CISSP认证公共知识体系学习指南.doc

Certified Information System Security Professional CISSP认证 公共知识体系学习指南  目 录 如何使用本学习指南 本指南针对那些对CISSP认证感兴趣的安全实践人员开发。它分为三个部分，第一部分是介绍，解释了CBK(公共知识体系)，它是CISSP认证考试的基础。此外，CBK也是（ISC）2TM为那些在进行CISSP认证考试之前想正式学习CBK提供的CBK复习研讨会（CKB Review Seminar）的基础。 第二部分包括十个CBK域。每一领域包含一个概要和关键知识的范围。 第三部分提供了开发认证考试的参考目录。根据技术和方法的变化，此参考会经常变化，同时，此参考并不试图包揽一切。本部分的目的提供参考类型的例子，它们可能对准备CISSP 认证考试有帮助，但它并不是由（ISC）2TM或它的指导委员会直接或间接发行的。  公共知识体系（CBK） 一般而言，一种职业可通过该职业的从业人员共享的，他们在工作中应用的知识来刻划。这种知识通常是抽象的和稳定的。它独立于必要的技能，任务，活动或技术。CBK语言会促进专业人员之间的交流。存在这样的CBK是必要的，但并不足以证明有资格的专业人员。 CBK委员会由（ISC）2TM董事会任命，负责定期更新信息安全专业的知识体系。委员会成员从相关领域中最有经验的和知名的领军人物中选取。委员会确定该知识体的边界和主题领域。在决定CBK中应包含什么内容时，委员会的依据是知识的深度和广度以及委员们对知识的期望。即如果委员们认同其它安全专业人员的信息安全领域的某些知识，同时并不认为这些知识不在本领域内，则这些知识就确定为CBK的一部分。但是，如果通常认为信息安全专业人员并不拥有某些特定的知识，则这些知识就不包含在CBK内。 当前版本的CBK已更新，删除了美国政府的法律和政策的特殊参考，增加了国际标准的参考。CBK被组织成十个域和多个子域。对CBK中的每个域，本学习指南有相应的一节，用来帮助应试者准备CISSP认证考试。这十个域是： 访问控制系统和方法论 电信和网络安全 安全管理实践 应用和系统开发安全 密码学 安全体系结构和模型 运作安全 业务连续性计划（BCP）和灾难恢复计划（DRP） 法律，调查研究和道德规范 物理安全  公共知识域 访问控制系统和方法论 概要 访问控制是一些机制的集合，这些机制允许系统的管理者们对系统的行为、使用和内容行使指导和限制等影响。它允许管理人员指定用户可以做什么，他们可以访问什么资源和他们可以在系统上执行什么操作。 应试者应该完全理解访问控制的概念，方法论以及它在跨越企业计算机系统的集中和分散式环境中的实现。应当研究访问控制技术，侦测和纠正方法以了解潜在的风险，脆弱性和暴露。 关键知识域 可审计性(Accountability) 访问控制技术 自由访问控制(Discretionary Access Control) 强制访问控制(Mandatory Access Control) 基于格的访问控制(Lattice-based Access Control) 基于规则的访问控制(Rule-based Access Control) 基于角色的访问控制(Role-based Access Control) 访问控制列表(Access Control Lists, ACL) 访问控制管理 帐户管理 帐户，日志和日记监控(Journal Monitoring) 访问权和许可 建立（授权） 文件和数据拥有者，管理人和用户 最小特权准则(Principle of Least Privilege) 责任和义务分离(Segregation of Duties and Responsibilities) 维护 撤消(Revocation) 访问控制模型 Bell-LaPadula Biba Clark and Wilson 无干扰模型(Non-interference Model) 状态机模型(State Machine Model) 访问矩阵模型(Access Matrix Model) 信息流模型(Information Flow Model） 鉴别和认证技术(Identification and Authentication) 基于知识的口令，个人标识码(PINs)，短语(phrases) 口令 选择 管理 控制 基于特征(生物测定学，行为) 令牌(token) 门票(ticket) 一次口令(phrases) 基于令牌(智能卡，密钥卡) 管理 单点登录(Single Sign On，SSO) 访问控制方法论和实现 集中/远程鉴别式的访问控制 RADIUS TA