Mr. Bank

分类: (三区)国际注册信息系统安全专家(CISSP)认证考试强化培

  • 2008年度CISSP考试通过者总结CISSP复习备考经验五 – 会员资料

    2008年度CISSP考试通过者总结CISSP复习备考经验五 – 会员资料

    主考官好像是香港过来的,宣读考场纪律和答题卡填写方法都是用的英文,竟然都不用中文重复的。。。听得我一愣一愣的。同考场还是有几位牛人的,提问也是用的英文,让我很是bs了一下自己的英文水平。

    考试过程也没什么好说的,需要注意的还是做题的速度,虽然6个小时看上去很长[FS:PAGE],但是平均到250道题上就没有多少了。题目可以用书来形容,将近60页。我没有听从前辈的建议,在一些题目上浪费了太多的时间,基本是遇到生词就去查词典,结果导致最后剩1个小时的时候,还有将近30道题没做,答题卡也没涂。期间坐在我旁边的牛人朋友,提前将近2个小时交卷了,急得我洗手间都不敢上了,6个小时只去了一次。。。匆匆做完剩下的题目,涂好答题卡,就只剩了10分钟。只能匆匆的看了前面的几道不确定的题目,一共改了3道题,后来发现这3道题全部改错。。。看来还是第一感觉比较准确。回想起来可能幸好时间不够,没有进行更多的检查和修改,要不然很有可能把考试通过改成不通过了。

    总体感觉这

  • CISSP考试通过者回顾总结6月28日上海CISSP考试 – 会员资料

    CISSP考试通过者回顾总结6月28日上海CISSP考试 – 会员资料

    一、考场感受
    本次考试大约30几个考生。邮件通知9:00开始开始,要求提前半个小时进考场。监考老师8:30左右到考场,在座位上帖上事先编排的编号,然后考生凭相关邮件以及身份证件依次到老师处验证身份,获得事前已经确定好的编号,并对号入座。
    从所有考试手续办理好、试卷发好、及考试信息填写好后的时间点开始考试,考试为6个小时。
    由于题量较大,感觉时间过得很快,没有出现疲劳感、一直在做题。准备了一些食品,如巧克力、小面包和饮料。因不敢浪费时间,考试期间仅仅吃了几口巧克力,喝了半瓶饮料,不过也没觉得饿,考试结束后才有饥饿感。
    顺次做题,遇到一时拿不稳的或感觉需花费较多的时间的,在试卷上做好记号临时跳过,或先临时选择一个选项,待后续回顾。大约提前45分钟左右做完250道题。略微松口气,开始复查。主要检查答题卡涂写是否有误,对拿不稳的题目重点回顾,对未作答的题目作答。
    考试期间每次只允许一个人去洗手间,先在老师处签名并记录

  • 国际注册信息系统安全专家(CISSP)相关网站

    CISSP国际组织 http://www.isc2.org

    华安信达培训 http://www.chinacissp.com

    CISSP Resources http://www.cccure.org

  • 2008年度CISSP考试通过者总结CISSP复习备考经验一

    2008年度CISSP考试通过者总结CISSP复习备考经验一

    从打算想要考到pass通过,一共三个月吧。

    其实很早就知道cissp,不过因为太懒,一直都没动过想要考的念头。3月底4月初,很偶然得到一个机会参加了谷安的cissp的培训。培训之后,对cissp的认识加深了一层,发现好像也并不是什么高高在上的东西,要么就试一试吧?

    于是开始复习,主要的资料是AIO4以及prep guide gold。

    其中,AIO断断续续大概花了一个多月的时间看完了一遍。之后因为种种原因,中断了一阵,等到发觉时间不早的时候,离考试只有2周不到了,犹豫了一下,最后还是决定报名考试,由于已经不到16天,又多花了几百大洋,心痛啊
    这时候要重看AIO已经来不及了,发现prep guide好像内容少得多,那就是它了,花了一周的时间看完,把后面的sample question做了一遍,感觉还行,不由得有点飘飘然(其实这些题目是最简单的,只是帮助复习知识点,跟实际的考题还是差的挺多的)。

    这时剩一周左右,盘算了一下,做做题目,

  • CISSP 2008年剩余考试时间安排

    CISSP 2008年剩余考试时间安排

    2008年CISSP中国大陆的考试日期目前还有以下几次:

    北京:9月20日 12月13日

    上海:11月1日

    广州:7月19日

    提前16天以上报名499美元

    提前16天以内报名599美元

  • CCCURE培训网站里关于信息安全管理的一道题的解题分析

    CCCURE培训网站里关于信息安全管理的一道题的解题分析

    What is the main purpose of Corporate Security Policy?

