《01 CISSP认证考试指南复习.docx》由会员分享,可在线阅读,更多相关《01 CISSP认证考试指南复习.docx(21页珍藏版)》请在优知文库上搜索。
1、第三章信息平安与风险管理1、 脆弱性指的是缺少防护措施或防护措施存在能够被利用的缺陷。2、 威逼是某人或某物有意或无意地利用某种脆弱性并导致资产损失的可能性。3、 风险是威逼主体利用脆弱性的可能性以及相应的潜在损失。4、 削减脆弱性和/或威逼就可以降低风险。5、 暴露是由于威逼而造成资产损失的实例。6、 对策(也称为防护措施)能够缓解风险。7、 对策可以是应用程序、软件配置、硬件或措施。8、 假如某人行使“适当关注,那么说明他对自己的行为负责。假如出现平安入侵,那么他被发觉失职和担当的可能性更小。9、 因为网络已经从集中化环境发展成为分布式环境,所以平安管理最近几年变得更为重要。10、 平安安
2、排的目标是为数据和资源供应机密性、完整性和可用性。11、 战略规划是长期规划,战术规划是中期规划,而操作规划是日常规划。它们组成了一个远景规划。12、 ISO/IEC27002(以前的ISOl7799Partl)是一组内容全面的限制措施,包括信息平安方面的最佳实践,并且为如何制订和维护平安安排供应指导原则。13、 平安组件可以是技术性的(防火墙、加密以及访问限制列表),也可以是非技术性的(平安策略、措施以及实施遵从)。14、 资产标识应当涉及有形资产(设施和硬件)和无形资产(企业数据和声誉)。15、 评估项目规模指的是理解和记录项目的范围,必需在进行风险分析之前进行这种评估。16、 保证是供应
3、特定平安级别的信任程度。17、 CobiT是一个架构,它定义了应当用于正确管理IT并确保IT满意业务需求的限制措施的目标。18、 CibiT分为4个领域:安排与组织、获得与实现、交付与支持以及监控与评估。19、 ISO/IEC27001是用于建立、实现、限制和完善信息平安管理系统的标准。20、平安管理应当由顶向下进行(从高级管理层向下至一般职员)。21、治理是董事会和执行管理层履行的一组职责和实践,其目标在于供应战略指导,确保目标得以实现,风险得到适当管理,并验证企业的资源得到合理利用。22、 一个公司选择的平安模式取决于该公司的业务类型及其关键任务和目标。23、 OECD是一个帮助不同政府绽
4、开合作、处理全球经济所面临的经济、社会和管理挑战的国际性组织。24、 风险可以转移、规避、缓解或接受。25、 公司购买保险就是风险转移的示例。26、 缓解风险的方式包括改善平安措施和实现防护措施。27、 威逼*脆弱性*资产价值=总风险。28、(威逼*脆弱性*资产价值)*限制间隙=剩余风险。29、 风险分析由下列4个主要目标:确定资产及其价值,识别脆弱性和威逼,量化潜在威逼的可能性与业务影响,在威逼的影响和对策的成本之间达到预算的平衡。30、 信息风险管理(IRM)是指标识和评估风险、将风险降低至可接受级别、实施适当机制以维护这种风险级别的过程。31、 失效模式及影响分析(FMEA)是一种确定功
5、能、标识功能失效以及通过结构化过程评估失效缘由和失效影响的方法。32、 故障数分析是一种有用的方法,用于检测困难环境和系统中可能发生的故障。33、定量风险分析会尝试为分析中的各个组件指派货币价值。34、纯粹的定量风险分析是不行能的,因为定性项无法被精确量化。35、在执行风险分析时,了解不确定性程度特别重要,因为它表明团队和管理层对于分析数据的信任程度。36、在确定信息价值时,应当考虑下列问题:获得和开发这些数据的成本;维护和爱护这些数据的成本;这些数据对全部者、用户和竞争对手所具有的价值;在损失的状况下更换这些数据所需的费用;其他人为购买这些数据情愿付出的价格;这些数据不行用时所失去的机会以及
