CISSP_AIO读书笔记（强烈推荐）.docx

CISSP AIO最新读书笔记 第1、2章多为了解知识点，读者了解即可，出考题几率很小。 第三章 信息安全与风险管理 1、安全管理包括风险管理、信息安全策略、措施、标准、指导原则、基准、信息分类、安全组织和安全教育。 2、安全管理的功能包括确定目标、范围、策略、优先级和战略。管理层的职责是为其负责的资源和整个公司提供保护。这些资源的形式包括人力、资本、硬件与信息。 3、制订安全计划应该使用自顶向下的方式。启动、支持和指导来自最高管理层，该计划向下到达中级管理层，然后再到普通职员。无论采用何种形式，安全管理者都需要清晰的报告结构、对职责的理解以及测试和监控功能，以便保证不会由于缺少交流而导致计划流产。 4、为了实现管理层的安全指标，应当利用：行政管理性控制、技术性控制、物理性控制。 5、行政管理性控制包括：开发和发布策略、标准、措施和指导原则；风险管理；人员的筛查；指导安全意识培训；实现变更控制措施。 6、技术性控制（也称为逻辑性控制）包括：实现和维护访问控制机制；密码和资源管理；身份标识和身份验证方法；安全设备；基础设施的配置。 7、物理性控制包括：控制个人对设施和不同部门的访问；锁定系统；去除不必要的软驱和光驱；保护设施的周边；检测入侵；环境控制。 8、安全规划可以分为3个不同的领域：战略规划、战术规划和操作规划。 战略规划可能包含以下目标：◆确保风险被正确理解并得到合理解决；◆保证遵守法律法规；◆使整个组织机构的安全责任一体化；◆建立一个成熟的模型，从而实现持续的完善；◆将安全作为一项业务成就，以吸引更多的客户。 操作规划示例：◆执行安全风险评估；◆不允许执行降低生产能力的安全变更；◆维护和实现控制；◆长期扫描脆弱性并提供补丁程序；◆跟踪策略遵守情况。 9、COBIT分为4个领域：计划与组织、获取与实现、交付与支持、监控与评估。COBIT的组件包括：执行摘要、管理指导原则、架构、控制目标、实现工具集以及审计指导原则。 10、COSO是一个企业治理模型，COBIT是一个IT治理模型。COSO更多面向战略层面，COBIT则更为关注操作层面。从IT角度来看，可以将COBIT视为满足许多COSO目标的一种方式。 11、COBIT定义IT目标，ITIL则在过程级别上就如何实现这些目标提供需要采取的步骤。虽然ITIL是一个安全组件，但是它更加关注IT部门与其服务的内部部门之间的内部服务级协议。 12、失效模式和影响分析（FMEA）是一种确定功能、标识功能失效并通过结构化过程评估失效原因和失效影响的方法。我们既可以认为FMEA能够洞察未来并确定潜在的失效领域，也可以认为它能够发现脆弱性，并且在脆弱性转变为真正的障碍之前采取纠正措施。 13、使用FMEA保证风险管理的原因是：随着企业更细化地理解风险，风险管理的详细程度、使用的变量和复杂程度也持续增加。随着人们的风险意识不断增强，这种确定潜在缺陷的系统方式正发挥着越来越大的作用。事实证明，在确定更加复杂的环境和系统中可能发生的失效方面，故障树分析方法更为有用。 14、安全策略是高级管理层制定的一个全面声明，它规定安全在组织机构内所扮演的角色。安全策略可以是组织化策略，也可以是针对特定问题的策略或针对系统的策略。 15、在组织化安全策略中，管理层规定了应该如何建立安全计划，制定安全计划的目标，分配责任，说明安全的战略和战术价值，并且概述了应该如何执行安全计划。这种策略必须涉及相关法律、规章、责任以及如何遵守这些规定。组织化安全策略为组织机构内部未来的所有安全活动提供了范围和方向，还说明了高级管理层愿意接受多大的风险。 16、安全策略重要性的全面总结：◆确定公司认为价值重大的资产；◆为安全团队及其活动提供权力；◆在出现与安全有关的冲突时提供审核参考；◆规定公司的安全目的与目标；◆明确个人责任；◆有助于防止未加以说明的事件；◆定义安全团队的规模及其职能；◆明确事故响应责任；◆确定公司如何处理应当关注的法律、法规和标准。 17、安全策略可以分为：规章性策略、建议性策略和指示性策略。规章性策略用在保险机构、卫生保健机构、公共设施和其他政府控制的行业中；建议性策略用在医疗信息处理、金融事务或者机密信息处理中。指示性策略不是一种强制性策略，而是用来指导个人与公司相关的特定问题。 18、“适当勤奋”=“去检测”，它是使用最佳实践、公认标准和其他工具来识别风险所采取的步骤。