    A:to transfer the responsibility for the information security to all users of the organization

    B:to communicate managements intentions in regards to information security

    C:to provide detailed steps for performing specific actions

    D:to provide a common framework for all development activities

    选什么?为什么?

    我也觉得是B。Policy 吗,应该是条文、规定类的。
    我的分析
    A.

  • CISSP考试通过者回顾总结6月28日上海CISSP考试

    CISSP考试通过者回顾总结6月28日上海CISSP考试

    一、考场感受
    本次考试大约30几个考生。邮件通知9:00开始开始,要求提前半个小时进考场。监考老师8:30左右到考场,在座位上帖上事先编排的编号,然后考生凭相关邮件以及身份证件依次到老师处验证身份,获得事前已经确定好的编号,并对号入座。
    从所有考试手续办理好、试卷发好、及考试信息填写好后的时间点开始考试,考试为6个小时。
    由于题量较大,感觉时间过得很快,没有出现疲劳感、一直在做题。准备了一些食品,如巧克力、小面包和饮料。因不敢浪费时间,考试期间仅仅吃了几口巧克力,喝了半瓶饮料,不过也没觉得饿,考试结束后才有饥饿感。
    顺次做题,遇到一时拿不稳的或感觉需花费较多的时间的,在试卷上做好记号临时跳过,或先临时选择一个选项,待后续回顾。大约提前45分钟左右做完250道题。略微松口气,开始复查。主要检查答题卡涂写是否有误,对拿不稳的题目重点回顾,对未作答的题目作答。
    考试期间每次只允许一个人去洗手间,先在老师处签名并记录离开教室时间,回来后再次记录

  • CISSP考试收费表20080508

    CISSP考试收费表20080508

    cissp-exam_pricing-20080508.pdf

    Examination Pricing

    CISSP or Associate of (ISC)2 Exam (6-hour)*
    CISSP-ISSAP/ISSEP/ISSMP (ISC)2 Exam (3-hour)*
    SSCP or Associate of (ISC)2 Exam (3-hour)*
    CAP (ISC)2 Exam (3-hour)*

    Americas – all other regions not listed below
    Early Registration USD 549 USD 399 USD 419 USD 419
    Standard Registration USD 599 USD 449 USD 469 USD 469

    Asia-Pacific
    Early Registration USD 549 USD

  • CISSP考试收费表20080418

    CISSP考试收费表20080418

    cissp-exam_pricing-20080418.pdf

    Examination Pricing
    CISSP or Associate of (ISC)2 Exam (6-hour)*
    CISSP-ISSAP/ISSEP/ISSMP (ISC)2 Exam (3-hour)*
    SSCP or Associate of (ISC)2 Exam (3-hour)*
    CAP (ISC)2 Exam (3-hour)*

    Americas – all other regions not listed below
    Early Registration USD 499 USD 349 USD 369 USD 369
    Standard Registration USD 599 USD 449 USD 469 USD 469

    Asia-Pacific
    Early Registration USD 499 USD 349 US

  • CISSP复习笔记模板-访问控制笔记

    CISSP复习笔记模板-访问控制笔记

    访问控制
    本章您将学到如下知识:
     识别(identification)的方法和技术
     认证(authentication)的方法、模式和技术
     选择的(discretionary),强制的(mandatory)和非选择的(nondiscretionary)的模式
     可追溯性(可记帐性accountability),监控和审计实践
     发射(emanation)安全和技术
     入侵检测系统(IDS, Intrusion detection systems)
     对访问控制可能的威胁的实践和技术

    信息安全建立的基础在于如何控制访问自身资源以保护他们免受未授权的修改(modification)或者披露(disclosure)。访问控制方法实质上可以通过技术的,物理的和管理的层面进行。

    一.访问控制概述Access Controls Overview
    访问控制是一种安全手段,控制的是不同用户或者系统之间的通信和交互;保护系统或资源免受未授权访问;在认证(authentication)流程成功完成授权用户的权限水平(the level of authorization)。虽然我们将用户当作一个需要访问信息和网络资源的实体(entity),但是还有其他类型的实体要求访问其他的信息资源,资源是访问控制中的客体(object),在访问控制的环境(context)中了解客体(object)、主体(subject)的定义是十分重要的。
    访问(access)是主客体之间的信息流动,主体(subject)是一个主动(active)的实体,它要求访问客体(object)或者客体包含的数据。主体可以是用户(users)、程序(program)、需要调用客体以完成任务的流程(process);客体(object)是一个包含信息的被动(passive)实体。客体可以是电脑、数据库(database)、电脑程序、文件、目录(directory)以及数据库中内置在一个表(table)中的field(field contained in a table within a database)。
    例子:当一个程序访问一个文件时,程序是主体,文件是客体
    又如: 一个用户要访问一个数据库,这个时候用户就是主动的实体而数据库则是被动的
    访问控制采用的机制很广泛,使用对电脑系统,网络和信息使用安全手段(feature),访问控制非常重要因为他是阻止未授权访问的第一道防线之一。当用户登陆系统并随后尝试访问一个文件,这个文件的访问控制列表(ACL access control list)中应该有此用户或这个用户所在的组(groups),这个是另外一个形式的访问控制,用户被允许和其权限取决于其身份(identity)、许可(clearance)和其所在组(group membership)。访问控制给了机构保护、通知、限制和保护CIA的能力。

