CISSP Domain 8

Domain 8 Application Security

A. Software Development Models:
Waterfall
Spiral (four quadrants: requirements, objective, planning, risk analysis)

B. Maintenance phase: request control, change control, and release control. C. Configuration Management: British Standards Institute 7799: tracking and issue of new versions 1. A configuration item is a component whose state is to be recorded and against which changes are to be progressed 2. Configuration control controls changes to the configuration items and issues versions of the items from the software library 3. Two goals: (1) ensuring changes to system do not effect security (2) ensuring changes to system are reflected in documentation D. Software cycle: 1. Verification: evaluate product in development against the specification. 2. Validation: Evaluate against real-world requirements and concepts. E. Software Capability Maturity Model (CMM): Quality software is a function of the quality of its associated software development and maintenance process — level 3 requires ISO 9001 F. Software Development Life Cycle: Initiaion Acquisition/Development Implementation Operation/Maintenance Disposition G. Database: manage information from many different sources, a view is an access control mechanism used in databases to ensure that only authorized subjects can access sensitive information. H. Database Management System (DBMS): manages large structured sets of data, provides multiple users access, security, and controls, enforces the integrity of the data, provides for fault tolerance 1. Models a. Hierarchical - database uses a tree-like structure to define relationships between data elements, using a parent/child relationship.
b. Network - flexible way of representing objects and their relationships. Its distinguishing feature is that the schema, viewed as a graph in which object types are nodes and relationship types are arcs, is not restricted to being a hierarchy or lattice.

c. Relational Database Models
(i) The purpose of the relational model is to provide a declarative method for specifying data and queries: we directly state what information the database contains and what information we want from it, and let the database management system software take care of describing data structures for storing the data and retrieval procedures for getting queries answered. (ii) Fundamental entity is the relation (table or set of columns in table) (iii) A relational database uses two-dimensional tables with rows (tuples) and columns (attributes).

With “attributes” (columns), having permissible values, specific attribute is “key” with unique values, occurring in “instances” or tuples (iv) Cardinality = No rows in table (Tuple) Degree = No of columns in table (v) Security is provided through views (vi) Primary key is unique identifier in table that points to tuples; subset of candidate keys (vii) Candidate key is an attribute that is a unique identifier within a given table
(viii) If attribute in one relation has values that match primary key in another relation, this attribute is called a foreign key (ix) Primary key is chosen from set of candidate keys
(x) Description of the database is called a schema, which is defined by the Data Description Language (DDL), a Data Manipulation Language (DML), a Query Language (QL), and a report generator.

(xi) A domain of a relation is the set of allowable values that an attribute can take on 2. Object-Oriented Data Base (OODB) in which information is represented in the form of objects as used in object-oriented programming. Advantages An integrated repository of information that is shared by multiple users, products, applications, platforms. It also solves the following problems: The semantic gap: The real world and the Conceptual model is very similar. Impedance mismatch: Programming languages and database systems must be interfaced to solve application problems. But the language style, data structures, of a programming language (such as C) and the DBMS (such as Oracle) are different. The OODB supports general purpose programming in the OODB framework. New application requirements: object-orientation is the most natural and most convenient.
3. Hybrid Model also called the Object-Relational DB 4. Integrity a. Entity integrity — primary key is unique and no null keys b. Referential integrity — foreign key is a primary key in another table and no null foreign keys

I. Object Oriented Systems: more reliable and capable of reducing propagation of change errors — Dynamic objects are created during program execution 1. Objects are encapsulated – only access through messages sent to them to request performance of their desired operations 2. Substitution property: objects with compatible operations can be substituted for each other 3. Message is a communication to an object 4. Behavior is the results exhibited by an object on receipt of a message 5. Class is collection of common objects 6. Method is the code that defines the actions an object performs in response to a message 7. Inheritance – methods from a class are inherited by members of its subclasses 8. Delegation is forwarding a request from one object to another 9. Polymorphism is objects of many different classes that are related by some common superclass; thus any object denoted by this name is able to respond to some common set of operations in a different way
10. Polyinstantiation is development of a new version of an object from another object replacing variables with other values
a. It tallow same version of information to exist at diferent classification level b. User at lower classification level will not aware of data that exists at a highier classification level. c. Prevents inference violations

J. Jargon 1. Open Database Connectivity (ODBC) - provides a standard software interface for accessing database management systems (DBMS). The designers of ODBC aimed to make it independent of programming languages, database systems, and operating systems. Thus, any application can use ODBC to query data from a database, regardless of the platform it is on or DBMS it uses. This is accomplished by using an ODBC driver as a translation layer between the application and the DBMS. The application thus only needs to know ODBC syntax, and the driver can then pass the query to the DBMS in its native format, returning the data in a format the application can understand. 2. Object Link and Embedding DB (OLE DB) - is an API designed by Microsoft for accessing data from a variety of sources in a uniform manner. It is a set of interfaces implemented using the Component Object Model (COM); it is otherwise unrelated to OLE. It was designed as a higher-level replacement for, and successor to, ODBC, extending its feature set to support a wider variety of non-relational databases, such as object databases and spreadsheets that do not necessarily implement SQL. 3. Active-X Data Objects (ADO) - is a set of Component Object Model (COM) objects for accessing data sources. A part of MDAC, it provideyer between programming languages and OLE DB (a means of accessing data stores, whether they be databases or otherwise, in a uniform manner). ADO allows a developer to write programs that access data without knowing how the database is implemented. You must be aware of your database for connection only. No knowledge of SQL is required to access a database when using ADO, although one can use ADO to execute SQL commands. The disadvantage of this (i.e. using SQL directly) is that it introduces a dependency upon the type of database used. 4. Java Database Connectivity (JDBC) - is an API for the Java programming language that defines how a client may access a database. It provides methods for querying and updating data in a database. JDBC is oriented towards relational databases. A JDBC-to-ODBC bridge enables connections to any ODBC-accessible data source in the JVM host environment. 5. Distributed Component Object Model (DCOM) - is a proprietary Microsoft technology for communication among software components distributed across networked computers. DCOM, which originally was called

"Network OLE", extends Microsoft's COM, and provides the communication substrate under Microsoft's COM+ application server infrastructure. It has been deprecated in favor of the Microsoft .NET Framework. 6. Standard Query Language (SQL) - ANSI standard, root language for interaction with data, database design or schema K. Object Request Brokers (ORBs) — is a piece of middleware software that allows programmers to make program calls from one computer to another via a network. ORBs promote interoperability of distributed object systems because they enable users to build systems by piecing together objects from different vendors, so that they communicate with each other via the ORB. L. Common Object Request Broker Architecture (CORBA) defines standard that enables programs written in different languages and using different platforms and operating systems to interface and communicate. M. Artificial Intelligence (AI): 1. Expert Systems: acts like a human expert — Builds knowledge base (in the form of If-Then statements) of the domain to be addressed in the form of rules and an inference mechanism to determine if the rules have been satisfied by system input — Inference engine + knowledge base = expert system — Fuzzy logic used to address uncertainty. 2. Neural Networks: Neurons, signals are exchanged among neurons through electrical pulses traveling along an axon — Electrical pulse arrives at a neuron at points called synapses — Output = Input1*Weight1 + Input2*Weight2 — Summation of inputs with dynamic weights assigned to them — One summing node is called a single-layer network — Multiple summing nodes is a multi-layer network — Training develops the weights N. Database Security Issues 1. Granularity of the access to objects in DB refers to fineness with which access can be controlled or limited 2. Aggregation is act of obtaining info of a higher sensitivity and combining it with lower levels of sensitivity 3. Inference is ability of users to infer or deduce info about data at sensitivity levels for which they do not have access — A link that enables an inference to occur is called an inference channel O. DBMS Controls 1. Atomicity — either all changes take effect or none 2. Consistency — a transaction is allowed only if it follows owner or system-defined integrity constraints 3. Isolation — the results of a transaction are not visible until the transaction is complete 4. Durability — the results of a complete transaction are permanent 5.Concurrency controls — ensure that two users cannot simultaneously change the same data 6. Knowledge Discovery in Databases (KDD) — a method of identifying valid and useful patterns in data a. Probabilistic approach interdependencies — based on probability and data
b. Statistical approach — based on data relationships

