Mr. Bank

分类: (三区)国际注册信息系统安全专家(CISSP)认证考试强化培

  • CISSP复习笔记模板-访问控制学习笔记

    CISSP复习笔记模板-访问控制学习笔记

    访问控制
    本章您将学到如下知识:
     识别(identification)的方法和技术
     认证(authentication)的方法、模式和技术
     选择的(discretionary),强制的(mandatory)和非选择的(nondiscretionary)的模式
     可追溯性(可记帐性accountability),监控和审计实践
     发射(emanation)安全和技术
     入侵检测系统(IDS, Intrusion detection systems)
     对访问控制可能的威胁的实践和技术

    信息安全建立的基础在于如何控制访问自身资源以保护他们免受未授权的修改(modification)或者披露(disclosure)。访问控制方法实质上可以通

  • CISSP之信息安全和风险管理-DOC下载

    CISSP之信息安全和风险管理-DOC下载

    3.1安全三要素(Fundamental Principles of Security)
    安全最主要的三要素是可用性( availability)、完整性( integrity)和机密性( confidentiality). 通常被称为 AIC(或CIA).
    可用性(Availability):
    可用性确保了授权人员对数据和资源的稳定快速的访问。系统的可用性可以受到设备和软件错误的影响。应该准备好备用设备,从而可以用它快速替换关键系统;或者,雇员应该能够熟练得做出必要的调整从而将系统恢复。环境因素,诸如冷、热、湿度、静电以及污染物都会影响系统的可用性。

    完整性(Integrity)
    完整性是指保证信息和系统的准确性和可靠性,并禁止对数据的非授权修改。硬件、软件和通信机制必须协同工作才能保证正确处理数据并在没有意外改动的情况下将数据传到目的地。应该保护系统和网络免受外界的干扰和污染。
    从安全角度说,应该规范用户的权限,分配给他们必

  • CISSP之安全体系和设计DOC下载

    CISSP之安全体系和设计DOC下载

    主要内容
    计算机硬件结构
    操作系统结构
    可信计算基础和安全机制
    操作系统的保护机制
    各类安全模型
    assurance evaluation标志和评级
    认证和授权过程
    攻击类型

    计算机信息安全的两个基础性概念:安全策略(security policy)、安全模型(security model)
    安全策略(security policy)是一份说明,概述了各实体之间如何相互访问,不同的实体可以执行哪些操作,一个系统或软件产品需要采用何种保护级别,以及当这些需求没有满足时应该采取什么样的措施。策略概括了the expectations that硬件及软件系统在应用中所必需考虑的。
    安全模型(security model)概括的描述了正确的支持某种安全策略所必须满足的要求。安全模型深入的阐述了应该怎样开发计算机操作系统,以便正确的支持一种特定的安全策略。

    如前所述,计算机安全由一下几个主要特性构成

  • CISSP一次性考试通过者整理的备考资料-最后一轮冲刺复习9月1日~9月4日

    CISSP一次性考试通过者整理的备考资料-最后一轮冲刺复习9月1日~9月4日

    今年9月12日一次性考试通过,抽出3个月时间复习了相关资料,现在发布自己根据AIO EN 4th和prep guide整理的复习资料。

    最后一轮复习看的(大约15天)

    包含访问控制、法律道德调查、安全管理等内容。

    一. 几个国际标准
    1. COSO 内部控制整体框架
     Control environment
     Risk assessment
     Control activities
     Information& communication
     Monitoring
    2. ITIL Information technology infrastructure library
    &

  • CISSP一次性考试通过者整理的备考资料-最后一轮冲刺复习8月28日~8月31日

    CISSP一次性考试通过者整理的备考资料-最后一轮冲刺复习8月28日~8月31日

    今年9月12日一次性考试通过,抽出3个月时间复习了相关资料,现在发布自己根据AIO EN 4th和prep guide整理的复习资料。

    最后一轮复习看的(大约15天)

    包含BCP、物理学、运行安全等内容。

    一. BCP:business planning in terms of project scope and planning, business impact analysis, recovery strategies, recovery plan development,and implementation.

    二. DRP:The candidate should understand disaster recovery in terms of recovery plan development, implementation and Restoration.”

    三.BCP的过程包括
    1.Scope and

  • CISSP-CIW中文学习手册 – PDF电子书下载

    CISSP-CIW中文学习手册 – PDF电子书下载

    网络安全与防火墙篇
    第一章 什么是安全?
    安全是什么
    风险
    百分之百的安全
    安全即寻求平衡
    建立有效的安全矩阵
    保护资源
    终端用户资源
    网络资源
    服务器资源
    信息存储资源
    偶然的破坏者
    坚定的破坏者
    安全标准
    安全服务
    安全机制
    额外的安全标准
    第二章 安全的基本元素
    安全的基本元素
    安全策略
    系统分类
    明智地为系统分类
    资源优先级划分
    指定因数
    宣言可接受和不可接受活动
    将策略应用到资源上
    定义教育标准
    谁负责管理策略
    加密
    加密类型
    社交工程和非直接攻击
    打电话请求密码
    伪造EMAIL
    拒绝服务攻

