CISSP第九版的整体框架
2023-05-12 16:40:38 1 举报AI智能生成
包括cissp八个安全域详情与相关章节的对应
作者其他创作
大纲/内容
·1.2.1保密性、完整性、可用性、真实性和不可否认性
·1.2理解和应用安全概念
·1.3.1安全功能与业务战略、目标、使命和宗旨保持一致·1.3.2组织流程(如收购、资产剥离、治理委员会)·1.3.3组织的角色与责任·1.3.4安全控制框架·1.3.5应尽关心和尽职审查
·1.3评估和应用安全治理原则
·1.7制订、记录和实施安全策略、标准、程序和指南
·1.11理解与应用威胁建模的概念和方法
·1.12.1与硬件、软件和服务相关的风险·1.12.2第三方评估与监测·1.12.3最低安全要求·1.12.4服务水平要求
·1.12应用供应链风险管理(SCRM)概念
第一章
·1.9.1候选人筛选与招聘·1.9.2雇佣协议及策略·1.9.3入职、调动和离职程序·1.9.4供应商、顾问和承包商的协议和控制·1.9.5合规策略要求·1.9.6隐私策略要求
·1.9促进并执行人员安全策略和程序
·1.10.1识别威胁和脆弱性·1.10.2风险评估/分析·1.10.3风险响应·1.10.4选择与实施控制措施·1.10.5适用的控制类型(如预防、检测、纠正)·1.10.6控制评估(安全与隐私)·1.10.7监控和测量·1.10.8报告·1.10.9持续改进(如风险成熟度模型)·1.10.10风险框架
·1.10理解并应用风险管理概念
·1.13.1展示意识和培训的方法和技巧(如社会工程、网络钓鱼、安全带头人、游戏化)·1.13.2定期内容评审·1.13.3计划有效性评估
·1.13建立并维护安全意识、教育和培训计划
第二章
·1.8.1业务影响分析(BIA)·1.8.2制订并记录范围和计划
·1.8业务连续性(BC)需求的识别、分析与优先级排序
第三章
·1.4.1合同、法律、行业标准和监管要求·1.4.2隐私要求
·1.4确定合规和其他要求
·1.5.1网络犯罪和数据泄露·1.5.2许可和知识产权(IP)要求·1.5.3进口/出口控制·1.5.4跨境数据流
·1.5全面理解全球范围内与信息安全相关的法律和监管问题
第四章
·1.1.1ISC职业道德规范·1.1.2组织道德规范·1.6了解各类调查的要求(即行政、刑事、民事、监管、行业标准)
·1.1理解、坚持和弘扬职业道德
第十九章
域1安全与风险管理
·2.1.1数据分类·2.1.2资产分类
·2.1信息和资产的识别和分类
·2.2建立信息和资产的处理要求
·2.4.1数据角色(如所有者、控制者、托管人员、处理者、用户/主体)·2.4.2数据收集·2.4.3数据位置·2.4.4数据维护·2.4.5数据留存·2.4.6数据残留·2.4.7数据销毁
·2.4管理数据生命周期
·2.5确保适当的资产保留期(如生产期终止(EOL)、支持期终止(EOS))
·2.6.1数据状态(如使用中、传输中、静态)·2.6.2范围界定和按需定制·2.6.3标准选择·2.6.4数据保护方法(如数字版权管理(DRM)、数据丢失预防(DLP)、云访问安全代理(CASB))
·2.6确定数据安全控制和合规要求
第五章
·2.3.1信息和资产所有权·2.3.2资产列表(如有形、无形)·2.3.3资产管理
·2.3安全配置资源
第十六章
域2资产安全
·3.1.1威胁建模·3.1.3纵深防御
·3.1利用安全设计原则研究、实施和管理工程过程
·3.5.4密码系统
·3.5评价和抑制安全架构、设计和解决方案元素的漏洞
·3.6.1密码生命周期(如密钥管理、算法挑选)·3.6.2加密方法(如对称、非对称、椭圆曲线、量子)·3.6.6不可否认性·3.6.7完整性(如哈希)
·3.6挑选和确定密码解决方案
·3.6.1密码生命周期(如密钥管理、算法挑选)·3.6.2加密方法(如对称、非对称、椭圆曲线、量子)·3.6.3公钥基础设施(PKT)·3.6.4密钥管理实践规范·3.6.5数字签名和数字证书·3.6.6不可否认性·3.6.7完整性(如哈希)
·3.7.1暴力破解·3.7.2唯密文·3.7.3已知明文·3.7.4频率分析·3.7.5选择密文·3.7.6实现攻击·3.7.7边信道·3.7.8故障注入·3.7.9计时·3.7.10中间人(MITM)
·3.7理解密码分析攻击方法
第七章
·3.1.4默认安全配置·3.1.5失效安全·3.1.7保持简单·3.1.8零信任·3.1.9通过设计保护隐私·3.1.10信任但要验证