“适当关注”=“去纠正”，它指的是纠正确定威胁，或者将其减轻到可接受的风险级别。 19、商业公司的信息敏感级别从高到低：机密、隐私、敏感、公开。 20、军事机构的信息敏感级别从高到低：绝密、秘密、机密、敏感但非机密、非机密。 21、分类规则必须适用于任何格式的数据，这些格式包括数字、纸张、视频、传真、音频等。 22、数据正确分类计划的必要步骤：◆定义分类级别；◆指定确定如何分类数据的准则；◆由数据所有者指明其负责的数据的分类；◆任命负责维护数据及其安全级别的数据看管员；◆制订每种分类级别所需的安全控制或保护机制；◆记录上述分类问题的例外情况；◆说明可用于将信息保管转交给其他数据所有者的办法；◆建立一个定期审查信息分类和所有权的措施。向数据看管员通报任何变更；◆指明信息解密措施；◆将这些问题综合为安全意识计划，让所有员工都了解如何处理不同分类级别的数据。 23、SOX法案规定，如果公司不能适当维护内部的企业治理架构，并且公司向SEC上报的财务报表存在错误，那么董事会成员可能要承担个人责任。 24、“安全港”这个框架规定，任何组织机构如果需要与欧洲的组织机构交换数据，那么就必须对数据加以保护。 25、与其他国家交换数据的跨国公司还必须了解和遵守经济合作与发展组织（OECD）的指导原则和越境信息流规则。 26、CSO与CISO的对比：大体而言，与CISO角色相比，CSO角色的职责更为广泛深入。CISO通常更加关注技术问题，并且具有IT背景。CSO则通常需要更深入地理解业务风险，包括物理安全。CSO更多时候是一名商人，通常只有大型组织机构才会设立这个职位。如果某个公司同时设立了这两个角色，那么CISO应当直接向CSO报告。 27、信息系统安全指导委员会负责就企业内部的战术和战略安全问题作出总体决策，并且不可以与业务部门有任何联系。成员应当由来自组织机构各部门的人员组成。该委员会应当由CEO领导，同时CFO、CIO、各部门经理和首席内部审计员都应参与其中。该该委员会的一些职责： ◆定义组织结构的可接受风险级别；◆确定安全目标和战略；◆根据业务需求决定安全活动的优先级别；◆审查风险评估和审计报告；◆监控安全风险的业务影响；◆审查重大的安全违规和事故；◆批准安全策略和计划的任何重要变更。 28、审计委员会应由董事会任命，以帮助其审查和评估公司的内部运作、内部审计系统以及财务报表的透明度和准确性，使公司的投资者、客户和债权人继续保持对组织机构的信心。该委员会至少负责： ◆公司财务报表以及向股东和其他人提供的财务信息的完整性；◆公司的内部控制系统；◆独立审计员的雇佣和表现；◆内部审计功能的表现；◆遵守与道德有关的法律要求和公司策略。 29、审计委员会的目标是在董事会、公司管理层、内部审计员和外部审计员之间提供独立而开放的通信渠道。 30、数据所有者并非是一个技术角色，而是一个业务角色。每个部门都应当设立一名数据所有者，由他保护该部门最重要的信息。 31、数据分析员负责保证以最佳方式存储数据，从而为需要访问和应用数据的公司与个人提供最大的便利。数据分析员与数据所有者共同合作，帮助保证建立的数据结构符合并支持公司的业务目标。 32、审计员最关注的是偏见和客观性问题，由第三方进行审计往往可以避免这种问题。某些情况下，法律条令和法规甚至阻止第三方审计员连续多年为同一个组织机构工作，以防止他们的关系变得过于密切，从而破坏评估和审计的客观性。 33、现在的招聘实践一般包括情景提问、个性测试和个人观察，而不是仅仅考察一个人的工作经历。 34、进行背景调查的最终目的是同时做到以下几点：◆减少风险；◆减少招聘成本；◆降低员工的流动率。 35、知识分割与双重控制是责任与控制分离的两种变化形式。 36、安全意识培训应专门为特定团体特别设计，内容广泛，并在整个组织机构内全面施行。一个安全意识培训计划通常至少有3种受众：管理层、职员、技术人员。安全意识培训必须以各种形式重复最重要的信息，其内容应当保持最新，具有娱乐性、积极性和幽默性，并且易于理解。最重要的是，它必须得到高级管理层的大力支持。 37、安全管理过程是一个不断循环的过程，它从评估风险和确定需求开始，然后对所涉及的系统和实际应用进行监控与评估，接下来是加强意识，这包括让企业中的所有相关人员都了解需要处理的问题。最后一步是实现用于解决之前定义的风险和需求的策略与控制。 