c. Classification approach — based on grouping data according to similarities d. Deviation and Trend Analysis — uses filtering techniques to detect patterns e. Neural Networks — organizes data into nodes that are arranged in layers — links between nodes have specific weighting classifications f. Expert system approach — uses knowledge base and algorithms and/or rules that infer new facts from knowledge and incoming data g. Hybrid approach — combines two or more approaches P. Data Warehouse and mining: 1. Data warehouse is a repository of info from heterogeneous databases 2. Objective is to find relationships that were unknown up until now among data in warehouse — called data mining 3. Correlations or data about data is called metadata — Metadata not stored in data warehouse, instead stored in a highly protected “data mart.” 4. Data warehouse and mining can be applied to audit logs and other info to find system anomalies Q. Data Dictionary: database for developers, records all the data structures used in an application R. Accreditation: Formal acceptance of security adequacy, authorization for operation and acceptance of existing risk S. Certification: Formal testing of security safeguards T. Operational assurance: verification system is operating to its security requirements — Look at policies, audits, and system monitoring U. Distributed environments permit agents — Agents are surrogate programs or process performing services in one environment on behalf of a principal in another environment — Not a proxy, which hides identity V. Distributed systems should include: 1. Interoperability 2. Portability — Software at source code level can be moved from system to system with different vendors 3. Transparency — Ability to keep application and its processes invisible to the end user 4. Extensibility — System must be able to adapt to various management policies and allow introduction of new resources to manage W. Single state machines can only process one security level at a time Multi-State Machines can process two or more security levels at the same time X. Interpreted language executes each instruction in real-time, called run-time binding Compiled language, binding occurs at compile time Compiled code poses greater security risk since it may contain destructive code that can’t easily be detected Y. Applets in Web browsers called mobile code — Java runs in constrained memory space (sandbox) for security

Z. Security measures: configure firewalls to screen applets; configure browsers to restrict or prevent downloading applets; permit applets only from trusted parties, provide training to users re mobile code
Application & Database Security Key Notes
? Database Integrity is provided by concurrency mechanisms. One concurrency control is locking, which prevents users from accessing and modifying data being used by someone else. Entity Integrity makes sure that a row, or tuple, is uniquely identified by a primary key Referential Integrity ensures that every foreign key refers to an existing primary key. Rollback cancels changes and returns the database to its previous state. This takes place if there is a problem during a transaction. Commit Statement terminates a transaction and saves all changes to the database. Checkpoint is used if there is a system failure or problem during a transaction. The user is then returned to the state of the last checkpoint. Aggregation can happen if a user does not have access to a group of elements, but has access to some of the individual elements within the group. Aggregation happens if the user combines the information of these individual elements and figures out the information of the group of data elements, which is at a higher sensitivity level. Inference is the capability to derive information that is not explicitly available. Common attempts to prevent inference attacks are partitioning the database, cell suppression, and adding noise to the database. Security should be addressed in each phase of system development. Risk Management and assessments should start at the beginning of a project and continue throughout the lifetime of the product. Separation of duties should be practiced in roles, environments, and functionality pertaining to the development of a product.
? ? ? ? ? ?
?
? ? ? ? ?

? ?
Change Control needs to be put in place at the beginning of a project and must be enforced through each phase. Changes must be authorized, tested, and recorded. The changes must not affect the security level of the system or its capability to enforce the security policy. Iterative development is a software development method that follows a cyclic approach to software development.
?
?
Prototypes, and Simulations at different phases of the development cycle periodically revisits previous stages to update and verify design requirements. Security Testing is a comprehensive analysis technique that tests programs under artificially created attack scenarios. High-Level Programming Languages are translated languages for the system and its processor to understand. into machine
? ?

?
Source Code is translated into machine code, or object code, by compilers, assemblers, and interpreters.
?
Assemblers use the basic building blocks of the command processor code to write programs and is the language closest to the binary on which all computers operate, although it is difficult to use it does work well for things like networking and communication protocols.
?
Interpreters are just what they say, they translate the code in real time as you operate the program, then process it, and are therefore the slowest.
?
Compilers translate the code into a format the computer understands prior to the execution (or distribution) of the code and is therefore the easiest to use as it combines the better attributes of both programming methods into one easy to use package.

? ? ? ? ? ? ? ?
Object-Oriented Programming provides modularity, reusability, and more granular control within the programs themselves. Objects are member or instances, of classes. The classes dictate the objects’ data types, structure, and acceptable actions. Objects communicate with each other through messages. A method is functionality that an object can carry out. Data Hiding. Each object encapsulates its data and processes. Objects can communicate properly because they use standard interfaces. Low Coupling if an object does not require much interaction with other modules. The best programming design enables objects to be as independent and modular as possible; therefore, the higher the cohesion and the lower the coupling, the better. Dynamic Data Exchange (DDE) enables applications to work in a client/server model by providing the interprocess communication (IPC) mechanism.
?
?
Distributed Computing Environment (DCE) provides much of the same functionality as DCOM, which enables different objects to communicate in a networked environment.

?
Java Security employs a Sandbox so the applet is restricted from accessing the user’s hard drive or system resources. Programmers have figured out how to write applets that escape the sandbox.
?
ActiveX uses a security scheme that includes digital signatures. The browser security settings determine how ActiveX controls are dealt with.

?
SOAP allows programs created with different programming languages and running on different operating systems to interact without compatibility issues.
?
Software Configuration Managment (SCM) process of controlling software by managing the versions of all components and the relation between them.
System Engineering Vs Systems Security Engineering
?

