Cissp认证考试共分八个领域,下面是我整理的第二个领域(资产安全)的知识点,每一章都附有思维导图和知识点,并对重点概念进行了标注。强烈建议以读书为主,做题为辅,考试中基本不会出现你做过的原题,所以深入掌握每一个知识点尤为重要,力求做到举一反三。
第一部分:思维导图
由于网站图片大小限制,我将思维导图的清晰版放到了网盘里面,请自行下载。
(链接: https://pan.baidu.com/s/1MQ9CBS4n9Cv6TB0HM4Yxpw 提取码: rdrc )
第二部分:知识点
1. 这个概念很重要,这里第七版中文和第八版英文不同,第八版已经进行了修正,只保留了下面3个概念,所以在做往年测试题的时候不用记住太多概念。考试的时候注意英文单词即可。
擦除(erasing)也叫删除,是数据移除效果最差的。删除指的是删除文件或介质。清除也是一种清理形式,但其涉及的安全等级较低。
清理(clearing)指重写介质,在清理介质时,将介质全部写上未分类的数据。
清扫(purching)是用于从系统或介质中移除数据的一系列过程,从而确保数据无法通过任何手段恢复出来。
重复使用时,作为解密操作的一部分,安全的清扫原有数据的成本比新购更加昂贵。
2. Stuxnet蠕虫病毒(超级工厂病毒)是世界上首个专门针对工业控制系统编写的破坏性病毒,能够利用对windows系统和西门子SIMATIC WinCC系统的7个漏洞进行攻击。POODLE(Padding Oracle On Downgraded Legacy Encryption)漏洞曾影响了使用最广泛的加密标准——SSL v3.0,攻击者可以利用该漏洞发动中间人攻击拦截用户浏览器和HTTPS站点的流量,然后窃取用户的敏感信息,如用户认证的cookies信息、账号信息等。早期针对SSL的两种攻击手法,名为BEAST.这次依然是发现BEAST的两位大神Juliano Rizzo和Thai Duong发现了另一种新的攻击HTTPS的手法,与之前的相似,被称为“CRIME”。BEAST能够从SSL/TLS加密的会话中获取受害者的COOKIE值(通过进行一次会话劫持攻击)。
3. 数据处理者用于处理数据的系统。
数据(信息)所有者通常是CEO 或其他高级工作人员,担负确定信息分类级别的主要责任;管理员在处理数据时可以执行日常任务;任务所有者通常是信息系统所有者;数据保管人主要是确保CIA,即机密性,完整性和可用性。
4. 确保数据分类的正确性的最重要一步就是标记数据.
数据分类可确定组织的数据价值,这通常有助于组织进行IT 优先级排序,并且如果发生数据泄露,还可以帮助组织进行粗略的成本估算。法律通常会规定数据类型,组织不能按照自己的意愿对数据进行分类。
5. 当把基准控制与正在保护的IT 系统相匹配时,需要进行范围界定。制定标准是配置过程的一部分,可能会使用基线。制定基线是指创建安全基线或配置系统的过程。CIS(互联网安全中心)提供各种安全基线。
6. 美国政府密级分类:机密,秘密,绝密。
7. 加密通常用来防止窃听,VPN 实质上就是对流量进行加密。电磁环境安全防护(TEMPEST)是处理电磁泄露信号的一系列技术,包括分析、测试、接收、还原和防护
8. AES 是适用于静止数据的强对称密码。SHA1是加密散列,而TLS 适用于动态数据。DES 是一种过时且不安全的对称加密方法。
9. 欧盟数据保护指令的原则不涉及数据保留期限,七个原则分别是通知、选择、向前转移、访问、安全、数据完整、执行
10. 基线是一套通用安全配置,可以被组织适当修改以适应组织的安全需求。而且通常由第三方提供
11. 安全策略用于指导组织制定具体的安全措施。
12. DSS 是支付卡行业数据安全标准。
13. NISTSP-800 系列文件解决了多个领域的计算机安全问题。
14. 数据文档化的目标是:确保数据的持久性和它们的再利用多种用途;确保数据用户了解数据集的内容,背景和局限;促进数据集和数据交换的互操作性;不包含加密的相关内容。
15. 数据监管者的一些典型职责包括:坚持适当和相关的数据政策和数据所有权的指导方针;确保适当的用户可访问性,维持适当水平的数据安全;基本数据集的维护,包括但不限于数据存储和存档; 保证质量和任何增加验证到一个数据集,包括定期审计,以确保持续的数据完整性。
16. 信息经历一个以“获取”开始,以“处置”结束的生命周期。
17. 信息生命周期的每个阶段在评估风险和选择控制时需要加以不同的考虑。
18. 通过添加包括分类标签在内的元数据使新信息可被使用。
19. 使用数据副本是确保组织中数据一致性的一个周密过程。
20. 数据聚合可能导致分类级别的增加。
21. 密码的使用可在信息生命周期的所有阶段成为一种有效的控制。
22. 数据保留策略驱动信息从存档阶段过渡到其生命周期处置阶段的具体时间表。
23. 信息分类对应于信息对组织的价值。
24. 每种分类应具有与数据如何被访问、使用和销毁相适应的单独处理要求和程序。
25. 高级管理人员对公司(包括安全问题)的成败负责,最终对股东负责。
26. 数据所有者是负责特定业务部门的经理,并最终负责保护和使用特定的信息子集。
27. 数据所有者指定数据的分类,数据保管者实施和维护执行一整套分类级别的控制。
28. 数据保留策略必须考虑法律、法规和操作要求。
29. 数据保留策略应提及:哪些数据?在哪里?如何保存以及保存多久?
30. 电子发现(e-discovery)是为法院或外部律师生成与法律诉讼有关的所有电子存储信息(ESI) 的过程。这个是重点,应该理解。
31. 正常删除文件并不会从介质中永久删除文件。
32. 覆盖数据需要使用随机或固定模式的1和0替换存储介质上代表它的1和0,以使原始数据 不可恢复。
33. 去磁是去除或减少常规磁盘驱动器或磁带上的磁场分布的过程。
34. 隐私权与员工和客户的个人信息有关。
35. 一般来说,组织应该收集履行其业务职能所需的最少量私人数据。
36. 静态数据指驻留在外部或辅助存储设备(如硬盘驱动器或光盘)上的数据。
37. 每种主流操作系统都支持全盘加密,这是保护静态数据的一个好方法。
38. 运动中的数据通过诸如互联网的数据网络在计算节点之间移动。
39. TLS、IPSec和VPN是使用加密技术保护运动中的数据的典型方法。
40. 使用中的数据是驻留在主存储设备中的数据,例如驻留在易失性存储器(如RAM)、存储器 高速缓存或CPU寄存器上。
41. 数据泄露意味着数据的机密性己被破坏。
42. 数据泄露防护(DLP)包括组织为防止未经授权的外部各方访问敏感数据而采取的各种行动。
知识点全部来自于平时做过的习题和复习所用的参考书的笔记。
(OSG和AIO的第七版和第八版,如有版权归原书所有)
来源:freebuf.com 2019-02-15 17:38:10 by: Myhawk
请登录后发表评论
注册