Tommonkey

All greatness comes from a brave beginning

0%

CISSP备考经验分享(上)

发表于 更新于 分类于

从2024年11月初开始备考,在今年三月中旬去参加考试,很幸运也是成功一次性的就通过CISSP,下面是我这五个月在看书或做题过程中的一些记录

First part-知识点术语

建议看见这些术语要做到见名知意

  • CIA: confidentiality,integrity,availability,机密性,完整性,可用性
  • DAD: disclosure,alteration,destruction, 泄露,修改,失败
  • non-repudiation: 不可否认性
  • layering: 分层
  • abstraction: 抽象
  • strategic plan: 战略计划
  • tactical plan: 战术计划
  • operational plan: 操作计划
  • ROI: return on investment, 投资回报率
  • SLR: 服务需求级别
  • SCRM: 供应链风险管理
  • asset: 资产
  • threat: 威胁
  • exposure: 暴露
  • vulnerability: 脆弱性
  • Damage potential: 潜在破坏
  • Reproducibility: 再现性
  • Exploitability: 可利用性
  • GRE: 通用路由封装。(是一种隧道技术,也是实现VPN的一种方式,它规定了如何将一种网络协议下的数据报文封装在另外一种网络协议中,使这些被封装的数据报能够在另一个网络层协议中传输。)
  • SCA: security control assessment,安全控制评估。(确保安全机制的有效性)
  • RMM: risk maturity model,风险成熟度模型。(ad hoc-preliminary-defined-integrated-optimized:初始级-预备级-定义级-集成级-优化级)
  • RMF: risk management framework, 风险管理框架。(1.准备-分类-选择-实施-评估-授权-监控。2.NIST创建并强制施行)
  • CSF: cybersecurity framework, 网络安全框架。(识别-保护-检测-响应-恢复,多用于商业组织)
  • phishing: 网络钓鱼
  • spam: 垃圾邮件
  • impersonation: 假冒
  • masquerading: 伪装
  • COOP: 连续性运营计划
  • CFAA: Computer fraud and abuse act,计算机欺诈和滥用法案。(1984年出,计算机欺诈和滥用法案,法律禁止未经授权下随意查看计算机上的内容)
  • DPD: 欧盟数据保护指令
  • digital signature: 数字签名
  • plaintext: 明文
  • encrypt: 加密
  • ciphertext: 密文
  • nonce: 随机数
  • split knowledge: 分割知识
  • DES: 数据加密标准。(块大小:64,密钥大小:56)
  • AES: 高级加密标准。(块大小:128,密钥大小:128-192-256)
  • IDEA: 国际数据加密算法。(密钥大小:128位)
  • Blowfish:(可变长度密钥,32-448,免费使用)
  • twofish:(可变长度密钥,1-256)
  • Merkle-Hellman: 背包算法。 (依赖于超增序列,1984被破解,不安全)
  • ECC: 椭圆曲线密码系统。 (160位ECC=1088位RSA)
  • GDRP: 通用数据保护条例。(对所有欧盟个人(居民)关于数据保护和隐私的规范,涉及了欧洲境外的个人数据出口。GDPR主要目标为取回个人对于个人数据的控制,以及为了国际商务而简化在欧盟内的统一规范。)
  • CASB: 云访问安全代理
  • erasing,clearing,purging,degaussing,destruction: 擦除-清理-清除-消磁-销毁
  • 3A: 认证、授权、审计
  • Audit trails: 审计踪迹。(事件线索)
  • Data hiding: 数据隐藏
  • CSO: 首席安全官
  • CBA: 变更审批委员会
  • RPO: 恢复点目标。(指最大可容忍的数据丢失量,用时间来衡量。这个值代表着数据必须恢复的最早时间点。数据量越大,意味着要投入的资金或者其他资源越多,才能确保在灾难事件中损失的数据越少。)
  • RTO: 恢复时间目标。(it或组件从故障到恢复运行所需要的时间)
  • Top secret,Secret,Confidential,Unclassified: 绝密、秘密、机密、非机密
  • COBIT: Control objectives for Information and related technology.信息及相关技术控制目标。(COBIT 框架用于促进信息技术的开发、改进、实施和管理。与ITIL相比,没有ITIL详细)