38、安全管理者需要清晰的报告结构、对职责的理解以及测试和监控功能，以便保证不会由于缺少交流或理解而导致计划流产。 39、信息所有者（也称为数据所有者）是企业最终负责数据保护的人，负责分配信息的机密等级，并且规定应当如何保护信息。 40、COSO架构包括下列组件：控制环境；风险评估；控制活动；信息和通信；监控。 41、安全治理是一个集成安全组件（产品、人员、培训、流程、策略等）组成的连贯系统，其目标是为了确保组织机构能够持续运营并有望发展壮大。 42、定性分析技术包括：判断、最佳实践、直觉和经验。收集数据的定性分析技术示例有：Delphi、集体讨论、情节串联、焦点群体、调查、问卷、检查表、单独会谈以及采访。 43、定性方法的缺点：◆评估方法及结果相对主观；◆无法为成本/效益分析建立货币价值；◆使用主观衡量很难跟踪风险管理目标；◆没有相应的标准。 44、定量方法的缺点：◆计算更加复杂；◆没有可供利用的自动化工具，这个过程完全需要手动完成；◆需要做大量基础性的工作，以收集与环境相关的详细信息；◆没有相应的标准。 45、在一般情况下，分层模式意味着在网络的不同层面上实现不同的安全解决方案。这些层面涉及的范围从程序代码、所使用的协议、操作系统、应用程序配置直至用户活动以及控制管理上述所有方面的安全程序。 46、结构化的分析方法要求管理员必须清楚地了解以下几点：◆企业内部数据交换的流程；◆不同阶段对数据的访问、更改和监控；◆在不同层中的安全解决方案是如何协同工作的。 47、分层模式的意义：了解威胁的发展趋势，以便对系统采取相应的补充措施。 48、信息所有者（数据所有者）是企业最终负责数据保护的人，负责分配信息的机密等级，并且规定应当如何保护信息。 49、提供机密性的途径：◆在存储和传输数据时进行加密；◆使用网络流量填充、严格的访问控制和数据分类；◆对职员进行适当的相关培训。 50、抗击完整性威胁：◆严格的访问控制；◆入侵检测；◆散列运算。 51、组织化安全模型是一个框架，这个框架由许多实体、保护机制、逻辑性组件、行政管理性组件、物理性组件、措施、业务过程以及配置组成，这些组件相互协作，从而为系统环境提供一定的安全级别。 52、CISO负责深入理解企业的业务流程和目标，然后利用这些信息就威胁企业的风险、必须服从和遵守的政府法规和要求与高级管理层进行沟通，负责对安全事故的响应进行评估，并且制定安全法规遵从计划和确定安全衡量标准。 53、COSO架构由下列组件构成：◆控制环境；◆风险评估；◆控制活动；◆信息和通信；◆监控。 54、安全治理指的是确保实施的安全满足组织机构特殊需求所需的全部工具、人员和业务流程。它需要组织化结构、角色和职责、业绩评估、确定的任务和监督机制。 55、安全治理是一个集成安全组件（产品、人员、培训、流程、策略等）组成的连贯系统，其目标是为了确保组织机构能够持续运营并有望发展壮大。 56、在大型组织机构内，信息风险管理成员应当使用50%--70%的时间来处理风险管理工作。管理层必须投入资金对此成员进行必要的培训，为其提供风险分析工具，以确保风险管理工作的顺利进行。 57、风险分析用于确保安全防护措施是划算的，并能适当和适时地对威胁作出反应。风险分析有下列4个主要目标：◆标识资产和它们对于组织机构的价值；◆识别脆弱性和威胁；◆量化潜在威胁的可能性及其对业务的影响；◆在威胁的影响和对策的成本之间达到预算的平衡。 58、单一期望损失（SLE）=资产价值*暴露因子 年度损失期望=SLE*年发生比率 59、定性分析技术报告判断、最佳实践、直觉和经验。收集数据的定性分析技术示例有Delphi、集体讨论、情节串联、焦点群体、调查、问卷、检查表、单独会谈以及采访。 60、定性方法的缺点：◆评估方法及结果相对主观；◆无法为成本/效益分析建立货币价值；◆使用主观衡量很难跟踪风险管理目标；◆没有相应的标准。每个供应商解释其评估过程和结果的方式各不相同。 61、定量方法的缺点：◆计算更加复杂；◆没有可供利用的自动化工具；◆需要做大量基础性工作，以收集与环境相关的详细信息；◆没有相应的标准。每个供应商解释其评估过程和结果的方式各不相同。 62、在制订数据分类级别时，组织机构应注意下列问题：◆分类级别过多可能并不实用，而且会造成混淆；◆分类级别过少则会令人质疑分类过程的价值与作用；◆不同分类级别之间的准则定义不应出现重叠；◆应当为数据和软件都制订分类级别。 