·3.2了解安全模型的基本概念(例如Biba、星形模型、Bell-LaPadula)
·3.3根据系统安全要求选择控制
·3.4了解信息系统(IS)的安全能力(例如内存保护、可信平台模块、加密/解密)
第八章
·3.1.11共担责任
·3.5.1基于客户端的系统·3.5.2基于服务器端的系统·3.5.5工业控制系统(ICS)·3.5.7分布式系统·3.5.8物联网(ToT)·3.5.9微服务·3.5.10容器化·3.5.11无服务器·3.5.12嵌入式系统·3.5.13高性能计算(HPC)系统·3.5.14边缘计算系统·3.5.15虚拟化系统
第九章
·3.8站点与设施设计的安全原则
·3.9.1配线间/中间布线设施·3.9.2服务器间/数据中心·3.9.3介质存储设施·3.9.4证据存储·3.9.5受限区与工作区安全·3.9.6基础设施与HVAC·3.9.7环境问题·3.9.8火灾预防、探测与消防·3.9.9电源(如冗余、备份)
·3.9站点与设施安全控制设计
第十章
·3.7.11哈希传递攻击·3.7.12 Kerberos 漏洞利用
第十四章
·3.1.2最低特权·3.1.6职责分离(SoD)
·3.5.6基于云的系统(例如,软件即服务(SaaS)、基础架构即服务(laaS)、平台即服务(Paas))
·3.5.3数据库系统
第二十章
·3.7.13勒索软件
第二十一章
域3安全架构与工程
·4.1.1OSI模型和TCP/IP模型·4.1.2互联网协议(P)网络(如互联网协议安全(IPSec)、互联网协议(IP)v4/6)·4.1.3安全协议·4.1.4多层协议的含义·4.1.5融合协议(如以太网光纤通道(FCoE)、互联网小型计算机系统接口(iSCSID、互联网语音协议(VolP))·4.1.6微分网段(如软件定义网络(SDN)、虚拟可扩展局域网(VXLAN)、封装、软件定义广域网(SD-WAN))·4.1.7无线网络(如LiFi、Wi-Fi、Zigbee、卫星)·4.1.8蜂窝网络(如4G、5G)·4.1.9内容分发网络(CDN)
·4.1评估并实施网络架构中的安全设计原则
·4.2.1硬件操作(如冗余电源、保修、支持)·4.2.2传输介质·4.2.3网络访问控制(NAC)设备·4.2.4端点安全
·4.2安全的网络组件
第十一章
·4.1.2互联网协议(IP)网络(如互联网协议安全(IPsec)、互联网协议(IP)v4/6)
·4.3.1语音·4.3.2多媒体协作·4.3.3远程访问·4.3.4数据通信·4.3.5虚拟化网络·4.3.6第三方连接
·4.3按照设计实现安全通信通道
第十二章
域4通信与网络安全
·5.1.1信息·5.1.2系统·5.1.3设备·5.1.4设施·5.1.5应用
·5.1资产的物理和逻辑访问控制
·5.2.1身份管理(IdM)实施·5.2.2单因素/多因素身份认证(MFA)·5.2.3问责·5.2.4会话管理·5.2.5身份注册、证明和创建·5.2.6联合身份管理(FM)·5.2.7凭证管理系统·5.2.8单点登录(SSO)·5.2.9准时制(JIT)
·5.2管理人员、设备和服务的标识和认证
·5.3.1本地部署·5.3.2云部署·5.3.3混合模式
·5.3通过第三方服务进行联合身份认证
·5.5.1账户访问审查(如用户、系统、服务)·5.5.2配置和取消配置(如入职、离职和调动)·5.5.3角色定义(如分配到新角色的人员)
·5.5管理身份和访问配置生命周期
第十三章
·5.4.1基于角色的访问控制(RBAC)·5.4.2基于规则的访问控制·5.4.3强制访问控制(MAC)·5.4.4自主访问控制(DAC)·5.4.5基于属性的访问控制(ABAC)·5.4.6基于风险的访问控制
·5.4授权机制的实现和管理
·5.5.4特权提升(如托管服务账户、使用sudo、最小化使用)
·5.6.1OpenID Connect(OIDC)/开放授权(Oauth)·5.6.2安全断言标记语言(SAML)·5.6.3 Kerberos·5.6.4远程认证拨入用户服务(RADIUS)/增强型终端访问控制器访问控制系统(TACACS+)
·5.6实施身份认证系统
域5身份和访问管理
·6.1.1内部·6.1.2外部·6.1.3第三方
·6.1设计和验证评估、测试和审计策略
·6.2.1漏洞评估·6.2.2渗透测试·6.2.3日志审查·6.2.4模拟事务·6.2.5代码审查和测试·6.2.6误用案例测试·6.2.7测试覆盖率分析·6.2.8接口测试·6.2.9入侵攻击模拟·6.2.10合规性检查