  • ITIL:Information Technology Infrastructure Library,信息技术基础架构库。(ITIL是一组综合的最佳实践,用于帮助企业向客户交付IT服务。ITIL使企业组织能够根据业务需求调整IT资源,从而使客户价值最大化。ITIL的最新版本ITIL 4于2019年发布,IT服务管理是ITIL框架的核心,它是一套协同流程,并通过服务级别协议(SLA)来保证IT服务的质量。它融合了系统管理、网络管理、系统开发管理等管理活动和变更管理、资产管理、问题管理等许多流程的理论和实践。)
  • AUP: acceptable use policy,可接受的使用策略
  • Basellines: 基准
  • Guidelines: 指南
  • NDA:NonDisclosure Agrement,保密协议
  • NCA:NonCompete Agreement,竞业协议
  • SLA:服务水平协议
  • PII: Personal Identifiable information,个人身份信息
  • PHI: protected health information, 受保护的健康信息
  • Vulnerability: 脆弱性,漏洞
  • EF、AV、SEL、ARO、ALE: 暴露因子(特定威胁对特定资产造成损失的百分比,或者说损失的程度:EF=威胁造成的损失/资产价值),资产价值,单一损失期望,年发生率(次数),年度损失期望
  • NIST: 国家标准及技术研究所
  • BCP: Business Continuity Planning,业务连续性计划。(项目范围和计划-业务影响分析-连续性计划-计划批准和实施)
  • BIA: business impact assessment,业务影响评估
  • MTD/MTO: maximum tolerable downtime、maximum tolerable outage,最大忍受停机时间,最大忍受停电时间
  • Criminal law,civil law,administrative law: 刑法,民法,行政法
  • Judicial review: 司法审查
  • DMCA:Digital Millennium Copyright Act,数字千禧年版权法案。1998年出
  • IP,copyright,trademark,patent:知识资产,版权,商标,专利权
  • ECPA: Electronic Communication Privacy Act,电子通信隐私法案。1986年出
  • CALEA: Communication Assistance for Law Enforcement,通信协助执法法案。1994年出(对ECPA修正,CALEA要求运营商允许执法人员窃听)
  • HIPAA:健康保险流通与责任法案
  • HITECH: Health Information Technology for Economic and Clinical Health,经济和临床健康的卫生信息技术法案。2009年出
  • COPPA: Children’s Online Privacy Protection Act,儿童联机隐私保护法案。2000年出
  • DLP: 数据丢失防护
  • TPM: Trusted Platform Module,可信平台模块
  • HSM: hardward security module, 硬件安全模块
  • The US Department of Commerce: 美国商务部
  • ISAKMP: 网络安全关系与密钥管理协议。(用于在互联网上创建安全关系与加密密钥。这个协议在RFC 2408 中定义,它提供了一个架构来进行授权与密钥交换,主要被设计来作为密钥交换之用。)
  • GDPR:通用数据保护条例。(合法、公平、透明-目的限制-数据最小化-准确性-存储限制-安全性-问责制)
  • PCI DSS: Payment Card Industry Data Security Standards,支付卡产业数据安全标准
  • cipher: 密码,加密
  • confuse: 混淆
  • cryptography: 密码学
  • S/MIME: Secure Multipurpose Internet Mail Extensions,安全多用途互联网邮件扩展
  • PGP: Pretty Good Privacy,良好隐私
  • DRM: Digital rights management,数字版权管理
  • sandbox: 沙盒,sandboxie-沙箱
  • Confinement: 限制
  • Bounds: 界限
  • Isolation: 隔离
  • DAC: 自主访问控制
  • RBAC: 基于角色的访问控制
  • ABAC: 基于属性的访问控制
  • MAC: Mandatory Access Control, 强制访问控制
  • RBAC: Rule-Based Access Control,规则型访问控制
  • Trust、Assurance、Engineered、Evaluated、Certified、Accredited、Verification、Validation: 可信,保证,工程,评估,认证,认可,验证,确认
  • TCB: Trusted computing base,可信计算基
  • FSM: Finite State Machine,有限状态机
  • State machine mode: 状态机模型
  • take-grant mode: 获取-授予模型
  • Access control matrix: 访问控制矩阵
  • DoD: U.S. Department of Defense,美国国防部