第四章 访问控制 1、访问控制的实现手段在本质上都处于技术性、物理性或行政管理性层面。 2、竟态条件是指进程按错误的顺序针对某个共享资源执行其任务。 3、创建或发布安全身份应当包括3个关键方面：唯一性、非描述性和签发。 4、向用户发布身份标识值时，应确保以下几点：◆每个值应当是唯一的，便于用户问责；◆应当遵循一个标准的命名方案；◆身份标识值不得描述用户的职位或任务；◆身份标识值不得在用户之间共享。 5、身份管理技术的主要目标是简化身份、身份验证、授权的管理以及对整个企业中多个系统内的主体的审计。 6、目录内的客体由目录服务管理。目录服务允许管理员配置和管理如何在网络中进行身份标识、身份验证、授权和访问控制。目录内的客体通过名称空间标记和标识。 7、虚拟目录的作用与元目录相似，并且可以代替原目录。两者的差异在于，元目录的目录中含有身份数据，而虚拟目录中则没有数据，它只是指向驻留实际数据的位置。 8、最常用的密码管理方法：◆密码同步；◆自助式密码重设；◆辅助式密码重设； 9、使用辅助式密码重设产品的目的在于：降低支持呼叫的成本，确保以统一、连贯和安全的方式处理所有呼叫。 10、用户指配指的是为响应业务过程而创建、维护和删除存在于一个或多个系统、目录或应用程序中的用户对象与属性。 11、构建目录是为了保存用户和资源信息。元数据目录从网络内的不同位置提取身份信息，从而允许身份管理过程从该目录获得完成任务所需的数据。 12、数字身份由属性、权利和特征构成。 13、标记语言是构造文本及其查看方式的一种方法。 14、生物测定学一般分为两种不同的类型。第一种是生理性生物测定，它指的是某个人所特有的身体特征。第二种是行为性生物测定，它基于个人的某种行为特点来确认其身份。 15、生物测定学系统必须经过仔细的校准。所有生物测定学系统都可以调整，如果调低2类错误率，那么会导致1类错误的增加。 16、生物测定学面临的障碍包括：◆用户可接受程度；◆特征登记时间；◆工作效率。 17、密码文件应当采用访问控制机制和加密方式进行保护。 18、一次性密码生成的令牌一般具有两种类型：同步和异步。令牌设备是最常见的一次性密码实现机制。 19、使用异步令牌生成方式的令牌设备通过挑战/响应机制对用户进行身份验证。 20、数字签名是一种使用私有密钥加密散列值（消息摘要）的技术。 21、因为更长，密码短语比密码更安全。 22、存储卡与智能卡的主要差异在于处理信息的能力。存储卡可以保存信息，但是不能处理信息，智能卡不仅可以保存信息，而且还具有实际处理信息的必要硬件和软件。 23、非接触式智能卡具有两种类型：混合式与组合式。混合式智能卡拥有连个芯片。组合式智能卡拥有一个微处理器芯片。 24、智能卡还能够编程，从而加密存储信息，并检测针对该卡的任何篡改行为。当检测到篡改时，在智能卡上存储的信息会被自动擦除。 25、针对智能卡的查分功率分析、电磁分析都是旁路攻击的示例，这些攻击不必利用任何形式的缺陷或弱点，常用于数据收集。 26、微区探查使用针头和超声振动去除智能卡电路上的外部保护材料，随后就可以通过直接连接智能卡的ROM芯片来访问和操纵其中的数据。 27、使用角色是一种为执行特定任务的用户类型分配权限的有效方式。使用组是另一种分配访问控制权限的有效方式。 28、访问控制机制应当默认为拒绝访问。更好的方式是从零开始，并且基于“知其所需”添加特权。 29、SOX法规规定，经理必须每年对其雇员的权限进行核查。 30、Kerberos是一个身份验证协议，在客户端/服务器模型中工作，并且基于对称密钥密码术，已成为Windows 2000/2003/2008操作系统的默认身份验证方法。 31、Kerberos是分布式环境中单点登录的一个示例，也是异构网络的一个实际标准。 32、企业访问控制需要4个元素：可扩展性、透明性、可靠性以及安全性。 33、Kerberos通过使用票证来让主体通过客体的身份验证，而SESAME则使用特权属性证书。特权属性证书具有数字签名。 34、域不仅适用于网络设备和区段，而且还可以应用于用户和进程。 35、目录服务的示例有：轻量级目录访问协议（LDAP）、Novell NetWare目录服务（NDS）和Microsoft活动目录（AD）。 36、访问控制模型是规定主体如何访问客体的一种架构，它使用访问控制技术和安全机制来实现模型的规则和目标。访问控制模型主要有下列3种：自主访问控制、强制访问控制以及非自主访问控制（角色型访问控制）。 