- 1、本文档共31页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
cisspstudyguide中文版.doc
Certified
Information
System Security
Professional
CISSP证书
公共知识体系学习指南
目 录
如何使用本学习指南
本指南针对那些对由CISSP认证感兴趣的安全实践人员开发。它分为三个部分,第一部分是介绍,本解释了CBK,它是CISSP认证考试的基础。此外,CBK也是对由(ISC)2TM提供的CBK复习研讨会(CKB Review Seminar)的基础,也是对想在谈论CISSP证书考试之前正式研究CBK的个体的基础。
第二部分包括十个CBK领域。第一领域包含一个概要和主要知识范畴。
第三部分提供来发展证书考试的参考目录。根据技术和方法的变化,此参考化同时,此参考的且并不试图包揽一切。本部分的目的提供参考类型的例子,它们也许对CISS 证书考试的准备工作有帮助,并且它不是由(ISC)2TM或它的执行委员会直接或间接发行这些参考的。
公共知识体系(CBK)
一般而言职业是特征化的,部分上讲,通过该职业的从业由一种人员共享的,的知识主体他们在工作中应用刻划。它通常是抽象的和稳定的。它独立于必要的技能,工作,行为或技术。CBK语言会专业人员之间的交流。这样一个CBK的存在是必要的,但并不足以证明有资格的专业人员。
CBK委员会由(ISC)2TM执行董事会,对定期为信息安全专业的知识体系进行更新。委员会成员从相关领域中最有经验的和知名的领军人物中选取。委员会鉴定该知识体的边界和主题领域。在决定CBK中应包含什么内容时,决定CBK包含什么委员会的依据是依赖于知识的深度和广度以及中委员对知识的期望。就是,如果委员们认同其它安全专业人员的信息安全领域的某些知识,同时并不认为这些知识不在此领域内,则这些知识就确定为CBK的一部分。但是,如果通常一些特殊的知识认为不在信息安全专业内,则它的知识不包含在CBK内。
当前版本的CBK已更新,由于美国政府的法律和政策删除了一些特殊的参考,增加了国际标准的参考。CBK被组织成十个领域和多个子领域。本学习指南有对CBK中的领域的一节每一,用来帮助应试者准备CISSP认证考试。这十个领域是:
访问控制系统和方法
电信和网络安全
安全管理准则
应用和系统开发安全
密码学
安全体系结构和模型
操作安全
业务连续性计划(BCP)和空难性恢复计划(DRP)
法律,调查研究和道德规范
物理安全
公共知识体系领域
访问控制系统和方法
概要
访问控制是构成集合,它允许系统管理员行使指导和限制系统行为,使用和内容的影响。它允许管理设置用户可以做什么,他们可以访问什么资源和他们可以在系统上执行什么操作。
应试者应该完全清楚访问控制的概念,方法和在企业计算机系统中核心的和非核心环境的应用。访问控制技术,侦测和纠正尺度应当研究用以明晰潜在风险,弱点和暴露。
关键知识域
责任
访问控制技术
自由访问控制(Discretionary Access Control)
强制访问控制(Mandatory Access Control)
(Lattice-based Access Control)
基于规则的访问控制(Rule-based Access Control)
基于角色的访问控制(Role-based Access Control)
访问控制列表(Access Control Lists)
访问控制管理
帐户管理
帐户,登录和日志管理日记(Journal Monitoring)
访问权利和限制许可
建立(认可)
文件和数据拥有人,管理人和用户
最小特权准则(Principle of Least Privilege)
责任和义务分离(Segregation of Duties and Responsibilities)
维护
撤消
访问控制模型
Bell-LaPadula
Biba
Clark and Wilson
无干扰模型(Non-interference Model)
(State Machine Model)
访问矩阵模型(Access Matrix Model)
信息流动模型(Information Flow Model)
鉴定和鉴别技术
基于知识的口令,个人标识码(PINs),短语
口令
选择
管理
控制
基于特征(生物测定学,行为)
令牌(token)
门票(ticket)
一次性口令
基于令牌(智能卡,密钥卡)
管理
单点登录 唯一签名(Single Sign On,SSO)
访问控制方法和应用
集中/远程鉴别访问控制
RADIUS
TACACS
分散访问控制(Decentralized Access Control)
领域
信用
文件和数据所有
您可能关注的文档
最近下载
- 危大工程辨识清单.docx
- 小榨油厂生产工艺流程图(可修改).pdf
- 地铁施工测量题库2020版.doc
- 2024届安徽省合肥市肥东四中学九级八下英语期末联考试题含答案.doc VIP
- 【期中卷】人教版2021-2022学年九年级英语上学期期中测试卷 (一)含答案与解析.pdf VIP
- 【大单元教学设计】新统编版语文七年级上册第二单元 人间最美是亲情.docx VIP
- 2022-2023学年四川省广元市普通高校对口单招英语自考测试卷(含答案).docx
- 真题2023年9月全国事业单位联考《综合应用能力》试题及答案解析A类.pdf VIP
- NBT10115-2018光伏支架结构设计规程.docx
- 《仙人掌》-美术课件.pptx
文档评论(0)