  • multilevel: 多层次,多级
  • Need to know: 因需可知
  • Lattice-based access control: 基于格子的访问控制
  • Bell-LaPadula模型: (BLP不上读下写),偏机密性
  • Biba模型: (Biba不下读上写,偏完整性)
  • Clark-Wilson模型:(主体,程序,客体,约束数据项CDI,非约束数据项UDI,完整性验证过程IVP,转换过程TP)
  • Brewer and Nash模型: (一种提供动态变更可存取控制以及资讯安全的架构。这个资讯模式又称为“中国长城模式”(Chinese wall model),建立成资讯流模型,是为了降低商业组织的利益冲突.区隔了会产生利益冲突的主体(subject)和对象(object))
  • CSA: 云安全联盟: (是一个非营利组织,其使命是“促进使用最佳实践在云端运算内提供安全保证,并提供有关云计算使用的教育,以帮助保护所有其他形式的计算”)
  • CC: Common Criteria,通用准则。(也即ISO/IEC 15408,是用于指定和评估IT 产品安全性的国际公认标准)
  • PP: Protection Profiles,保护轮廓。(客户的”I want”)
  • ST: Security Targets,安全目标。(供应商的”I will provide”)
  • EAL: evaluation assurance level,评估保证级别。(EAL1-7,7最高)
  • ATO: Authorization to operate,操作授权
  • fail security: 安全失效
  • exception handing: 异常处理
  • zero trust: 零信任。(是一种用于保护组织的安全模型,它的理念是默认不信任任何人员或设备,即使人员或设备已经位于组织的网络内也是如此。 零信任方法在整个网络中(而不仅仅是在可信边界上)强制执行严格的身份验证和授权,以消除隐式信任)
  • qubit: 量子比特
  • quanturn supremacy: 量子霸权
  • hash function: 哈希函数
  • message digest: 消息摘要
  • HAVAL: 可变长度哈希
  • DSS: 数字签名标准
  • DSA: 数字签名算法
  • blockchain: 区块链
  • homomorphic encryption:同态加密。(是一种加密形式,它允许人们对密文进行特定形式的代数运算得到仍然是加密的结果,将其解密所得到的结果与对明文进行同样的运算结果一样。换言之,这项技术令人们可以在加密的数据中进行诸如检索、比较等操作,得出正确的结果,而在整个处理过程中无需对数据进行解密。)
  • shared responsibility: 共担责任
  • DHS: 美国国土安全部
  • Automated indicator sharing: AIS,迹象自动共享。(是美国国土安全部(DHS)的一项举措,旨在促进美国联邦政府与私营部门以一种自动化和及时的方式(被称作“机器速度”)公开、自由地交换危害迹象(IoC)和其他网络威胁信息)
  • processor: 处理器
  • microprocessor: 微处理器
  • multitasking: 多任务处理
  • multicore: 多核的
  • MPP: massively paraller processing, 大规模并行处理。(每个处理器都有自己的操作系统,内存等)
  • SMP: symmetric multiprocessing, 对称多处理。(共享操作系统和内存)
  • data warehouse: 数据仓库
  • affinity: 亲和性
  • protection ring: 保护环,(0-3)
  • kernel: 内核
  • process state: 进程状态,supervisor state: 管理程序状态,problem state: 问题状态
  • ROM: read only memory, 只读存储器
  • flash memory: 闪存
  • RAM: random access memory,随机存取存储器。(断电丢失)
  • register: 寄存器
  • ALU: arithmetic logic unit,算术逻辑单元
  • data remanence: 数据残留
  • EMP: electromagnetic pulse,电子脉冲
  • Faraday cage: 法拉第笼
  • white noise: 白噪声
  • shielding: 屏蔽
  • STP: 屏蔽双绞线
  • BIOS: 基本输入输出系统
  • UEFI: 统一可扩展固件接口
  • load balancer: 负载均衡器
  • grid computing: 网格计算
  • peer to peer: P2P
  • ICS: industrial control system,工业控制系统
  • DCS: distributed control system,分布式控制系统
  • PLC: programmable logic controller,可编程逻辑控制器
  • SCADA: 检测控制与数据采集系统
  • SOA: 面向服务架构
  • SDN: 软件定义网络
  • HPC: 高性能计算机系统
  • RTOS: 实时操作系统(速度快)