37、组织结构的业务和安全目标以及公司的文化和业务运作管理模式，有助于规定应当使用哪一种访问控制模型。 38、自主访问控制的最常见实现方式是访问控制列表（ACL），ACL由所有者规定和设置，由操作系统实施。自主访问控制使得用户访问信息的能力更加动态化，这与强制访问控制的静态特性形成对比。 39、在强制访问控制（MAC）模型中，用户和数据所有者没有决定谁能访问文件的权力。操作系统作出最终的决策，并且能够重写用户的设置。这种模型更为结构化、更为严格，并且基于安全标签系统。主体如何访问客体的规则由安全官制定，由管理员配置，由操作系统实施，由安全技术支持。 40、在MAC实现中，系统通过比较主体和安全标签的许可与“知其所需”级别来作出访问决策。在DAC实现中，系统需要比较主体的身份和资源的ACL。 41、角色型访问控制模型（RBAC）使用集中管理的控制方式来决定主体和客体如何交互，允许根据用户的工作角色来管理权限，从而简化了访问控制管理，是雇员流动性高的公司最适合使用的访问控制系统。 42、限制性接口主要有3种：◆菜单和外壳；◆数据库视图；◆物理限制接口。 43、数据库视图是用于限制用户访问数据库中数据的一种安全机制。 44、AAA代表身份验证、授权和审计。 45、远程身份验证拨号用户服务（RADIUS）是一种网络协议，它提供客户端/服务器身份验证和授权，并且审计远程用户。 46、终端访问控制器访问控制系统（TACACS）将它的身份验证和授权过程组合在一起，XTACACS将身份验证、授权和审计过程分隔开，TACACS+则是采用扩展双因素用户身份验证的XTACACS。TACACS使用固定的密码进行身份验证，而TACACS+允许用户使用动态（一次性）密码。 47、看门狗可以解决软件死锁、无限循环和进程优化问题。这种功能可以用在AAA协议中，以决定是否需要重新传送数据包以及出现问题的连接是否应当关闭和重新打开。 48、移动IP技术允许一名用户在从一个网络转移到另外一个网络时仍然使用相同的IP地址。 49、组织机构选择使用分散式模型主要是因为经理能够很好地判断哪一类用户应该能够访问不同的资源，并且不存在规定必须通过集中式访问控制管理进行严格控制的业务需求。 50、在组织机构内部构建安全基础的第一步就是安全策略问题。管理层的责任就是构造一个安全策略，并委派人员开发支持性措施、标准和指导原则，指明应当使用怎样的人员控制，并且指定执行什么样的测试才能确保满足公司的安全目标。 51、行政管理控制包括：◆人员控制；◆监管结构；◆安全意识培训；◆测试。 52、物理性控制包括：◆网络分段；◆周边安全；◆计算机控制；◆工作区分隔；◆布线；◆控制区。 53、技术性控制包括：◆系统访问；◆网络体系结构；◆网络访问；◆加密和协议；◆审计。 54、访问控制的不同功能包括：◆威慑◆预防◆纠正◆恢复◆检测◆补偿◆指令。 55、进行审计时，应该记住以下几点：◆安全存储审计跟踪；◆使用适当的审计工具控制日志的大小；◆为了保护数据，日志必须不被未授权修改；◆培训合适的人员以合理方式检查数据；◆确保只有管理员才能删除日志；◆日志应当包含所有高权限账户的活动。 56、TEMPEST存在两个替代技术：使用白噪声或使用控制区概念。白噪声就是具有均匀频谱的随机电子信号。 57、规则型入侵检测常常需要用到一个专家系统。专家系统由知识库、推理引擎和规则型编程组成。 58、第五代编程语言（人工智能语言）能够处理“灰色”问题，即从提供的数据中推断出合理的解决方案。 59、网络嗅探器具有识别不同协议值的协议分析能力，需要使用采用混杂模式的网络适配器和捕获数据的驱动程序。 60、获取密码最有效的方式是混合型攻击，就是组合使用字典攻击和蛮力攻击。 第五章 安全体系结构和设计 1、安全策略概括地说明了实体相互如何访问、不同实体能够执行的不同操作、系统或软件产品要求的保护级别以及当这些需求没有满足时应该采取什么动作。策略勾勒出软件和硬件必须遵循以达到的期望。安全模型概括地描述正确支持某种安全策略以及实现特定安全策略所必须满足的要求。 2、计算机体系结构由使一个计算机系统正常运转所需的全部部件构成，包括操作系统、存储器芯片、逻辑电路、存储设备、输入输出设备、安全组件、总线和联网组件。 3、通用寄存器用于保存变量和临时结果。特殊寄存器保存诸如程序计数器、栈指针和程序状态字之类的信息。