6、这些数据的用处。37、自动化风险分析工具可以削减风险分析中的手动工作量。这些工具用于估计将来的预期损失,并计算各种不同平安措施的好处。38、 单一损失期望(S1.E)是某个特定的威逼主体利用脆弱性可能造成的损失量。39、 单一损失期望*年发生比率=年度损失期望(S1.E*ARO=A1.EK40、 定性风险分析运用推断和干脆,而不是数字。41、定性风险分析使富有阅历的、接受过相关教化的人基于个人阅历来评估威退场景并估计每种威逼的可能性、潜在损失和严峻程度。42、 Delphi技术是一种群体决策方法,此时每位成员都可以进行匿名沟通。43、 选择正确的防护措施以减弱某个特定的风险时,必需对成本、功能
7、和效用进行评估,并且须要执行成本/收益分析。44、 平安策略是高级管理层确定的一个全面声明,它规定平安在组织机构内所扮演的角色。45、 措施是为了达到特定目标而应当执行的具体的、分步骤的任务。46、 标准指定如何运用硬件和软件产品,并且是强制性的。47、 基准是最小的平安级别。48、 指导原则是一些举荐和一般性方法,它们供应建议和敏捷性。49、 工作轮换是一种检测欺诈的限制方法。50、 强制性休假是一种有助于检测欺诈活动的限制方法。51、责任分别确保没有人能够完全限制一项活动或任务。52、学问分割与双重限制是责任分别的两种方式。53、数据分类将为数据安排优先级,从而确保供应合理的爱护级别。54
8、、 数据全部者指定数据的分类。55、 平安具有功能需求,它定义一个产品或系统的期望行为;此外还具有保证要求,它确定己实现产品或整个系统的牢靠性。56、 平安安排应当融入当前的业务目标和目的之中。57、 管理层必需定义平安管理的范围和目的,供应支持,指定平安团队,托付职责,以及查看平安团队发觉的结果。58、 风险管理团队应当包括来自组织机构内不同部门的人员,而不应当只是技术人员。59、 定性分析的级别可以采纳高、中、地的方式表示,也可以采纳15或110的等级表述。定量分析的结果应当采纳货币和百分比来表述。60、 防护措施应当默认具有最小权限,并且具有故障防护默认状态和重写实力。61、防护措施应当
9、统一贯彻执行,从而使每个人都具有相同的限制和功能。62、在起先实施平安安排时,一个关键的要素就是规定报告联系制度。63、数据看管员(信息看管员)负责维护和爱护数据。64、平安分析员在战略层面上进行工作,帮助制订策略、标准和指导原则,并设立各种基准。65、应用程序全部者负责规定哪些人有权访问他们的应用程序,以及这些应用程序为公司和处理的数据所供应的爱护级别。第四章访问限制1、 访问是主体和客体之间的信息传输。2、 主体是恳求访问客体的主动实体,客体是被访问的被动实体。3、 主体可以是一个用户、程序或进程。4、 机密性就是保证信息不向未授权主体泄露。5、 能够供应机密性的平安机制包括加密、逻辑性和
10、物理性访问限制、传输协议、数据库视图和流量限制。6、 身份管理解决访问包括书目、Web访问管理、密码管理、遗留单点登录、账户管理和配置文件更新。7、 密码同步降低了保留不同系统的各种密码的困难性。8、 自助式密码重设通过允许用户重新设置其密码来削减服务台收到的电话数量。9、 协助式密码重设为服务台削减有关密码问题的决策过程。10、 IdM书目包含全部资源信息、用户属性、授权配置文件、角色以及可能的访问限制策略,以便其他身份管理应用程序通过一个集中式资源来收集这些信息。11、 供应IdM解决方案的账户管理产品经常采纳自动化工作流程组件。12、用户指配指的是为相应业务过程而创建、维护和删除存在于一