    二.安全原则
    任何安全控制的三个主要的安全原则是:
     可用性(vailability)
     完整性(integrity)
     保密性(Confidentiality)

    这些原则在第三章已经提过了,AIO 的每一章都会以不同的方式体现这三个原则。本章研究的是通过访问控制如何影响和保护CIA原则的方法。
    我们所采用的每一个控制都能够影响CIA中至少一个原则,对于安全从业者(security professionals)来说了解所有可能保护和巧取(circumvented)安全原则的方法是十分必要的。

    (一)可用性 availability
    用户要求大多数信息,资源和系统必须是及时的(timely manner)以使得生产力不会受到影响;所访问的信息只有在其无法访问(inaccessible)的时候才显示出其重要性(管理者会体会到当一个重要的文件服务器无法正常使用)。容错和恢复机制(Fault tolerance and recovery mechanisms)将用来保证资源可用性的连续,如果要求的数据不能得到的话对于生产力的影响是显而易见的。
    信息有很多属性(attribute),例如准确性(accuracy),相关性(relevance),合时性(timeliness)和私密性(privacy)。用户往往只是关注其中几个属性。
    例如:一个股票交易者往往只是关注数据的准确性和及时性以便他能够及时在正确价位买卖,而不管其信息的隐私性;而饮料公司关注的是配方(recipe)的保密性。

    (二)完整性 Integrity
    信息必须是准确的,完整的(complete)和免于未授权更改。当一个安全方法作用于完整性的时候,它保护数据或者资源免于未授权形式的更改。如果任何非法(illegitimate)的变动确实发生了,安全方法必须以同样的方式提醒用户或者管理者
    例如:当一个用户对其网上银行帐号(online bank account)发送一个请求要支付水费,银行需要确认这个交易的完整性在交易期间没有收到警告,因此用户不会结束支付水电局。
    数据的完整性是十分重要的,试想当一个寄给美国总统的机密的电子邮件被截留发生了变动,而此变动是安全方法不允许,它本来应该警告总统这些消息已经更改了却没有警告,后果是非常严重的。

    (三)机密性 confidentiality
    机密性是一种信息不会被透露给未授权主体(个人,程序,进程)的保证。一些信息比另外一些信息要求有更高的敏感度,相应的也要求更高水平的机密性。需要有安全方法来声明WHO谁可以访问数据,还有一旦主体获得访问权可以做什么HOW,这行行动需要被审计,监控和控制。
    被当作机密资源的例子:医疗记录、金融帐号信息、犯罪记录、源代码(resource code)、商业秘密(trade secrets)和军事战略计划等。
    相应的安全方法的例子:加密(encryption)、逻辑和物理访问控制、交易协议(transmission protocol)、database views和受控的数据流(controlled traffic flow)。
    对一个公司来讲识别出数据的分类是十分重要的,这样可以保证公司采用最优先的安全方法来保护最高安全等级数据以使其机密性得到保护。如果这种敏感程度高的信息没有被单独区分开来的话,将会耗费巨大的时间和人力物力保护其安全性。当在交换商业秘密,客户信息或从事金融交易时有必要在机构间搭建VPNs(virtual private networks)或者通过IP sec加密协议(encryption protocol)来加密所有的传递消息。这需要花费相当数量的硬件,人力,金钱和企业管理费用(overhead)。所以对于数据的保护应该首先识别出数据的敏感性和敏感程度,然后执行与之相应的安全措施
    不同的安全技术适用于不同层次的CIA。环境、将要施行保护的数据分类的方法、安全目标等必须经过评估(evaluate)以确认公司已经购买了合适的安全技术并将其合理应用(put into place)。许多的公司花费了大量的时间和财力而没有采取以上的步骤,反而代之以购买现在冲击市场的名头较响的产品(gee whiz)。

    三.识别idenfication,认证authentication,授权autorization和可追溯性accountability

    (略)