?
Application Control
? Secure Development : Physcial Protect Source Code I. II. III. IV. ? Tampering Pirating Accidental Loss Protect against attack
Secure Development : Personnel Securirty I. II. III. Hiring Controls Change In Employment Privacy Impact By Employee
?
Seperation of Test Data from Production I. II. Never use on a production system Never use real data
Application Threat
Threats / Attacks Buffer overflow; cross-site scripting; SQL injection; Input Validation canonicalization Network eavesdropping ; Brute force attack; dictionary attacks; Authentication cookie replay; credential theft Elevation of privilege; disclosure of confidential data; data Authorization tampering; luring attacks Unauthorized access to administration interfaces; unauthorized Configuration access to configuration stores; retrieval of clear text configuration management data; lack of individual accountability; over-privileged process and service accounts Sensitive Access sensitive data in storage; network eavesdropping; data information tampering Session Session hijacking; session replay; man in the middle management Poor key generation or key management; weak or custom Cryptography encryption Parameter Query string manipulation; form field manipulation; cookie manipulation manipulation; HTTP header manipulation Exception Information disclosure; denial of service management Auditing and User denies performing an operation; attacker exploits an logging application without trace; attacker covers his or her tracks
Category

? ? ? ? ? ? ? ? ? ? ?
A virus is an application that requires a host application for replication. Macro viruses are common because the languages used to develop macros are easy to use and they infect Office products, which are everywhere. A boot sector virus overwrites data in the boot sector and can contain the rest of the virus in a sector it marks as “bad.” A stealth virus hides its tracks and its actions. A polymorphic virus tries to escape detection by making copies of itself and modifying the code and attributes of those copies. Multipart viruses can have one part of the virus in the boot sector and another part of the virus on the hard drive. A self-garbling virus tries to escape detection by changing, or garbling, its own code. A worm does not require a host application to replicate. A logic bomb executes a program when a predefined event takes place, or a date and time are met. A Trojan horse is a program that performs useful functionality and malicious functionally without the user knowing it. Smurf and Fraggle are two examples of DoS attacks that take advantage of protocol flaws and use amplifying networks.
?
Secure Coding Issues
Buffer Overflow SQL Injection Cross-Site Scripting XSS Dangling Pointer Invalid Hyperlink Secure Web Applications Javascript Attacks Vs Sandbox Application Programming Inteface (API) Open Source
?
Application Security Principles
Validate all input and output = only valid allow Failed Secured (Closed) = should anything fail close all Fail Safe = no single point of failure Make it simple = password write down cause too complex Defense In Depth = if system A fai lto catch B will Only as secure as your weakest link attackers attempt to find
?
Malware and Attacktype
Injection Flaws = user data send to interpreter as part of command attacker can access and modify data > SQL Injection Input Manipulation / Malicious File Execution = code is vulnerable

葵花宝典 CISSP真题录

1．状态检测防火墙什么时候实施规则变更备份？B A 防火墙变更之前 B 防火墙变更之后 C 作为完全备份的一部分 D 作为增量备份的一部分 2．哪项违反了CEI？ B A 隐瞒之前的犯罪记录行为 B CISSP从业者从事不道德行为 3．FTP的风险？B A 没有目标认证 B 明文传输 4．L2TP是为了通过什么协议实现？ A A PPP B PCP 5．VOIP在语音通信过程当中，弱点? B A 没有目标认证 B 没有源认证 6．(1) 假如：T为IDS控制成本费用200000美元 E为每年恢复数据节省费用50000美元 R是为实施控制措施之前的每年恢复费用100000美元 问：实际投资回报为： A -50000 B -100000 C 100000 D 150000 A (投资回报就是控制前-控制后, 投资回报负值就是省了多少，正值就是赚了多少) (2) 问年度预期损失ALE怎么计算： B A (R+E)/T B（R-E）+T C (R-T)*E D T/(R-E) 7．ipsec隧道模式下的端到端加密，ip包头 B A 加密，数据不加密 B和数据一起加密 C 不加密，数据加密 8．实施一个安全计划，最重要的是：B

A 获取安全计划所需的资源 B 与高层管理者访谈 9．安全要求属于： B A. ST安全目标 B. PP C . TOE 10．TOE属于 A A CC B 可信计算机 11．公司进行信息安全评估，打算把所有应用程序维护外包，问对服务提供商什么是最重要的？ C A BIA B 风险管理 C SLA 12．公司运维外包服务，问什么时候跟服务提供商确定安全要求？ A A 合同谈判 B 合同定义 1.外部审计师违反了公司安全要求，问惩罚判定来源： C A 公司安全要求 B 外部审计公司要求 C 双方协议 2.公司实施一个纵深防御政策，问由内到外的层次设计？A？ A 边界场地出入口办公区计算机机房 B 围墙场地出入口计算机机房办公区域 3.802.1 b具有什么功能？ 共享密钥 4.SSL协议双向认证，部分使用，除了客户端验证服务器，还有？ A A 服务器对客户端自我验证 B 客户端对服务器自我验证 5.可重复使用是在CMMI的哪个阶段？第二个 A、不可预测 B、可重复 C、可定义 D、可管理 E、可优化

CISSP认证考试(法律、法规、调查与合规)-试卷1

CISSP认证考试（法律、法规、调查与合规）-试卷1 (总分：62.00，做题时间：90分钟) 1.Cyberlaw categorizes computer-related crime into three categories. Which of the following is an example of a crime in which the use of a computer would be categorized as incidental? （分数： 2.00） A.Carrying out a buffer overflow to take control of a system B.The electronic distribution of child pornography √ C.Attacking financial systems to steal funds D.Capturing passwords as they are sent to the authentication server 解析：解析：B正确。美国已经制定了法律来打击3种类型的犯罪：计算机辅助犯罪、针对计算机的犯罪和附带计算机犯罪。如果某种犯罪属于“附带计算机犯罪”的范畴，这意味着计算机仅以一种次要的方式参与进来，但它的参与微不足道。儿童色情物品的数字发行便是一种“附带计算机犯罪”的例子。真正的犯罪是获取和共享儿童色情图片或图形。这些图片既可以存储在一个文件服务器上，也可以存放在某人桌子上的物理文件中。所以，如果某种犯罪属于这种犯罪类型，并非是一个计算机攻击另外一个计算机。虽然计算机未遭受攻击，但是它却以某种方式被人使用。因此，计算机成为与犯罪有关的额外的证据来源。A 不正确。因为利用缓冲区溢出达到控制系统的目的便是一种针对计算机的犯罪。针对计算机的犯罪是指专门针对计算机(和它的主人)的攻击。其他针对计算机犯罪的例子还有：分布式拒绝服务攻击(distributed denial-of-service attack)、安装旨在造成瘫痪的恶意软件、安装具有恶意目的的rootkits和嗅探器。C 不正确。因为攻击金融系统以偷取资金是一种计算机辅助犯罪。计算机辅助犯罪是指将计算机作为开展犯罪活动的工具。计算机辅助犯罪的例子还有：通过攻击军事系统获取军事情报资料和通过攻击重要的国家基础设施系统从事信息战活动。 D不正确。因为在密码被发送到验证服务器时截获它们是一个针对计算机犯罪的例子。“计算机辅助犯罪”和“针对计算机的犯罪”这两个类别通常容易被混淆，因为从直觉上来看，任何攻击都属于这两类。而区分它们的一种方法就是：针对计算机的犯罪没有计算机就不可能实现，而计算机辅助犯罪在没有计算机的情况下仍然可行。因此，针对计算机的犯罪在计算机普及使用之前不存在(也不可能存在)。换句话说，在过去的好时光里，你不能对你的邻居进行缓冲区溢出攻击，也不能在你敌人的系统上安装恶意软件。这些犯罪都需要用到计算机。 2.Which organization has been developed to deal with economic, social, and governance issues, and with how sensitive data is transported over borders? （分数：2.00） A.European Union B.Council of Europe C.Safe Harbor https://www.360docs.net/doc/d38166602.html,anisation for Economic Co-operation and Development √ 解析：解析：D正确。跨国家边境传输数据的国际组织必须了解和遵循经济合作与发展组织(Organisation for Economic Co-operation and Development，OECD)准则。因为关于私人数据的定义以及如何保护私人数据，大多数国家都有不同的法律条款，因此，国际贸易变得更加错综复杂并给国家经济带米了负面影响。OECD是一个国际化组织，它旨在帮助不同国家和政府共同应对全球化经济所面临的经济、社会和管理挑战。正因为如此，OECD提出了不同国家应该遵循行为指南，从而确保数据得到保护，以及各国都遵循相同的一套规则。这套规则之一便是主体应该能够找出一个组织是否拥有它们自己的私人信息，如果有的话，这信息是什么，从而纠正错误数据并对要求这样做的否定请求提出质疑。A不正确。因为欧盟(European Union)不是一个处理经济、社会和治理问题的组织，而是一个处理敏感数据保护问题的组织。欧盟的隐私原则是：必须在收集数据时具体说明收集原因：数据不能用作其他目的：不应该收集不必要的数据；数据应该只保留到完成既定任务为止：只有需要完成既定任务的人才应该拥有数据的访问权：任何负责安全地存储数据的人都不应该允许数据的无意“泄露”。 B不正确。因为欧洲理事会(Council of Europe)负责创建网络犯罪公约(Conventionfor Cybercrime)。欧洲理事会的网络犯罪公约试图创建一个应对网络犯罪的国际标准。实际上，它是第一个试图通过协调国家法律、提高侦查技术和国际合作寻求处理计算机犯罪的国际化条约。这个公约的目标包括为被告的管辖权和引渡创建一个框架。例如，只有当事故在两个司法管辖区都

