2018CISSP考纲变革及备考重点解析知识点解读

1、第1章.安全与风险管理-知识点.理解和应用机密性、完整性、可用性概念概念的理解.评估和应用安全治理原则.安全功能与业务战略、目的、使命、目标一致（例如：商业案例、预算和资源 ）战略一致性.组织流程（例如：收购、剥离、治理委员会）.组织角色和责任.安全控制框架.尽职关注/尽职勤勉（尽职调查）.确定合规要求.合同、法律、行业标准和监管要求.隐私要求.理解在全球范围内涉及信息安全的法律和监管问题.计算机犯罪和数据泄露.许可与知识产权的要求（例如:版权、商标、数字版权管理）.进口/出口控制.跨境数据流.隐私.理解、遵循和促进职业道德. （ISC） 2职业道德规范.组织道德规范.制定、记录和实施安全政策

2、、标准、程序和指南.对业务连续性（BC ）需求进行识别、分析和排优先级.制定和记录范围和计划.开展业务影响分析（BIA）风险评估-业务影响分析-制定策略-开发计划-培训测试-维护8.促进和执行人员安全政策和程序.候选人甄选和聘用（例如:证明人核实、教育背景查证）.雇佣协议和政策.入职和聘用终止过程.供应商、顾问和承包商的协议和控制.政策合规要求.隐私政策要求.理解和应用风险管理概念.识别威胁和漏洞.风险评估/分析（定性分析、定量分析、混合分析）.风险响应 风险分配/接受（例如:系统授权）.对策的选择和实施控制适用类型（例如：预防性、检测性、纠正性）物理、技术、管理.安全控制评估（SCA ）.监

3、测和衡量.资产估值.报告.持续改进.风险框架.理解和应用威胁建模的概念和方法.威胁建模概念.威胁建模方法.将基于风险的管理理念应用到供应链中.与硬件、软件和服务相关的风险.第三方评估和监测.最低安全要求.服务级别要求.建立并维持安全意识宣贯、教育和培训计划.意识宣贯与培训的方法和技术.定期内容评审.方案效果评价第2章.资产安全-知识点.识别与分类信息和资产（例如：敏感性、关键性）.数据分类.资产分类资产分类排序：记录、分配、标记、评审、解除.确定与维护信息与资产所有权.保护隐私隐私保护的第一步是数据最小化.数据所有者.数据处理者.数据残留 清除、根除、净化 Sanitizing 排序：物理销毁

4、 消磁 覆写格式化.数据收集限制.确保适当的资产保留.确定数据安全控制.理解数据状态静态数据、动态数据.确定范围和剪裁.标准的选择.数据保护方法.建立信息和资产处理要求（例如:敏感信息的标记、存储和销毁）第3章.安全工程-知识点.使用安全设计原则实施和管理工程流程.理解安全模型的基本概念BLP、Biba .基于系统安全要求选择控制.理解信息系统的安全能力（例如：内存保护、可信平台模块（ TPM）、加密/解密）.评估和减轻安全架构、设计和解决方案的脆弱性.客户端系统.服务器端系统.数据库系统（例如:数据推理、聚合、挖掘、分析、数据仓库 ）.密码系统.工业控制系统（ICS ）人机界面控制服务器历史

5、数据应用服务器工作站三.一丁H忤姑一*中Rpm Ut Mmm U hrtwM I w*v WmM.基于云的系统.分布式系统.物联网（IoT）.评估和缓解Web系统中的漏洞（例如，XML,OWASP）XSS , SQL注入攻击SAML :安全断言标记语言XACML :用于决定请求/响应的通用访问控制策略语言和执行授权策略的框架OAuth 2.0:使用的是令牌CVE （Common Vulnerabilities & Exposures）公共漏洞和暴露评估和缓解移动系统中的漏洞评估和缓解嵌入式设备中的漏洞应用密码学.密码生命周期（例如：密钥管理、算法选择）.加密方法（例如：对称，非对称，椭圆曲线）

6、ECC的优点效率高.公钥基础设施（PKI）数字证书CA交叉认证.密钥管理实践.数字签名.不可否认性.完整性（例如：散列）.理解密码攻击方法（例如暴力破解、唯密文攻击、已知明文攻击）数字版权管理（DRM ）密码学的实际应用.将安全原则应用于场地与设施设计.实施场地和设施安全控制.配线间/中间配线设施.服务器机房/数据中心.介质存储设施.证据存储.限制区和工作区安全.公用设施与供热通风空调系统（ HVAC ）机房正气压.环境问题（例如：渗漏、洪灾）.火灾预防、检测和灭火5类火CPTED : Crime Prevention Through Environmental Design第4章.通信与网络

7、安全-知识点.在网络架构中实现安全设计原则.开放系统互连（OSI）与传输控制协议/互联网协议（TCP/IP ）模型7层协议、TCP/IP 4层.互联网协议（IP）网络.多层协议的含义 （DNP3 ）.聚合协议 （MPLS, VoIP, iSCSI ）.软件定义网络（SDN ）.无线网络.安全网络组件.硬件操作（例如:调制解调器、交换机、路由器、无线接入点、移动设备）.传输介质.网络访问控制（NAC）设备（例如：防火墙、代理服务器）.端点安全.内容分发网络（CDN）.根据设计实现安全通信通道.语音.多媒体协作（例如：运程会议技术、即时消息 ）.远程访问（例如:VPN、屏幕截取、虚拟应用 /桌面、