  • BYOD: 自带设备
  • edge computing: 边缘计算
  • fog computing: 雾计算。(雾计算和边缘计算的主要区别在于其侧重点和目标。雾计算更注重于提高响应速度和降低网络带宽需求,而边缘计算则更注重于在设备或终端上完成尽可能多的处理,以减少与云端的通信需求。)
  • cyber-physical system: 信息物理融合系统
  • IaC: 基础设施即代码
  • EOL: end-of-life,生产期终止
  • EOS:支持期终止
  • SDx: 软件定义一切
  • VDI:虚拟桌面基础设施
  • XaaS: 一切及服务
  • MDM: mobile device management,移动设备管理
  • UEM: unified endpoint management,统一端点管理
  • lockout: 锁定
  • jailbreaking: 越狱
  • sideloading: 旁加载
  • covert channel: 隐蔽信道。(时间隐蔽通道:改变系统组件的性能或改变资源的时间安排来穿搭信息,难以检测。存储隐蔽通道:将数据写入其他进程可以读到的公共存储区域来传达信息)
  • incremental attack: 增量攻击
  • secure facility plan: 安全设施计划
  • critical: 关键,紧急,重要。critical path analysis:关键路径分析
  • CPTED: 通过环境设计预防犯罪
  • AIW: 允许终端窗口
  • IDS: 入侵检测系统
  • IPS: 入侵防御系统
  • UPS: uninterruptible power supple,不间断电源(在线ups和备份ups)
  • HVAC: 暖通空调
  • IGMP: Internet Group Management Protocol,互联网组管理协议。(多播)
  • WAP: wireless access point,无线接入点
  • ESSID: 拓展服务集标识符号
  • BSSID: 基本服务集标识符号
  • Network Interface Card: NIC,网卡
  • WEP:wired equivalent privacy,有限等效保密(RC4,不安全)
  • WPA: WIFI受保护访问。(主流WPA2,WPA3)
  • NAC: 网络访问控制
  • EDR: 端点检测和响应
  • UEBA: 用户和实体行为分析
  • PPP: point-to-point,点对点协议
  • PAP: 密码身份认证协议
  • CHAP: 征询握手身份认证协议
  • EAP: 可扩展身份认证协议
  • IM:instant messaging,即时通讯
  • DKIM: 域名关键字标识邮件。(确保您的电子邮件在发送途中不被篡改的有效方法,基于公钥加密技术,通过在邮件标题中添加数字签名来工作。当接收方收到带有 DKIM 的电子邮件时,他们会检查数字签名是否有效)
  • SPF: 发件人策略框架。(是一套电子邮件认证机制,可以确认电子邮件确实是由网域授权的邮件服务器寄出,防止有人伪冒身份网络钓鱼或寄出垃圾电邮)
  • tunneling: 隧道技术
  • split tunnel: 分割隧道
  • full tunnel: 全隧道
  • PPTP: 点对点隧道协议
  • port tap: 端口监听
  • APIPA: Automatic Private IP Addressing,自动私有ip分配。(169.254.0.0/16)
  • DHCP: Dynamic Host Configuration Protocol,动态主机配置协议
  • MOU: memorandum of understanding,谅解备忘率
  • ISA: Internet Security agreement, 互联安全协议
  • IAM: 身份和访问控制管理
  • FAR: 错误接受率
  • FRR: 错误拒绝率
  • CER: 交叉错误率
  • MFA: 多因素身份认证
  • 2FA: 双因素身份认证
  • LDAP: 轻量级目录访问协议
  • FIM: 联合身份管理
  • XML: 可扩展标记语言
  • SAML: 安全断言标记语言
  • Kerberos: 票证身份认证
  • KDC: 密钥分发中心
  • RADIUS: 远程认证拨入用户服务
  • TACACS+: 增强型终端访问控制器访问控制系统(增加了双因素认证能力,而之前的版本TACACS只有身份认证和授权功能)
  • PtH: 哈希传递。(黄金票据和白银票据)
  • SAS 70:主要产生两种类型的报告,即服务组织控制声明(SOC 1 Type I和SOC 1 Type II),均偏向于财务方面审计
  • ​SSAE-16:为了替代SAS 70并适应新的需求,引入了三种不同类型的报告,即SOC 1、SOC 2和SOC 3报告和两种类型type1和type2(设计时间点:当前和六个月两种)
  • SSAE 18: 逐渐成为新的行业标准(更加详细和修复了16的一些不足),取代了SSAE-16的地位,第18号认证业务标准声明。(soc-1,soc-2,soc-3,同时分为type-1(审计当时的状态)和type-2(审计跨度至少六个月,比type-1详细))
  • ISO27001: (描述了建立信息安全管理系统的标准方法)
  • ISO27002: (介绍了信息安全控制措施的更多细节)
