cisspstudyguide中文版.doc

Certified Information System Security Professional CISSP证书 公共知识体系学习指南  目 录  如何使用本学习指南 本指南针对那些对由CISSP认证感兴趣的安全实践人员开发。它分为三个部分，第一部分是介绍，本解释了CBK，它是CISSP认证考试的基础。此外，CBK也是对由（ISC）2TM提供的CBK复习研讨会（CKB Review Seminar）的基础，也是对想在谈论CISSP证书考试之前正式研究CBK的个体的基础。 第二部分包括十个CBK领域。第一领域包含一个概要和主要知识范畴。 第三部分提供来发展证书考试的参考目录。根据技术和方法的变化，此参考化同时，此参考的且并不试图包揽一切。本部分的目的提供参考类型的例子，它们也许对CISS 证书考试的准备工作有帮助，并且它不是由（ISC）2TM或它的执行委员会直接或间接发行这些参考的。  公共知识体系（CBK） 一般而言职业是特征化的，部分上讲，通过该职业的从业由一种人员共享的，的知识主体他们在工作中应用刻划。它通常是抽象的和稳定的。它独立于必要的技能，工作，行为或技术。CBK语言会专业人员之间的交流。这样一个CBK的存在是必要的，但并不足以证明有资格的专业人员。 CBK委员会由（ISC）2TM执行董事会，对定期为信息安全专业的知识体系进行更新。委员会成员从相关领域中最有经验的和知名的领军人物中选取。委员会鉴定该知识体的边界和主题领域。在决定CBK中应包含什么内容时，决定CBK包含什么委员会的依据是依赖于知识的深度和广度以及中委员对知识的期望。就是，如果委员们认同其它安全专业人员的信息安全领域的某些知识，同时并不认为这些知识不在此领域内，则这些知识就确定为CBK的一部分。但是，如果通常一些特殊的知识认为不在信息安全专业内，则它的知识不包含在CBK内。 当前版本的CBK已更新，由于美国政府的法律和政策删除了一些特殊的参考，增加了国际标准的参考。CBK被组织成十个领域和多个子领域。本学习指南有对CBK中的领域的一节每一，用来帮助应试者准备CISSP认证考试。这十个领域是： 访问控制系统和方法 电信和网络安全 安全管理准则 应用和系统开发安全 密码学 安全体系结构和模型 操作安全 业务连续性计划（BCP）和空难性恢复计划（DRP） 法律，调查研究和道德规范 物理安全  公共知识体系领域  访问控制系统和方法 概要 访问控制是构成集合，它允许系统管理员行使指导和限制系统行为，使用和内容的影响。它允许管理设置用户可以做什么，他们可以访问什么资源和他们可以在系统上执行什么操作。 应试者应该完全清楚访问控制的概念，方法和在企业计算机系统中核心的和非核心环境的应用。访问控制技术，侦测和纠正尺度应当研究用以明晰潜在风险，弱点和暴露。 关键知识域 责任 访问控制技术 自由访问控制(Discretionary Access Control) 强制访问控制(Mandatory Access Control) (Lattice-based Access Control) 基于规则的访问控制(Rule-based Access Control) 基于角色的访问控制(Role-based Access Control) 访问控制列表(Access Control Lists) 访问控制管理 帐户管理 帐户，登录和日志管理日记(Journal Monitoring) 访问权利和限制许可 建立（认可） 文件和数据拥有人，管理人和用户 最小特权准则(Principle of Least Privilege) 责任和义务分离(Segregation of Duties and Responsibilities) 维护 撤消 访问控制模型 Bell-LaPadula Biba Clark and Wilson 无干扰模型(Non-interference Model) (State Machine Model) 访问矩阵模型(Access Matrix Model) 信息流动模型(Information Flow Model） 鉴定和鉴别技术 基于知识的口令，个人标识码(PINs)，短语 口令 选择 管理 控制 基于特征(生物测定学，行为) 令牌(token) 门票(ticket) 一次性口令 基于令牌(智能卡，密钥卡) 管理 单点登录 唯一签名(Single Sign On，SSO) 访问控制方法和应用 集中/远程鉴别访问控制 RADIUS TACACS 分散访问控制(Decentralized Access Control) 领域 信用 文件和数据所有