对一次通过CISSP考试的建议

对一次通过C I S S P考试的 建议 Prepared on 22 November 2020

对一次通过CISSP考试的建议 通过多年教授“国际注册信息系统安全专家（CISCP）”课程经验后，总结出一些CISSP的考试方法，并相信这些方法是能让您一次通过CISSP考试的有效方法。 有效方法 关于教材的学习： 仔细阅读《（ISC）2 CISSP官方学习指南（第7版）》，每一个章节都要熟读，重点是加强理解。整本CISSP复习指南至少阅读两遍以上，这样能加深内容的印象，对考试才有帮助。 如果自身条件及时间允许的话，可以接受培训。有导师的指导，您能正确理解整体的知识架构、重点和难点、考试技巧、以及学习方法和技巧。 关于做题练习： 练习模拟考试题（可选择《CISSP官方习题集》），认真的去做每一道题，在做题的同时你可以检验出自己在哪方面存在不足，并且可以及时解决问题，直到你达到90％的正确率。 我建议你用在阅读《CISSP学习指南上》的时间为35-45％，15-20％的时间去接受培训，另外35-40％用于模拟考试，这样安排不仅能让你掌握CISSP的知识要点，在时间安排上也比较合理。 如何去考试 认真地对待考试是非常重要的，如果真觉得自己没有准备好，千万不要去尝试，除非您的资金很充足。

考试时要认真的思考每一个问题，像信息安全专家一样，站在企业信息安全保障体系实践下思考问题，选择一个最恰当的答案。 由此您也应该能明白，为什么要去理解《（ISC）2 CISSP官方学习指南（第7版）》中的每一种概念、实践方法和技术。 失败的原因是什么呢 以我的经验，对于大多数具有技术背景的备考者来说，在理解管理方面存在一定的困难，他们往往趋向于技术的思考，这可能是导致失败的一个原因。您面对有一些题的时候，必须像一个信息安全管理者一样去思考问题，并且要学会看到全局。 另一方面，一些有管理背景的备考者在管理方面可能会比较有经验，但是可能会发现在技术问题上有所欠缺。这一类备考者需要了解技术的概念和实践方法，还有更核心的是为什么会有这些技术。 最后就是一些比较有实践经验的备考者，他们尝试运用自己的概念和技术来解答问题，但这是不可靠的。我建议您考虑和接受（ISC）2的思路、方法和技术，因为这些是被国际公认的、现实的和标准化的。（并且大家也是要为拿到认证） 准备材料。 现在市场上会有很多书籍及考试材料，在您不了解的情况下，可以直接选择这些材料来学习，但你应该坚持选择（ISC）2官方的材料，因为官方的材料更权威，知识点更可靠，也更贴近考试内容。 推荐资料：《（ISC）2 CISSP官方学习指南（第7版）》、《（ISC）2 CISSP官方习题集》。 当然了，备考过程中您不用心、不认真，再好的方法也没用。我相信所有备考者，都可以结合自身的情况，运用以上方法取得好成绩。

CISSP最新10位高分考生经验谈

（一）2015年圣诞通过CISSP考试备考经历 2015年的圣诞节在上海黄浦区汉口路亚洲大厦17层奋战了6个小时，最后十分钟才结束检查，交卷，到前台拿考试结果。我连包都没带，把羽绒服脱下来，手机、钱包等物品放在羽绒服里。穿上羽绒服，接过考试结果，瞥了一眼，PASS，虽然内心一阵狂喜，还是非常淡定地穿好衣服走人。电梯下到一楼，用手机拍了一张照，发到朋友圈，考了六小时烤糊了，呵呵。 我应该是2013年的10月份左右参加的培训，当时有些稀里糊涂。培训前一个月把教材寄给我，结果被我丢在一边，没理会。就这么去参加培训了，全脱产5天培训，其中两天是周末，张老师上，余下来三天是另一位老师。依稀记得当时课堂上做题似乎也是错的多对的少，一起培训的大多是银行的人，他们都是要求考过了才给报销考试费，而我是直接培训加考试直接报销了。大部分人在参加培训前已经把All in One这本书看了一遍了，那时候印刷版是第五版，电子版有英文第六版。两位老师都反复强调All in One的重要性，一定要多看几遍这个书，光听培训是不行的。考试的题目比较活，做这些模拟题有点用，但不要抱太大希望。备考无捷径，只有苦读备考圣经--All in One。 老师还说培训完抓紧复习，争取一两个月内拿下考试，否则时间一拖越往后越没信心。而我正好是一个反面典型，一拖就拖了两年。而这两年其实也没好好复习，也就把第五版的All in One看了一遍，第六版的英文教材也就看了前面两三章。因为一直没有做好准备，所以考试的事情一拖再拖，今年下半年时，我下定决心不能再拖了。选了2015年的最后一次考试，也就是12月25日圣诞节的这一天。敲定考试后，本来应该好好复习了，发现也没法好好复习，平时回到家里陪陪女儿，一下子时间就过去了。周末想好好看看书，还是不行。就连那次考前串讲，都是在iPad上断断续续地听的，倒不是因为工作忙，而是送我女儿去写字，呵呵。因为是我坚持送女儿去写字，于是我太太坚决不送。结婚有了小孩后这个时间真是不够用。 回想起来，那几天的培训收获还是挺大的，光看书内容太多，理不出头绪，抓不着重点。 听完培训之后再看书，就容易多了，我是在前面两三章折腾时间特别长。 做那个串讲教材时，我也是一做就错，心里哇凉哇凉的啊。可是离考试只有一多星期了，只能硬着头皮上。我太太看我这个复习的样子，还说你这样子也能过。 想想自己能过，可能有如下几方面的原因： 1、培训的确给力，框架建立起来了。 2、工作经验，毕竟在这一块混了多年。 个人感觉考试题目没有串讲教材那么难，没有多选题，有排序和连线，但加起来的新题型也就4道，而且两道还是单选。 新内容比较少，比如WS-Security、SAML、OAuth2，似乎有一道题考到了云。隐私信息有好几道。 感觉这个考试覆盖面很广，但是深度不大，真好对我这种浅尝辄止人胃口。 （二）拖延症迟来的2015年11月20日考试汇报 ---------------------------------------------------