  • 2008年度CISSP考试通过者总结CISSP复习备考经验五

    2008年度CISSP考试通过者总结CISSP复习备考经验五

    主考官好像是香港过来的,宣读考场纪律和答题卡填写方法都是用的英文,竟然都不用中文重复的。。。听得我一愣一愣的。同考场还是有几位牛人的,提问也是用的英文,让我很是bs了一下自己的英文水平。

    考试过程也没什么好说的,需要注意的还是做题的速度,虽然6个小时看上去很长[FS:PAGE],但是平均到250道题上就没有多少了。题目可以用书来形容,将近60页。我没有听从前辈的建议,在一些题目上浪费了太多的时间,基本是遇到生词就去查词典,结果导致最后剩1个小时的时候,还有将近30道题没做,答题卡也没涂。期间坐在我旁边的牛人朋友,提前将近2个小时交卷了,急得我洗手间都不敢上了,6个小时只去了一次。。。匆匆做完剩下的题目,涂好答题卡,就只剩了10分钟。只能匆匆的看了前面的几道不确定的题目,一共改了3道题,后来发现这3道题全部改错。。。看来还是第一感觉比较准确。回想起来可能幸好时间不够,没有进行更多的检查和修改,要不然很有可能把考试通过改成不通过了。

    总体感觉这次考试和前辈们说的一样,模

  • 2008年度CISSP考试通过者总结CISSP复习备考经验二

    2008年度CISSP考试通过者总结CISSP复习备考经验二

    总结一下:

    1.时间比较充裕的话,AIO最好还是看看,至少一遍吧。这本书理论联系实际,讲的非常精彩,就算不考cissp,用来补充知识,对于今后的工作也是很有用的。我看英文的速度不算快,大概是一小时12页,平均5分钟一页。AIO4一共1200页出头,这样一共需要100个小时左右,每天看3个小时的话,一个月左右应该能看完。实际看的时候,因为比较熟悉的知识点可以跳过,因此还可以更快点。我当时整个Telecommunications and network security一章就跳过了没看。

    2.prep guide一定要看。AIO东西太多了,看一遍的话,很多知识点只是有个印象,很难理出头绪。prep guide则简洁的多。建议复习的时候,可以在倒数第二个星期看prep guide。我看的是gold edition,每天2,3个小时,花了一个星期看完。看完之后可以结合notes把知识点从头到尾梳理一遍,一些重要知识点最好背一下,这大概花2~3天时间,之后可以做些题目找找感觉,

  • 2008年度CISSP考试通过者总结CISSP复习备考经验三

    2008年度CISSP考试通过者总结CISSP复习备考经验三

    先说一下我自己的背景工作6年,熟悉系统,熟悉网络,有一些安全相关的工作经验,英语一般。

    复习经验,首先我先从论坛里面看了半个月别人的经验,最终决定书只看all in one。 复习时间最终冲刺大概2个多月,最后2周请假在家看书。准备其实有大半年的时间,开始按照前辈建议看了视频的讲座每章大概3,4个小时,现在好像有新版的视频资料在very cd上可以下载。主要是先培养一下各个domain的感觉,只是走马观花的过了一遍。后面把all in one 第三版打印出来。开始精读了一遍,这一遍花费时间特别长,时间也很松散大概有2个多月,上班没事情的时候,下班吃完饭就读读。我这一遍主要是知识型学习,把知识点学习一遍,经常在电脑上看电子档,用金山看不会的单词意思快一点,笔迹可以记在打印版本上面。后面就开始看题目每一章只看了大概70道题目,因为前辈们说看题似乎不重要。不过我认为还是要看一点题目一则检查知识点的学习情况再者培养一点做题感觉。之后带着问题又看了一遍书大概花费了10多天。最后考试前5天看

  • 2008年度CISSP考试通过者总结CISSP复习备考经验四

    2008年度CISSP考试通过者总结CISSP复习备考经验四

    从去年开始,就下定决心去考考CISSP。由于不用自己出钱,去参加了一个培训。我认为如果是参加考试,如果是自己出钱,根本没必要去参加培训。如果实在要参加培训,请在考试前参加培训效果要好一点。当然如果有钱没地方花或者公司就要出钱让你去培训CISSP,那就去感受感受吧。

    过年后,大致3月份开始,就开始着手看All In One 4th,由于没有太多把握,主要还是没有看完AIO,就放弃了4月12号的考试。大致花了2个月的时间看完了AIO(由于只能在上班时间看书,晚上基本上没有时间看书。),就开始做了cccure.org上的一些习题。正确率大致是70%左右,由于cccure上的习题都基本上是出自prep guide上的,又花了1个月的时间把prep guide看了一遍。这时已经到了6月份了。看完这两本书后,感觉Prep guide更有条理性,而且明了,就大致花了一个星期把prep guide看了第二遍。这时已经是6月中旬了。