11、个或多个系统、书目或应用程序中的用户对象与属性。13、人力资源数据库常被认为是用户实体的权威来源,因为这是最早创建并正确维护用户实体的地方。14、访问限制模型主要有三种:自主、强制型和非自主访问限制。15、自主访问限制(DAC)使数据全部者能够指定哪些主体可以访问他们全部的文件和资源。16、 强制访问限制(MAC)运用了平安标签系统。用户具有访问许可,资源具有包含数据分类的标签。MAC通过比较两者来确定访问限制实力。17、 非自主访问限制运用角色型方法来确定访问权限。18、 角色型访问限制基于用户在公司内部的角色和职责来访问资源。19、 限制性接口主要有三种:菜单和外壳、数据库视图以及物理限制
12、接口。20、 访问限制列表和客体绑定在一起,并且指示什么样的主体才能访问这些客体。21、 功能表和主体绑定在一起,并且列出主体能够访问什么样的客体。22、访问限制的管理方式主要有两种:集中式和分散式。23、 集中式管理访问限制技术的示例包括RADIUS、TACACS+和Diametero24、 分散式管理的示例是对等工作组。25、 行政管理性限制的示例包括平安策略、人员限制、监管结构、平安意识培训和测试。26、 物理性限制的示例包括网络分段、周边平安、计算机限制、工作区分隔、数据备份和布线。27、 技术性限制的示例包括系统访问、网络体系结构、网络访问、加密和协议以及审计。28、访问限制机制供应
13、下列的一个或多个功能包括:预防、检测、订正、威慑、复原、补偿或指令。29、 为了使主体能够访问资源,主体必需进行身份标识、身份验证和授权,并且其动作应当可被问责。30、 生物测定学、密码、密码短语、感知密码、一次性密码或令牌都可以实现身份验证。31、 存储卡不能处理信息,但是智能卡能够处理信息。32、 访问限制应当默认为不能访问。33、最小特权和“知其所需”原则限制用户只具有执行任务或完成其职责所需的权限。34、 单点登录技术运用户在访问特定网络时只需一次身份验证。35、 通过Kerberos、SESAME、域和瘦客户端可以实现单点登录功能。36、 在Kerberos中,用户从KDC接收验证,
14、从而能够通过身份验证以运用某服务。37、 Kerberos用户接收一张票证授予票证(TGT),该票证允许用户恳求通过票证授予服务(TGS)访问资源。TGS运用会话密钥生产新的票证。38、访问限制攻击的类型包括:拒绝服务、欺瞒、字典、蛮力和斗争拨号。39、 审计日志能够跟踪用户活动、应用程序事务和系统事务。40、 击键监控使一种跟踪用户每次击键记录的审计过程。41、 审计日志应当被爱护和检查。42、 客体重用可能会无意识地泄露信息。43、仅仅删除文件的指针往往不能为客体重用供应彻底的爱护。44、 通过电磁波可以获得信息。解决这类入侵的方法使TEMPEST.白噪声和限制域。45、 通过“某人知道的
15、内容”、“某人所拥有的物品”以及“某人的身份”可以实现身份验证。46、 一次性密码生成令牌设备能够运用同步或异步方法。47、 强身份验证须要3种身份验证属性(“某人知道的内容”、“某人所拥有的物品”以及“某人的身份“)中的两种属性。48、 Kerberos涉及隐私性和完整性,但不涉及可用性。49、 Kerberos存在下列弱点:KDC使单一故障点,简洁遭遇密码揣测攻击,会话和隐私密钥在本地存储,KDC必需总是可用,隐私密钥必需被妥当管理。50、 IDS可以使统计性的(监视行为)或特征型(检测已知攻击)。51、消磁是一种防止机密信息泄露的措施,因为它可以将介质复原回原始状态。52、网络钓鱼使一种社会工程攻击,其目标使获得个人信息、凭证、信用卡号或财务数据。1、 两个系统可以具有完全相同的硬件、软件组件和应用程序,但却会因为系统建立在不同的平安策略和平安模型之上而供应不同的爱护级别。2、 CPU包括一个限制单元,它限制指令和数据执行的时序:还包含一个A1.U(算术逻辑单元),它执行算术功能和逻辑操作。3、 绝大多数系统都运用爱护环。进程的特权级别越高,则运行在编号越小的爱护环中,它就能访问全部或者大部分的系统资源。应用程序运行在编号比较大的爱护环中,它能够访