  • SCAP: security content auto protocol, 内容自动化安全协议。(用于自动化漏洞管理、评估和条款符合检测的一套标准)
  • CVE: 通用漏洞披露(为公开披露的网络安全漏洞和暴露编制唯一的标识符,方便在不同的安全信息源和工具之间共享和引用漏洞信息)
  • CVSS: 通用漏洞评分(提供了一个用于评估软件漏洞严重程度的统一框架,包括:​攻击向量,攻击复杂度,权限要求,用户交互,影响范围,机密性影响)
  • CCE: 通用配置枚举(为系统和应用程序的安全配置项提供统一的标识)
  • CPE: 通用平台枚举(:用于标识和描述软件平台、操作系统和应用程序的标准化命名规范,使安全工具能够准确地识别目标系统所使用的软件产品)
  • code review: 代码审查
  • SAST: 静态应用程序安全测试
  • DAST: 动态应用程序安全测试
  • netFlow: 网络流
  • due care: 应尽关心
  • due diligence: 尽职审查
  • least privilege: 最小特权
  • SoD: 职责分离
  • duress: 胁迫
  • CMS: configuration management system,自动配置管理系统
  • SaaS: 软件即服务
  • PaaS: 平台即服务
  • IaaS: 基础架构即服务
  • command-and-control: C2,命令与控制
  • MITM: man in the middle,中间人攻击
  • sabotage: 破坏
  • honeypot: 蜜罐
  • honeynet: 蜜网
  • sampling: 抽样
  • DRP: disaster recovery planning,灾难恢复计划
  • SPOF: single point of failure,单点故障
  • 独立磁盘冗余阵列:RAID-0,RAID-1,RAID-5,RAID-10
  • MAA: mutual assistance agreement,互相援助协议
  • eDiscovery: 电子取证。(信息治理-识别-保存-收集-处理-检查-分析-产生-呈现)
  • IDE: 集成开发环境
  • OOP: 面向对象编程
  • SDLC: 软件开发生命周期
  • SW-CMM,CMM:能力成熟度模型。(初始级-可重复级-定义级-管理级-优化级)
  • SAMM: 软件保证成熟度模型。(治理-设计-实施-验证-运营)
  • PERT: 计划评审技术。(用于在开发中判断软件产品的大小,并且为风险评估计算标准偏差)
  • COTS: 商用现货
  • OSS: 开源软件
  • ODBC: open database connectivity,开放数据库互联
  • ML: machine learning,机器学习。(监督学习技术-无监督学习技术)
  • MBR: master boot record,主引导记录病毒
  • RAT: remote access trojan,远程访问木马
  • PUP: 潜在有害程序
  • SSL: 安全套接字。(40位或128位密钥)
  • TLS: 传输层安全
  • SWA: 软件保障。(计划-合同-监控与验收-后续。指对软件免于存在漏洞(无论是有意设计到软件中的漏洞还是在其生命周期中的任何时候意外插入的漏洞)以及软件按预期方式运行的信心水平)
  • PKI: 公钥基础设施。(基于公钥密码学的安全框架,用于管理数字证书和公钥加密系统.包括组件:CA、RA、证书存储库、证书撤消系统、密钥备份和、恢复系统、自动密钥更新、密钥历史记录管理、时间标记、客户端软件)
  • IKE: 互联网密钥交换。(是一种网络协议,归属于IPsec协议族,用以建立安全关系(Security association,SA)。 它建立在奥克利协议(Oakley protocol)与ISAKMP协议的基础之上。IKE协商的时候都用的是UDP 500。 在有NAT设备的环境中用UDP4500)
  • certificate: 数字证书
  • RA: registration authority,注册机构
  • OSCP: 在线证书验证协议
  • CRL: 证书注销列表
  • IPSec: 互联网协议安全
  • AH: 身份认证头。(不提供加密,提供完整性与不可否认性)
  • ESP: 封装安全载荷。(提供加密,完整,不可否认性)
  • SA: 安全关联
  • SET: 电子安全协议,由VISA和Master Card两大信用卡公司联合推出的规范它采用公钥密码体制和X.509数字证书标准,主要应用于保障网上购物信息的安全性
  • SOC: 服务组织控制。(第三方独立审计方面,分为soc-1:仅关于财务控制。soc-2:向业务合作伙伴和监管机构提供CIA。soc-3:向更广的受众提供服务运营的cia报告。SOC 2 和 3 之间的差异是:SOC 2 报告所产生的结果提供了适用于所列出的、信任服务控制的、非常详细的数据,这不是给一般公众的。而 SOC 3 生成的报告具有较少的细节,并且可用于一般公众性目的)
  • SIEM: 安全信息和事件管理。(SIEM 技术从广泛来源收集事件日志数据,通过实时分析识别偏离规范的活动,并采取适当措施,能够减少审计日志内信息的数量,去除普通的任务信息,并记录可能对安全专家或管理员有用的系统性能、安全和用户功能信息)
  • ITAM:IT资产管理
奖励作者买杯可乐?