8、远程办公）.数据通信 （例如:VLAN, TLS/SSL）.虚拟网络（例如:SDN、虚拟SAN、来宾操作系统、端口隔离 ）第5章.身份与访问控制-知识点.控制资产的物理和逻辑访问.信息.系统.设备.设施.管理人员、设备、服务的身份标识和验证.身份管理实施 (例如：SSO, LDAP).单/多因素认证(例如：因素、强度、错误、生物识别)生物识别：FRR、FAR,精度比较.问责.会话管理(例如：超时、屏保).身份注册与证明.联合身份管理(例如：SAML )SAML 安全断言语言(Security Assertion Markup Language ), 是一个基于XML的协议。是一个联合身份标准。

9、用于传送身份信息，可用于实现单点登录。类似于 Kerberos 依赖于 KDC , SAML 依赖于 IDP(Identity provider) SAML有一项功能叫策略执行(policy enforcement )。.凭证管理系统.集成第三方身份服务.内部部署.云.联合(federated).实施和管理授权机制.基于角色的访问控制 (RBAC).基于规则的访问控制.强制访问控制(MAC ).自主访问控制(DAC ).基于属性的访问控制(ABAC ).管理身份和访问供给(provisioning )生命周期.用户访问评审.系统帐户访问评审.供给与解除供给 SPML 第6章.安全评估和测试-知

10、识点.设计和验证评估、测试和审计策略.内部.外部3.第三方安全评估标准 CC ISO/IEC 15408信息技术一安全技术一IT安全评估准则CC 7个评估保证级别（EAL）功能、结构、系统、半正式、正式地验证设计和测试。EAL1: Functionally Tested;EAL2: Structurally Tested;EAL3: Methodically Tested and Checked;EAL4: Methodically designed, Tested, and Revised;EAL5: Semi-formally Designed and Tested;EAL6: Semi-

11、formally Verified Design and Tested;EAL7: Formally Verified Design and Tested.CC里面的PP定义了可重用的安全需求BSIMM, 15408 , soc3 , 27001 .执行安全控制测试.漏洞评估.渗透测试盲测、双盲、针对性测试得到管理层书面批准授权发生在运维阶段目的是评估而不是检测.日志评审.合成交易.代码评审和测试（例如：静态、动态、模糊测试）.误用例测试.测试覆盖率分析.接口测试单元测试、集成测试、系统测试、验收测试回归测试、结构测试、功能测试、非功能测试.收集安全流程数据（例如技术和行政）.账户管理.管理评

12、审和批准.关键绩效和风险指标.备份验证数据.培训和意识宣贯.灾难恢复（DR）和业务连续性（BC）.分析测试输出与生成报告.执行或促进安全审计.内部.外部.第三方第7章.安全运营-知识点.理解与支持调查.证据采集与处理（例如：监管链、访谈）.报告与记录.调查技术.数字取证工具，手段和程序forensics , e-discovery .理解调查类型的要求.行政.刑事.民事.监管.执行记日志和监测活动.入侵检测和防御.安全信息和事件管理（SIEM ）.连续监测.出流（Egress ）监测（例如：数据丢失防护、信息伪装、数字水印）.安全供给资源.资产清单.资产管理.配置管理.理解和应用基本的安全运营

13、概念.知所必须/最小权限.职责分离.特权帐户管理.岗位轮换防止共谋的方法是岗位轮换，而不是职责分离（导致共谋）.信息生命周期.服务级别协议（SLA）SLA需要定期审查.应用资源保护技术.介质管理.硬件和软件资产管理.执行事件管理.检测.响应.缓解.报告.恢复.补救.经验教训.运营和维护、检测和预防措施.防火墙包过滤/状态检测/动态包过滤.入侵检测和防御系统HIDS/NIDS,特征/行为.白名单/黑名单.第三方提供的安全服务.沙箱行为阻断.蜜罐/蜜网检测性控制、Enticement / Entrapment .反恶意软件考各种攻击：smurf攻击（基于ping程序利用ICMP协议的攻击）SYN

14、FLOOD 攻击TCP序列号劫持/会话劫持一一中间人攻击DNS中毒/域欺骗pharming竞争条件.实施与支持补丁和漏洞管理.理解并参与变更管理流程.实施恢复策略.备份存储策略 RPO.恢复站点策略RTO 冗余站点、热站、温站、冷站.多处理站点.系统韧性、高可用性、服务质量（ QoS ）和容错RAID 0、1、3、5、10.实施灾难恢复（DR）过程.响应.人员.通信.评估.恢复.培训和意识宣贯.测试灾难恢复计划（DRP ）.核对测试/桌上测试.穿行测试.模拟测试.并行测试.全面中断测试.参与业务连续性（BC）计划和演练.实施和管理物理安全.周边安全控制.内部安全控制.解决人员安全问题.旅行人员.安全培训和意识.应急管理.胁迫第8章.软件开发安全-知识点.理解安全并将其融入