程序计数器寄存器中包含需要提取的下一个指令的存储器地址。 4、CPU使用地址总线说明需要处理的指令的位置，存储器或I/O设备则通过数据总线发送位于该存储器位置的数据。 5、操作系统与CPU协作，通过使用中断来提供时间分片，以保证有足够的时间访问CPU。 6、采用下列方法可以实施进程隔离：◆对象的封装；◆共享资源的时分复用；◆命名区分；◆虚拟映射。 7、存储器管理的目标包括：◆为编程人员提供一个抽象层；◆通过有限的可用存储器提供最高性能；◆保护操作系统与加载入存储器的应用程序。 8、存储器管理器的5项基本功能：◆重新部署◆保护◆共享◆逻辑组织◆物理组织。 9、随机存取存储器（RAM）具有易失性。动态RAM更加便宜，速度更慢；静态RAM较为昂贵，速度更快。静态RAM用在高速缓存器中，而动态RAM则常用在RAM芯片中。 10、处理器、存储器类型和大小以及总线速度都是影响计算机性能的关键因素。 11、防止存储器泄露的对策主要有两种：◆开发正确释放存储器的更完善的代码；◆使用垃圾收集器。 12、分层是在信任级别较高进程和信任级别较低进程间提供缓冲区的一种方式。 13、无论安全机制置入操作系统体系结构的位置如何，只要安全机制的复杂性增加，那么通常它所提供的保证就越低。 14、可信计算基（TCB）内的进程驻留在0环中，它们的指令在特权状态下执行，并且不可信的进程不会与它们直接交互。 15、TCB的4个基本功能为：◆进程激活◆执行域交换◆存储器保护◆I/O操作 16、安全内核仲裁主体和客体之间的所有访问和功能。它是TCB的核心部分，并且是构建可信计算系统的最常用方法。 17、安全内核具有4条主要要求：◆它必须为实施引用监控器概念的进程提供隔离，并且这些进程必须不被篡改；◆针对每个访问企图，都必须调用安全内核，而且必须保证不回避调用，因此，必须以一种完整而且简单牢靠的方式实现安全内核；◆它必须足够小，以便能够完整和全面地对其进行测试和验证。 18、形式化安全模型用于提供高度的安全保证。非形式化模型则更多地用作一个架构，以描述应该怎样表达和执行安全策略。 19、状态机模型被用于描述一个系统对不同输入的响应行为，它提供表示集合（主体和客体）和序列的数学构造。 20、形式化模型主要用于不允许出现错误或安全脆弱性的系统中，如空中交通管制系统、太空软件、铁路信号系统、军事机密系统以及医疗控制系统。 21、在开发一个使用状态机模型的产品时，应注意的问题：◆开发人员必须定义状态变量及其位置；◆开发人员必须为每个状态变量定义一个安全状态。 22、Bell-LaPadula模型是多级安全策略的第一个算术模型，用于定义安全状态机的概念、访问的模式以及概述访问的规则。主要目标是防止以未经授权的方式访问到秘密信息。是一个信息流安全模型。未解决系统所维护的数据的完整性。 23、Bell-LaPadula模型中使用和实施了3条主要的规则：◆简单安全规则；◆*属性规则；◆强星属性规则。 24、基本安全定理规定：如果系统在安全的状态下启动，而且所有允许的状态转换都是安全的，那么无论出现什么输入，随后的每一个状态都是安全的。 25、Biba模型解决了应用程序内数据的完整性问题，使用了格型安全级别，使用和实施了3条主要规则：◆*完整性公理；◆简单完整性公理；◆调用属性。 26、完整性模型3个主要的目标：◆防止未授权用户进行更改；◆防止授权用户进行不正确的更改（责任分离）；◆维护内部和外部的一致性（格式良好的事务处理）。 27、隐蔽通道分为两种类型：存储和计时。 28、在橘皮书中，操作系统直到B2安全级别以上才开始解决隐蔽通道问题。 29、格子是一个建立在组概念上的数学结构。 30、在决定操作系统应在什么模式下运行时，应当考虑以下问题：◆直接或间接连接到系统的用户类型；◆系统处理的数据类型；◆用户拥有的许可级别、“知其所需”和正式访问批准。 31、在橘皮书汇总，较低水平的安全等级评定工作会考察系统的性能和测试结果来确定安全评级，而较高水平的安全等级评定工作则更多地考察系统的设计、规范、开发过程、支持文档以及测试结果。 32、橘皮书提供一个分级系统，从而将保证级别划分成：验证保护、强制保护、自主保护、最小保护。 33、橘皮书包括4个主要的主题：◆安全策略◆可问责性◆保证◆文档化。分为7个不同的领域：◆安全策略◆标识◆标签◆文档化◆可问责性◆生命周期保证◆持续保护。 