 紧急响应l 如何发展紧急响应小组和过程u 个人通知l 如何处理个人布告和到管理层的通信u 备份和站点外存储l 如何决定要备份什么(数据，软件，参数，表，公式，文档等等)和多久（备份的花费与重建或更新的花费）l 如何确定正确的备份用的存储设备u 软件托管协议u 外部通信u 实用程序l 如何确定UPS的正确应用u 后勤和供应u 防火与防水u 文档n 实现n 工作组恢复n 恢复技术u How to develop a containment strategyu How to determine provisions to stock and where to store themu 如何开发恢复过程l 设备l 远程办公l 软件l 数据u 如何开发一个恢复策略l 网络l 系统l 应用u 培训/测试/维护l 如何开发一个培训策略l 如何测试计划和用多长的周期l 如何保持计划的更新n 灾难恢复计划u 恢复计划开发l 紧急响应n 如何开发紧急响应小组和过程l 个人通知n 如何处理个人布告和到管理层的通信l 系统软件，应用软件和从备份中重构数据n 从站点外的存储中移动文件n 载入所有软件和可用更新的安装n 数据，参数和支持文件的载入l 外部通信l 危机管理l 实用程序l 后勤和供应l 文档u 实现l 工作组形成l 恢复技术n 如何开发恢复过程u 设备u 远程办公u 软件u 数据n 如何开发一个恢复策略u 网络u 系统u 应用n 恢复(restoration)u 清除(Cleaning)u 获得(Procurement)u 数据恢复u 软件恢复n 培训/测试/维护u 如何开发一个培训策略u 如何测试计划和用多长周期u 如何保证计划的更新n 重定位主站点n 商务持续性计划的要素u 了解和发现u 偶然性计划目标(Contingency Planning Goals)u 重要性陈述u 优先权陈述u 组织责任陈述u 紧急和定时陈述u 风险评估u 重要记录程序(Vital Record Program)u 紧急响应方针u 紧急响应规程u 缓解(Mitigation)u 准备u 测试n BCP/DRP事件u 炸弹(Bombing)u 爆炸(Explosions)u 地震(Earthquakes)u 火灾(Fires)u 洪水(Floods)u 断电(Power Outages)u 其它效用失败(Other utility failure)u 暴风雨(Storms)u 硬件/软件失败(Hardware/Software Failures)u 打击(Strikes)u 测试中断(Testing Outages)u 危险物溢出u 雇员离开/unavailability9、法律，调查和道德规范概要法律，调查和道德规范领域重点在计算机犯罪法律和规章；可用于确定是否已构成犯罪的调查手段和技术，收集证据的方法(如果有的话)，道德问题以及安全专业人员的行为准则。事件处理提供了可对恶意技术威胁和进行快速有效响应的能力。应试者应当了解决定是否构成计算机犯罪的方法；用于这些犯罪的法律；禁止特定类型计算机犯罪的法律；收集和保存计算机犯罪的证据的方法，调查方法和技术；以及在RFC1087和（ISC）2TM中用于解决道德难题的方法。关键知识域n 法律(Laws)n 许可(Licensing)n 知识产权n 进口/出口n 责任n 跨国界数据流动n 主要种类和法律类型n 刑法(Criminal Law)n 民法(Civil Law)n 行政法(Administrative Law)n 调查n 证据u 可接纳的证据类型u 证据的收集和保存u 证据链(Chains of Evidence)n 调查过程和技术u 目标u 客体/主题u 小组组成u 辨论u 秘密n 审问(Interrogation)n 内部和外部的机密性n 计算机犯罪的主要种类n 军事和情报攻击n 商务攻击n 金融攻击n 恐怖分子攻击n Grudge Attacksn “Fun” Attacksn 事件处理n 事件处理的一般类型n Abnormal and suspicious activityn