·6.2进行安全控制测试
·6.3.1账户管理·6.3.2管理评审和批准·6.3.3关键绩效和风险指标·6.3.4备份验证数据·6.3.5培训和意识
·6.3收集安全过程数据(如技术和管理)
·6.4.1补救措施·6.4.2异常处理·6.4.3道德披露
·6.4分析测试输出并生成报告
·6.5.1内部·6.5.2外部·6.5.3第三方
·6.5执行或协助安全审计
第十五章
·6.3.5培训和意识·6.3.6灾难恢复(DR)和业务连续性(BC)
第十八章
域6安全评估与测试
7.13参与业务连续性(BC)计划和演练
·7.14.1边界安全控制·7.14.2内部安全控制
·7.14物理安全的实现与管理
·7.7.1防火墙(如下一代防火墙、Web应用防火墙、网络防火墙)
·7.7运行和维护检测与预防措施
·7.3执行配置管理(CM)(如配置、基线、自动化)
·7.4.2职责分离(SoD)和责任·7.4.3特权账户管理·7.4.4岗位轮换·7.4.5服务水平协议(SLA)
·7.4应用基本的安全运营概念·7.4.1因需可知/最小特权
·7.5.2媒介保护技术
·7.5应用资源保护·7.5.1媒介管理
·7.8实施并支持补丁和漏洞管理
·7.9理解并参与变更管理流程
·7.15.1出差·7.15.2安全培训和意识·7.15.3应急管理·7.15.4胁迫
·7.15解决人员安全问题
·7.2.1入侵检测和预防·7.2.2安全信息和事件管理(SIEM)·7.2.3持续监控·7.2.4出口监控·7.2.5日志管理·7.2.6威胁情报(如威胁馈送、威胁搜寻)
·7.2开展日志记录和监控活动
·7.6.1检测·7.6.2响应·7.6.3抑制·7.6.4报告·7.6.5恢复·7.6.6补救·7.6.7总结教训
·7.6实施事件管理
·7.7.2入侵检测系统(IDS)和入侵预防系统(IPS)·7.7.3白名单/黑名单·7.7.4第三方提供安全服务·7.7.5沙箱·7.7.6蜜罐/蜜网·7.7.7反恶意软件·7.7.8基于机器学习和人工智能(A)的工具
第十七章
·7.10.1备份存储策略·7.10.2恢复站点策略·7.10.3多处理站点·7.10.4系统韧性、高可用性(HA)、服务质量(QoS)和容错能力
·7.10实施恢复策略
·7.11.1响应·7.11.2人员·7.11.3通信·7.11.4评估·7.11.5恢复·7.11.6培训和意识·7.11.7经验教训
·7.11实施灾难恢复(DR)流程
·7.12.1通读测试·7.12.2结构化演练·7.12.3模拟测试·7.12.4并行测试·7.12.5完全中断测试
·7.12测试灾难恢复计划(DRP)
·7.1.1证据收集和处理·7.1.2报告和文档·7.1.3调查技术·7.1.4数字取证工具、策略和程序·7.1.5工件(如计算机、网络、移动设备)
·7.1理解和遵守调查
·7.2.7用户和实体行为分析(UEBA)
·7.7.7反恶意软件
域7安全运营
·8.2.10应用程序安全测试(如静态应用程序安全测试(SAST)、动态应用程序安全测试DAST)
·8.2识别并应用软件开发生态系统中的安全控制
·8.4.4托管服务(例如.软件即服务(SaaS)、基础架构即服务(laaS)、平台即服务(PaaS))
8.4评估所购软件对安全的影响
·8.2.7安全编排、自动化和响应(SOAR)
·8.1.1开发方法(如敏捷、瀑布、DevOps、DevSecOps)·8.1.2成熟度模型(如能力成熟度模型(CMM)、软件保证成熟度模型(SAMM))·8.1.3运营和维护·8.1.4变更管理·8.1.5集成产品团队(IPT)
·8.1理解并集成软件开发生命周期(SDLC)中的安全
·8.2.1编程语言·8.2.2库·8.2.3工具集·8.2.4集成开发环境(IDE)·8.2.5运行时·8.2.6持续集成和持续交付(CIVCD)·8.2.8软件配置管理(SCM)·8.2.9代码库
·8.3.1审核和记录变更
·8.3评估软件安全的有效性
·8.4.1商用现货(COTS)·8.4.2开放源码·8.4.3第三方
·8.4评估所购软件对安全的影响
·8.5.2API的安全性·8.5.3安全编码实践·8.5.4软件定义的安全性
·8.5定义并应用安全编码指南和标准
·8.3.2风险分析和缓解
·8.5.1源代码级别的安全弱点和漏洞
域8软件开发安全
自由主题
收藏
收藏
0 条评论
回复 删除
下一页