CISSP官方认证考试指南第7版中文版大纲

CISSP第七版大纲 1.安全何风险管理 1.1.安全基本原则 1.1.1.可用性 1.1. 2.完整性 1.1.3.机密性 1.1.4.平衡安全 1.2.安全定义 1.3.控制类型 1.4.安全框架 1.4.1.ISO/IEC27001系列 1.4. 2.企业安全架构开发 1.4.3.安全控制开发 1.4.4.流程管理开发 1.4.5.功能与安全性 1.5.计算机犯罪法的难题 1.6.网络犯罪的复杂性 1.6.1.电子资产 1.6. 2.攻击的演变 1.6.3.国际问题 1.6.4.法律的类型 1.7.知识产权法 1.7.1.商业秘密 1.7. 2.版权 1.7.3.商标 1.7.4.专利 1.7.5.知识产权的内部保护

1.7.6.软件盗版 1.8.隐私 1.8.1.对隐私法不断增长的需求 1.8. 2.法律、指令和法规 1.8.3.员工隐私问题 1.9.数据泄露 1.9.1.美国的数据泄露相关法律 1.9. 2.其他国家有关数据泄露的法律1.10.策略、标准、基线、指南和过程1.10.1.安全策略 1.10. 2.标准 1.10.3.基线 1.10.4.指南 1.10.5.措施 1.10.6.实施 1.11.风险管理 1.11.1.全面的风险管理 1.11. 2.信息系统风险管理策略 1.11.3.风险管理团队 1.11.4.风险管理过程 1.1 2.威胁建模 1.1 2.1.脆弱性 1.1 2.2.威胁 1.1 2. 3.攻击 1.1 2.4.消减分析 1.13.风险评估和分析 1.13.1.风险分析团队 1.13. 2.信息和资产的价值 1.13.3.构成价值的成本

Cissp考试心得与教材指导.doc

Cissp考试心得与教材指导 前两天接到ISC2给我发来的邮件，当看到邮件中祝贺的字样时, 我知道，我的CISSP考过了。一直悬着的心也终于能够放下了。 去年10月份我在CISSP考试之前，我曾经答应过zsustar,不管结果怎么样，我都会把我备考CISSP的- ?些经验和体会写下来，与正在备考或者准备参加CISSP的朋友们分享，可当时收到成绩单的时候，看到我离分数线之差27分，我一点心情都没有了。250道题，我只要能多答对4-5道题，结果就不会是这样了。 胜利和失败永远只有-线之隔，想要成功，就只能做好充分的准备。在短暂的修整后，我报名参加了12月的CISSP考试。认真总结了第一次考试失败的经验和教训，我又开始重新准备CISSP 考试。考完别人问我考得怎么样，我说：感觉比上次好一点，但不知道结果会不会好一点。现在，我终于可以松-口气。结果，的确比上一次好一点。 CISSP认证不同于其它的认证。我和朋友曾经讨论过CISSP考试与CCIE-security到底有什么不同，我记得我的回答是：CISSP包含了信息安全所涉及的方方面面，包括物理安全、系统安全、操作安全、人员安全等等，而CCIE-security只考虑如何实现网络安全，而且，注重的是如何具体的实现一个安全的网络。因此, 虽然CCIE的考试难度更大一点，但是，CISSP更全面一些。如果你是

一个工程师，想提高自己的在网络安全方面的技术水平， CCIE的认证更加实用一些；CISSP更适合于一个企业内信息部门的主管。 我在公司里主要从事技术支持工作，在工作的过程中，对网络安全、系统安全、风险评估、安全标准、业务连续性计划等内容都有一定程度的接触。当我第一次接触到CISSP的时候，我觉得这个认证就好像是为我量身定做的一样，因此，我决定把这个认证考下来。事实证明，我的工作经验对我能够通过考试也有很大的帮助。 关于教材的选择 关于教材的选择，大家仁者见仁，智者见智，我只对我看过的那些资料谈一下我个人的看法。 The CISSP Prep Guide (2nd Edition) Ronald L. Krutz和Russell DeanVines写的这本书实际上就是大家常说的Prep Guide o据说还有一个Gold Edition,但我一直没有找到英文原版(我在china-pub ±买到了中文版，译者：盛思源、成功)，我手上只有第二版的英文原版，因此，不知道这两个版本之间究竟有什么区别。这本书的最大特点就是考试的针对性特别强，很

CISSP认证考试指南2017

国际注册信息系统安全专家 CISSP认证考试指南

关于(ISC)2 ?国际信息系统安全认证协会(International Information Systems Security Certification Consortium) 成立于1989年，总部设在美国弗罗里达州Palm Harbor，在伦敦、香港、东京、北京等地设有办事处，是一个独立的、全球性的、非盈利的组织。 致力于： ?维护信息系统安全领域的通用知识体系 ?为信息系统安全专业人士和从业者提供认证 ?从事认证考试的培训和对认证考试进行的管理 ?通过连续教育培训,对有资格的认证候选人的授权工作进行管理.?(ISC)2同时也向公众提供信息安全方面的教育和咨询服务。

关于(ISC)2 ?(ISC)2是信息安全领域的顶级认证机构之一，到现在已经给超过120个国家的数万名安全专家授予了相关认证。(ISC)2目前提供如下认证： CISSP(Certified Information System Security Professional) 认证信息系统安全专家 SSCP（System Security Certificated Practitioner）认证系统安全实践者 CAP（Certification and Accreditation Professional）认证和评估专家 CSSLP（Certified Secure Software Lifecycle Professional ）安全软件生命周期 认证专家

关于我们 ?“汇哲科技”由北京汇哲信安科技有限公司、上海汇哲信息科技有限公司等多个独立公司所组成。（简称“汇哲科技”或“SPISEC”）。长年致力于IT治理,信息安全,IT审计,IT服务管理,业务连续性,项目管理,领先理念等方面实践培训与研究，始终以培养国内信息安全专业人才、组织中国信息安全人交流为发展目标。 ?作为领先的专业培训服务机构，汇哲一直致力于推广信息安全理论和实践，为学员提供“学习国际知识、拓宽职业道路、融入专业社区、持续提升能力”服务。