34、C2系统被认为是最合理的商业应用类，但它的保护级别相对薄弱。 35、橘皮书主要解决政府和军方对其计算机系统的要求和期望。主要问题：◆橘皮书专门针对操作系统，而没有重视诸如网络、数据库之类的其他问题；◆橘皮书主要着眼于安全的机密性，而没有考虑完整性和可用性；◆橘皮书主要适用于政府分类，而不适用于商业领域使用的保护分类；◆橘皮书中的评级数量相对较少，这意味着安全领域的许多不同方面没有得到独立的评估和评级。 36、红皮书解决了网络和网络组件的安全评估问题，它主要针对独立局域网和广域网系统。加密和协议是网络内提供大量安全性的组件，红皮书可衡量它们的功能、强度和保证。 37、通用准则有7个保证级别：◆功能测试◆结构测试◆系统的测试和检查◆系统地设计、测试和复查◆半正式地设计和测试◆半正式地验证设计和测试◆正式地验证设计和测试。 38、通用准则在其评估过程中使用了保护样板。保护样板包括5个部分：◆概述性元素◆依据◆功能要求◆开发保证要求◆评估保证要求。 39、认证是评定安全机制和评估安全效果的一种技术性审查，鉴定是管理层正式接受认证过程中的调查结果。 40、Zachman体系结构架构就如何以模块化方式了解实际的企业提供了指导。 41、在开发企业安全体系结构时，必须理解和遵循以下标准：◆战略一致性◆过程改进◆业务促进◆安全效率。 42、业务促进指的是核心业务流程应集成入安全操作模型，它们必须以标准为基础，并且遵循一个基于风险承受度的准则。 43、安全效率涉及的内容包括：度量、服务级别约定要求、投资回报、满足设定的基准以及为管理层提供仪表板或平衡计分卡系统。 第六章 物理和环境安全 1、安全机制负责保护生命和财产，使其免受火灾、自然灾害和破坏性事故的伤寒。保障机制则应对个人造成的故意破坏、盗窃和攻击。 2、物理安全机制的实现必须基于分层防御模型。 3、通过环境设计来预防犯罪（CPTED）提供了3种主要策略：◆自然访问控制◆自然监视◆自然区域加固。 4、监视可以通过有组织的方式、技术方式和自然策略进行。 5、自然区域加固的目标是为了建立一种专属社区感。 6、聚碳酸酯镀层玻璃是最坚固的窗户材料。 7、如果数据处理中心的门上使用了组合锁，那么至少每隔6个月或一名知道密码的员工离开公司后，都应及时修改密码。 8、数据中心的门不能为空心门，而应当使用安全的实心门。门应该向外开，而不能向内开，以便在开门时不会损坏里面的设备。门框应该固定在附近墙里面的螺丝钉上，并且每扇门至少要有3个铰链。 9、电源和数据线不应经过荧光灯的上面。这是因为，荧光灯所发射的射频可能会干扰流经这些线路的数据或电流。 10、浪涌电压保护器使用金属氧化变阻器，从而能够在浪涌发生时将多出的部分电压转移到地面。 11、稳压器和线路调节器能够用于保证电源的洁净和平稳分配。 12、在决定安装哪种灭火系统时，公司需要评估各种因素，包括估计火灾的可能发生率，可能造成的损失以及备选的灭火系统类型。 13、便携式灭火器应当置于离电子设备50英尺以内的地方。 14、主要的喷水系统一共有4种，分别是：湿管式、干管式、提前作用式以及泛滥式。 15、机械锁主要分为两类：暗锁和弹簧锁。弹簧锁分为3类：销簧锁、盘簧锁和杆锁。 16、至关重要的区域应采用至少8英尺高的栅栏。 17、在信息安全领域，我们以NIST为最佳实践和行业标准；在物理安全领域，我们以UL为指导。 18、至关重要的区域，其照明距离至少为8英尺，并且照明强度为2英尺烛光。 19、体积测量IDS分为光电式、声（地）震动式、超声式和微波式。 第七章 通信与网络安全 1、会话层协议控制应用程序到应用程序的通信，而传输层协议控制计算机到计算机的通信。 2、数据链路层被分为两个功能性子层：逻辑链路控制（LLC）层和介质访问控制（MAC）层。 3、路由器最多只能向上理解到网络层的信息。网桥只能向上理解到数据链路层，中继器则只理解物理层上的数据。 4、IPV4使用32位地址，而IPV6使用128位地址。 5、当两个设备有大量数据需要传送时，它们会使用同步传输；如果数据较少，它们就会使用异步传输。 6、基带使用整个通信通道进行传输，而宽带则将一个通信通道分为若干不同且独立的通道，从而能够同时传输不同类型的数据。 7、线缆的缠绕、隔离层的类型、导电材料的质量和线缆的屏蔽决定了数据能够传输的速率。 8、衰减的影响随频率的增加而增加。传输数据的频率越高，线缆的长度就应该越短，以保证衰减不会导致问题。 