CISSP_十分全面的介绍

First CISSP简要介绍 编者序言：网络圈中的工程师大概都知道思科的CCIE认证。如果有谁说自己没听过CCIE，那就好象在说自己是外星人一样。同样，在信息安全圈中，也有权威的国际认证，那就是CISSP“Certified Information System Security Professional”（信息系统安全认证专家）。 关于《怎样成为一名CISSP》的初衷 本文作者J0ker是在安全圈中混迹多年的安全专家，他将自己求学CISSP的亲身经历整理成《CISSP的成长之路》系列文章，用J0ker的话说，出文章的目的最主要是想把自己的经验与广大网友分享，同时也纪念自己从业以来的一些经历。J0ker 的话很精练，之前在https://www.360docs.net/doc/d38166602.html,安全频道推出了自己的很多文章，现在安全频道的每周信息安全要闻回顾栏目就是他主持的，我想J0ker出《CISSP的成长之路》系列，也是对他自己的另一种鞭策。 《CISSP的成长之路》将由15到20篇文章组成。其中详细的介绍了CISSP的相关知识、认证备考经过和心得，另外J0 ker还会从CISSP的角度，向大家简单介绍信息安全的组成。希望《CISSP的成长之路》能给大家都带来帮助。最后引用一句J0ker常说的话：你们的支持就是我不断努力向前的动力：） 正文 作为《CISSP的成长之路》系列的第一篇文章，J0ker打算先简要向读者介绍一下CISSP的背景知识，下面我们先来看C ISSP认证的颁发机构（ISC）2： （ISC）2是信息安全领域的顶级认证机构之一，成立于1989年，到现在已经给超过120个国家的五万多名安全专家授予了相关认证。（ISC）2目前提供如下6种认证： SSCP（SystemSecurityCertificatedPractitioner）认证系统安全实践者 CAP（CertificationandAccreditationProfessional）认证和评估专家 CISSP(CertificatedInformationSystemSecurityProfessional) 认证信息系统安全专家 CISSP的升级版本CISSP-ISSAP(InformationSystemSecurityArchitectureProfessional) 信息系统安全架构专家CISSP-ISSMP（InformationSystemSecurityManagementProfessional）信息系统安全管理专家 CISSP-ISSEP（InformationSystemSecurityEngineeringProfessional）信息系统安全工程专家 （ISC）2同时也向公众提供信息安全方面的教育和咨询服务。(ISC)2的官方网站是https://www.360docs.net/doc/d38166602.html, （ISC）2提供的6种认证中，知名度最高和持有者人数最多的是CISSP。截至2007年4月底，全球共有48598名CISS P，其中人数最多的是美国，现有30385名，中国大陆有371名。因为CISSP的升级版本ISSAP和ISSMP要求考试的报名者

cissp_studyguide中文版

Certified Information System Security Professional CISSP证书 公共知识体系学习指南

目录

如何使用本学习指南 本指南针对那些对由CISSP认证感兴趣的安全实践人员开发。它分为三个部分，第一部分是介绍，本解释了CBK，它是CISSP认证考试的基础。此外，CBK也是对由（ISC）2TM提供的CBK复习研讨会（CKB Review Seminar）的基础，也是对想在谈论CISSP证书考试之前正式研究CBK的个体的基础。 第二部分包括十个CBK领域。第一领域包含一个概要和主要知识范畴。 第三部分提供来发展证书考试的参考目录。根据技术和方法的变化，此参考化同时，此参考的且并不试图包揽一切。本部分的目的提供参考类型的例子，它们也许对CISS 证书考试的准备工作有帮助，并且它不是由（ISC）2TM或它的执行委员会直接或间接发行这些参考的。

公共知识体系（CBK） 一般而言职业是特征化的，部分上讲，通过该职业的从业由一种人员共享的，的知识主体他们在工作中应用刻划。它通常是抽象的和稳定的。它独立于必要的技能，工作，行为或技术。CBK语言会专业人员之间的交流。这样一个CBK的存在是必要的，但并不足以证明有资格的专业人员。 CBK委员会由（ISC）2TM执行董事会，对定期为信息安全专业的知识体系进行更新。委员会成员从相关领域中最有经验的和知名的领军人物中选取。委员会鉴定该知识体的边界和主题领域。在决定CBK中应包含什么内容时，决定CBK包含什么委员会的依据是依赖于知识的深度和广度以及中委员对知识的期望。就是，如果委员们认同其它安全专业人员的信息安全领域的某些知识，同时并不认为这些知识不在此领域内，则这些知识就确定为CBK的一部分。但是，如果通常一些特殊的知识认为不在信息安全专业内，则它的知识不包含在CBK内。 当前版本的CBK已更新，由于美国政府的法律和政策删除了一些特殊的参考，增加了国际标准的参考。CBK被组织成十个领域和多个子领域。本学习指南有对CBK中的领域的一节每一，用来帮助应试者准备CISSP认证考试。这十个领域是： 1.访问控制系统和方法 2.电信和网络安全 3.安全管理准则 4.应用和系统开发安全 5.密码学 6.安全体系结构和模型 7.操作安全 8.业务连续性计划（BCP）和空难性恢复计划（DRP） 9.法律，调查研究和道德规范 10.物理安全

CISSP 考试心得

出来拿到监考MM打印出来的PASS的通知单时，悬着的心终于落下了。 最早知道CISSP是在2011年，那个时候还只有英文考试。本文的英文水平比较烂，从小到大英语一直不好，可能有恐惧症吧。一直没有参加英文考试的勇气。2012年知道了CISA，那个时候貌似以已经有CISA的中文考试了，也想学习些信息系统审计的东西。就计划考一下，不过那一年一直比较忙，也没有时间准备。到了2013年终于有了些时间，报了个培训班，参加了6月份的考试。侥幸过了。同年CISSP也推出了中文机考，给我这种英文比较烂的人带来的福音。本来考完CISA后，准备在10.1之前把CISSP也考了，但是下半年出差太频繁，就在网上下载了AIO第五版的中文教材，在宾馆没事的时候就看几页，前后加起来看了有三遍吧。不知不觉就快到年底了，后来觉得这个事情不能再拖了。11月底抽了几天时间回上海参加5天的培训。然后就报名2014年一月低，在阴历年到来之前赶紧把这个事情落实了。那个时候离开时大概还有两个月的时间，又把AIO中文第五版的电子版看了两遍，纸质书看了一遍。我基本上就是看书来着，一遍又一遍的看，不过每次看都比上次看有更深的理解了。题目基本上没怎么做，汇哲给的shonharris编写的习题集，做了两章就做不下去了，一个是都是英文必须用金山词霸查，做完一个得一两个小时，太熬人。二个是这位猛女编写的习题个人觉得实在不怎么样。很多都是AIO教材上的一些图，扣几个空下来让填空。而且很多题目都涉及美国的法律法规什么的，实际的考试中也基本不会考到。火来索性不做了。国盟上的每日一题，大概做了不到100道吧，反正碰到原题的几率不大，主要是要掌握住知识点。 至于要不要参加培训，只能仁者见仁智者见智了。我CISA和CISSP都参加培训了。毕竟花钱不少美刀参加考试，肯定想一次性过么，个人觉得培训还是能帮着把一些知识点帮你理顺，复习的时候更有针对性吧。 说一下去考试的情况吧，我选择的考点是天钥桥路路腾飞广场。进去后需要身份证和一张签了名的信用卡，然后是采集掌纹，所有的东西都不得带入考场。去的时候带了两罐红牛，进考场前喝了一罐，中间休息的时候又喝了一罐（中间休息的时候也算时间的）。里面考MAIT的人挺多的，一人一格的，不过考CISSP的是个小单间，一面只有一台电脑，怪爽的。噪音不咋大，基本上不用带耳塞的。盯着电脑屏幕时间长了，眼镜都花了，建议做了大概150道题的时候，出来休息一下，缓解一下眼睛。对了，提前到的话，如果有空机的话可以提前考试的。把题目做完大概用了四个小时。然后把标记30道左右的题，检查了一下。大多数都没有改，就改了不到5个。有些也拿不准还是相信第一印象吧。最后还有20分钟的时候提交了试卷。怀着忐忑的心情走出了考场，好歹是过来。下面的事情就该准备英文简历和请人背书的事情了。不太会写，基本上算记流水账吧，希望对即将参见CISSP考试的人有帮助。

CISSP 考生复习经验分享汇总

总是看别人的心得,终于可以自己写一次啦.本人毕业后一直从事信息安全工作, 5年外企工作经验,下面说一下我的学习计划供大家参考. 2016.02.18到2016.04.28,第一遍all in one 6th,我直接看的英文,课后题正确率60%左右. 2016.4.29到2016.7.17(5.20到6月20有事完全没看),第二遍all in one 6th,课后题正确率80%左右.然后就高兴的找preguide的review question来做,发现正确率很低,有的知识点在all in one里面没见到,所以决定看preguide. 2016.7.18到2016.9.10(中间孩子生病耽误了10几天), preguide只看了这一遍, review question在做第二遍的时候正确率大概75%左右. 2016.9.11到2016.10.12,找了很多各章节的题目,包括以前老一点的题目,如果遇到不是很清楚的就去找看相应的章节.做题速度也明显提升,基本3个小时能答完250道的速度. 因为白天工作是项目赶进度的时候,没有时间看,晚上和周末要陪孩子.我基本都是早上在路上看书,晚上9点多孩子睡着了再看,有效时间每天差不多保证2小时(当然也有哄着孩子睡觉自己睡过去的时候). 考试的时候是理解题多一些, 但也不全是情景题.不会直接考概念,都会转个弯问,答案里面基本有两个一看就是错的,但剩下的两个就看你怎么理解了.有图形题和配对题. 对我来说看书和做题都很重要, 必须对大部分的知识点都有概念了再做题,查缺补漏.如果能看下去CBK,可以直接看CBK, all in one还是10个域的知识点, CBK虽然少了两个域,但内容上却增加了,其他章节整合了.我是看不下去CBK,内容太散了,和我一样的同学可以看all in one,再看一遍pre-guide 7th,补充下知识点就可以了. 要报考了才知道没英文考试了,好在是中英对照的,考试的时候可以直接忽略中文,不然那个翻译会很影响你的判断.我前150道题完全没状态,速度也慢.出去喝水上厕所又在外面站了会才回去,后面正确率和速度都上来了,但5个小时过去了,只剩下1个小时检查,把标记的检查了一遍,从头检查到170道的时候时间到了,检查的时候改了很多,因为之前的150道完全没状态. 出去考试人员打印出两张纸,一看是恭喜我就跑出去玩啦……….

CISSP认证术语全表(2017年新版中文考生必备)

1 2016 CISSP Certification Exam Glossary CISSP 认证术语全表 Basic Vocabulary CISSP Certified Information Systems Security Professional CBK Common Body of Knowledge CERT Computer Emergency Response Team (ISC)2 International Information Systems Security Certifications Consortium, Inc. SIG-CS Special Interest Group for Computer Security DPMA Data Processing Management Association ISSA Information Systems Security Association CIPS Canadian Information Processing Society CSI Computer Security Institute CPE Continuing Professional Education FBI Federal Bureau of Investigation PCCIP President Commission on Critical Infrastructure Protection PPD President Decision Directive CIAO Critical Infrastructure Assurance Office ISACs Information Sharing and Analysis Centers MDACs Microsoft Data Access Components CC Common Creteria TCSEC Truested Computer System Evaluation Criteria ITSEC Information Technology Security Evaluation Criteria

CISSP认证成功备考经验谈

1. 选择教材 关于CISSP的教材有很多，我自己在备考时主要参考了all in one，这也是在谷安天下培训时，讲师推荐的参考资料。由于CISSP考试的内容涵盖的范围很广，在准备考试时总要遇到一些没有见过的名词或者术语，这就需要借助其它参考资料如prep guide等。我个人经常使用维基百科https://www.360docs.net/doc/d38166602.html, 来查找一些名词或者术语的解释。另外，经常在网上有很多人找中文的CISSP资料，我个人还是推荐大家一开始就使用英文的资料。因为，一方面，中文的资料比较少而且比较老;另一方面，CISSP的考试目前还没有中文的考试，我们只能选择英文的。使用英文的资料，原汁原味，便于对知识点的完全理解和对实际考题的把握。 2. 复习考试 确定主要的参考资料后，接下来最为关键的就是准备复习考试了。说实话All in one 1000多页的内容，大多数人一看教材的厚度就感觉有点吃不消，更何况这1000多页内容还是英文的。 当我把书通读一遍后，再看第二遍的时候就感觉容易多了。我个人觉得书还是有必要多看的，但是读书不是走过场，要针对自己不熟悉的领域多读多看。要有重点，有目的的看书。 3. 做题 CISSP考试涉及的范围很广，包括了信息安全的各个方面，但是试题的难度并不大。所以备考的关键是要掌握大量的知识点，做题只是用来检验自己当前的备考情况。我个人在备考的时候，每看完一章的内容，都会做一些题来检验自己的读书情况。但是做的题量并不大，比较熟悉的章节一般是25个题，不熟悉的章节一般是50个题左右。 4. 考试 CISSP的考试报名非常方便，可以在(ISC)2 网上报名，用信用卡缴费。参加考试的时候要打印出(ISC)2 的admin letter还要带上身份证。CISSP的考试长达6个小时，既是对知识的考察，又是对体力的考验，所以考前充分的休息以保证充沛的精力参加考试是非常必要的。 在考试后的两周，我收到了考试通过的邮件，同时(ISC)2还要求准备endorsement文件。我分别用email和传真把endorsement文件发给了(ISC)2。(ISC)2的效率很高，两天后就通知我通过了审核，CISSP证书也已经寄出。大概再过2周便收到了(ISC)2寄来的CISSP证书。 通过CISSP考试，并不是学习的结束，而是刚刚开始。我觉得拿到一个证书，只是证明了你具备了这个证书所要求的基本知识，要想在以后的工作中取得成功，还需要我们不断的去学习。我想这也是为什么(ISC)2要求每个CISSP三年要攒够120个CPE的主要原因吧。“路漫漫其修远兮，我将上下而求索”，借此与诸位共勉。