9、在为网络选择布线时，必须考虑下列因素：◆公司在网络方面的预算；◆操作的简易性；◆可能的信号干扰；◆线缆跨越距离；◆需要的传输速度；◆安全性；◆阻燃性能。 10、载波侦听访问方法比令牌传递访问方法快。但是前者存在冲突问题。拥有很多设备的网段会导致过多的冲突，并且使网络性能变差。令牌传递技术没有冲突问题，但是没有没有载波侦听技术的速度快。 11、网络层处理和理解IP地址，数据链路层处理和理解物理MAC地址。MAC地址是唯一的，因为前24位代表制造商代码，后24位代表制造商分配的唯一序列号。 12、OSPF协议是在大型网络中首选使用的路由协议。 13、路由抖动指的是路由器可用性的持续改变。 14、网桥具有下列3种主要类型：本地、远程和翻译。 15、网桥的功能：◆将大的网络分成更小的、更容易控制的部分；◆使用基于MAC的过滤；◆连接属于同一广播域的不同类型网络链路；◆隔离相同广播域内的冲突域；◆在LAN内完成本地的桥接功能，或者远程桥接两个远距离的LAN；◆可以再不同协议之间进行翻译。 16、较高层交换机提供路由选择功能、包检测、数据流优先排序和QoS功能。 17、包过滤防火墙的弱点：◆它们不能防止攻击利用针对应用程序的脆弱性或功能；◆包过滤防火墙中的日志记录功能有限；◆大多数包过滤防火墙并不支持高级的用户身份验证方案；◆许多包过滤防火墙都无法检测OSI第3层寻址信息被修改的网络数据包；◆由于仅适用了少量变量来作出访问控制决策，因此包过滤防火墙容易遭受配置不当引起的安全威胁的影响。 18、包过滤防火墙的优点：可升级，不依赖应用程序，而且由于并不对数据包进行大量处理，因此具有较高的性能。 19、状态检查防火墙的特征：◆维护一个状态表，以跟踪记录每个通信通道；◆它提供了高度的安全性，而且不会像代理防火墙那样引入性能问题；◆可升级，对用户透明；◆为跟踪连接协议（UDP或ICMP）提供数据；◆存储和更新包内数据的状态和上下文；◆被视为第三代防火墙。 20、代理防火墙的优点：◆检查数据包中的信息，甚至可能直接到达应用层的信息；◆比包过滤防火墙提供更好的安全性；◆切断可信任系统和不可信系统之间的连接。 21、代理防火墙的缺点：◆某些代理服务器只支持有限的应用；◆比包过滤防火墙提供更好的安全性；◆切断可信任系统和不可信系统之间的连接。 22、电路级代理的优点在于：与应用级代理相比，它能处理更多类型的协议和服务。电路级代理的缺点是无法提供应用级代理的那种细粒化控制程度。 23、SOCKS防火墙能够屏蔽、过滤、审计、记录与控制流进和留出受保护网络的数据流。 24、应用级代理防火墙的特征：◆每个服务都需要一个不同的代理；◆比电路级代理防火墙提供更细致的控制；◆对每个包都要处理，速度比电路级代理防火墙慢。 25、电路级电力防火墙的特征：◆不需要每个服务一个代理；◆不提供应用级代理防火墙所提供的更详细地访问控制；◆为更广阔的协议提供安全性。 26、SOCKS代理防火墙的重要特征：◆它是一种电路级代理防火墙；◆要求客户端安装SOCKS客户端软件，以实现“SOCKS化”；◆可以是资源密集型的；◆提供与VPN协议类似的身份验证和加密特性，但不被认为是传统的VPN协议。 27、动态包过滤防火墙是第四代防火墙，它的优点是可以允许任何类型的流量流出，并且只允许响应流量流入。 28、内核代理防火墙被认为是第五代防火墙。 29、配置防火墙时应当采用的一些最佳实践：◆阻止ICMP重定向流量；◆ACL应当简单和直接；◆禁止源路由；◆关闭不必要的、带有危险服务的端口；◆禁用未使用的接口；◆阻止定向的IP广播；◆阻止带有内部地址（它们受到了欺骗）的向内数据包；◆阻止不必要的多播流量；◆启用日志记录。 30、双宿是指一个设备具有两个接口：一个面向外联网络，另一个则面向内联网络。如果防火墙软件被安装在双宿设备上，那么为了安全，底层的操作系统应当关闭包转发和路由功能。 31、源路由意味着数据包自己决定如何到达目标，而不是由源计算机和目标计算机之间的路由器决定。源路由是按预定路径传输数据包的方法。发送计算机必须知道网络的拓扑并知道如何正确地路由数据。 32、组织机构应当实现分离式DNS，也就是说在DMZ内部署一台DNS服务器来处理外部的解析请求，再部署一台内部DNS服务器专门处理内部的解析请求。 33、同步光纤网（SONET）是自我恢复的。所有的SONET