我的两次CISSP考试认证历程

我的两次CISSP考试认证历程 经过一个半月的煎熬等待，终于收到了CISSP考试通过的通知， 之前的努力付出算是有了收获。网上有许多成功考过的心得，但是很少有讲失败经历的，实在惭愧，我经历过一次失败，红着脸给大家分享，希望能够为那些准备或已经奋斗在CISSP考试路上，和我一样迷茫过的同学们提供一些帮助借鉴。 第一次备考： 从去年九月开始打算考CISSP，学习第一本资料是AIO第五版。对于考试学习，我属于学渣级别，看到考试就头大，两个多月后才看完第一遍，每一章花的时间太长 ，看了下一个CBK，忘记上一个CBK。总体感觉是知识点太分散，抓不住考点在哪，英文又蹩脚，把每个CBK后面测试题做了一下，结果惨不忍睹，而CISSP中文测试题资料也不好找，索性硬着头皮开始啃AIO英文第五版，并参加 了十二月份的CISSP培训。 开始总是比较难，走出大学后英文就还给了老师，满篇的单词不识几个，且不说理解，能完整看完一篇都很困难，而一千多页的英文几乎成了我不可跨越的大山。这需要坚持不懈的恒心和毅力，为搞定英文，必要的武器是不能少的：平板和一个好用的词典软件。之后就是每天坚持学习，根据自己学习能力制定学习量，争取每天阅读量能不断递增，从不间断。就这样又花了近三个月时间看完英文版，此时我已经在CISSP考试的路上奋斗了五个多月，希望春节前考过CISSP 计划落空，而我定下目标是六个月内要拿下，只有争取三月初报名考试。 接下来一个月时间里为避免知识遗漏，又找了一些资料如study guide，prep guide，网友学习笔记等看了看（实际情况是我连AIO知识点都没有吃透），之后再把AIO第六版英文版（当时第六版中文版还没有出来）中相对第五版中不同的知识点看了一遍，将每个CBK后面习题做了一遍，正确率在70%左右，自我感觉是如果是中文题，正确率应该能够在80%以上的，这个错误的主观判断和自己强烈想三月前完成CISSP考试的目标，让我最终决定三月初报名考试。考前两天我把做错的题在看了一遍，匆匆翻了一遍培训讲义，快速过了一遍十个CBK知识点，感觉不是太好，但还是相信运气好点应该能过。 考试当天醒的很早，我预约时间是九点半，为了让自己心里踏实一些，又狂翻了一下知识要点（没有任何效果，反而让自己思维混乱），然后吃了早点，带上几块巧克力一瓶水，以备考试中途休息补充能量。到了考试点后就是一系列身份证，指纹，照相，签名，进出考场掌纹验证，气氛搞得有点紧张（身份证明必须要两个，身份证，社保卡，行用卡，护照均可）。进入考试后开始做的前几题就让我有点忐忑了，都是我不熟悉的领域，和测试题的类型差距也比较大，而旁边考GAT的兄弟键盘敲的哗哗响。没办法，只有静下心来慢慢往后做，感觉题目难度下降，渐渐进入考试节奏，做到150道后精力不太集中，有点犯困，出来补充下能量，闭上眼休息了半小时。回来把剩下题目做完，离考试结束还有四十分钟，然后对没有把握的题再看一遍，还没全部检查完考试时间结束，考完第一感觉就是成绩介于过与不过之间，紧张地在考场外等待宣判。几分钟后一张纸递到眼前：分数680，你很努力但很遗憾，欢迎下次再来！然后下面依次列出了考的好与不好的CBK，令我意外的是其中考的不好的一个CBK是我比较熟悉的一个领域。 心情失落是肯定的，但是生活还的继续，几天的消沉之后，开始思考失败的

01 CISSP认证考试指南复习

第三章信息安全与风险管理 1、脆弱性指的是缺少防护措施或防护措施存在能够被利用的缺陷。 2、威胁是某人或某物有意或无意地利用某种脆弱性并导致资产损失的可能 性。 3、风险是威胁主体利用脆弱性的可能性以及相应的潜在损失。 4、减少脆弱性和／或威胁就可以降低风险。 5、暴露是由于威胁而造成资产损失的实例。 6、对策（也称为防护措施）能够缓解风险。 7、对策可以是应用程序、软件配置、硬件或措施。 8、如果某人行使“适当关注”，那么说明他对自己的行为负责。如果出现安 全入侵，那么他被发现失职和承担的可能性更小。 9、因为网络已经从集中化环境发展成为分布式环境，所以安全管理最近几年 变得更为重要。 10、安全计划的目标是为数据和资源提供机密性、完整性和可用性。 11、战略规划是长期规划，战术规划是中期规划，而操作规划是日常规划。它 们组成了一个远景规划。 12、ISO／IEC27002（以前的ISO17799 Part 1）是一组内容全面的控制措施， 包括信息安全方面的最佳实践，并且为如何制订和维护安全计划提供指导 原则。 13、安全组件可以是技术性的（防火墙、加密以及访问控制列表），也可以是 非技术性的（安全策略、措施以及实施遵从）。 14、资产标识应当涉及有形资产（设施和硬件）和无形资产（企业数据和声誉）。 15、评估项目规模指的是理解和记录项目的范围，必须在进行风险分析之前进 行这种评估。 16、保证是提供特定安全级别的信任程度。 17、CobiT是一个架构，它定义了应该用于正确管理IT并确保IT满足业务需 求的控制措施的目标。 18、CibiT分为4个领域：计划与组织、获取与实现、交付与支持以及监控与 评估。 19、ISO／IEC27001是用于建立、实现、控制和完善信息安全管理系统的标准。 20、安全管理应该由顶向下进行（从高级管理层向下至普通职员）。 21、治理是董事会和执行管理层履行的一组职责和实践，其目标在于提供战略 指导，确保目标得以实现，风险得到适当管理，并验证企业的资源得到合 理利用。 22、一个公司选择的安全模式取决于该公司的业务类型及其关键任务和目标。 23、OECD是一个帮助不同政府展开合作、处理全球经济所面临的经济、社会 和管理挑战的国际性组织。 24、风险可以转移、规避、缓解或接受。 25、公司购买保险就是风险转移的示例。 26、缓解风险的方式包括改善安全措施和实现防护措施。 27、威胁＊脆弱性＊资产价值＝总风险。 28、（威胁＊脆弱性＊资产价值）＊控制间隙＝剩余风险。 29、风险分析由下列4个主要目标：确定资产及其价值，识别脆弱性和威胁， 量化潜在威胁的可能性与业务影响，在威胁的影响和对策的成本之间达到

葵花宝典--CISSP真题录.docx

葵花宝典 --CISSP 真题录

1．状态检测防火墙什么时候实施规则变更备份？ B A防火墙变更之前 B防火墙变更之后 C作为完全备份的一部分 D作为增量备份的一部分 2．哪项违反了 CEI？ B A隐瞒之前的犯罪记录行为 B CISSP从业者从事不道德行为 3．FTP的风险？ B A没有目标认证 B明文传输 4．L2TP是为了通过什么协议实现？A A PPP B PCP 5．VOIP在语音通信过程当中，弱点? B A没有目标认证 B没有源认证

6．(1) 假如： T 为 IDS 控制成本费用 200000 美元 E为每年恢复数据节省费用 50000 美元 R是为实施控制措施之前的每年恢复费用 100000 美元 问：实际投资回报为： A-50000 B-100000 C100000 D150000 A ( 投资回报就是控制前 - 控制后 , 投资回报负值就是省了多少，正值就是赚了多少 ) (2)问年度预期损失 ALE怎么计算： B A (R+E)/T B（R-E）+T C(R-T)*E D T/(R-E) 7．ipsec 隧道模式下的端到端加密，ip 包头B

A加密，数据不加密 B和数据一起加密 C不加密，数据加密 8．实施一个安全计划，最重要的是：B A获取安全计划所需的资源 B与高层管理者访谈 9．安全要求属于：B A. ST 安全目标 B.PP C.TOE 10．TOE属于A A CC B可信计算机 11．公司进行信息安全评估，打算把所有应用程序维护外包，问对服务提供商什么是最重要的？ C A BIA B风险管理

C SLA 12．公司运维外包服务，问什么时候跟服务提供商确定安全要求？ A A合同谈判 B合同定义 1.外部审计师违反了公司安全要求，问惩罚判定来源： C A公司安全要求 B外部审计公司要求 C双方协议 2. 公司实施一个纵深防御政策，问由内到外的层次设计？ A ？ A 边界场地出入口办公区计算机机房 B 围墙场地出入口计算机机房办公区域 3.802.1 b 具有什么功能？ 共享密钥