我的备考过程(详细记录100天,我基本上每天晚上都在知乎直播看书过程,欢迎监督~),开这篇文章的日期是2021年3月29日,我是这样打算的,(下面的是OSG,后期看的)
CISSP官方学习指南(第8版)(安全技能经典译丛)
第一遍刷书 AIO (中文第七版)操持用时38天(4月20日)第一遍AIO总结薄弱点,操持用时11天(4月30日)5月劳动节,学习一下影象宫殿节后开始第二遍AIO精读,这块的操持,往后再定~
CISSP考试 英文术语
大略阐明
access 访问
主体查看、变动客体或与客体通信的能力,访问支持信息与客体之间的流动
access control 访问掌握
限定只有被授权主体才能访问资源的机制、掌握和方法
access control list(ACL)访问掌握列表
被授权访问特定客体的主体列表,常日,通过ACL可以读、写、实行、添加、变动、删除和创建访问的类型
access control mechanical 访问掌握机制
管理、物理或技能性掌握,用于检测和阻挡对资源或环境的未授权访问
accountability 可问责性
一种安全原则,表明个体必须可标识,并且必须对自己的行动卖力
accredited 认可
详细公认的正式授权和容许的打算机系统或网络,能在特定操作环境中处理敏感数据 ,这样的打算机系统或网络必须具有技能职员对系统硬件、软件、配置和掌握的安全评估
add-on security 追加安全性
为系统加装硬件或软件的安全保护机制,从而提高系统的保护级别
administrative control 行政管理掌握
属于管理职责的安全机制,这种机制被视为软掌握,行政管理性掌握包括:策略、标准、方法和辅导原则的开拓和发布,职员的筛查,安全意识培训,对系统活动的监控,以及变更方法
aggregation 聚合
组合来自较低分类级别的单独源的信息的动作,这个动作导致创建较高等别的信息,但主体对这些信息不具有必要的访问权权限
AIC triad AIC三元组
3个安全原则:可用性、完全性和机密性
annualized loss expectancy 年度丢失预期ALE
某种风险在一个年度中估量可能造成的丢失本钱,单一丢失预期(SLE)年发生比率(ARO)=ALE
anti-malware 反恶意软件
紧张功能包括识别和减少恶意软件,也称为防病毒软件
annualized rate of occurrence 年发生比率 ARO
这个值表示一年韶光内发生特定威胁的估量可能性
assurance 担保
这个置信度反应了特定安全掌握供应的保护级别及实在行安全策略的程度
attack 攻击
避开系统中的安全掌握以达到或危害系统目的所进行的考试测验,攻击每每通过利用当前的薄弱性而实现
audit trail 审计跟踪
一组按韶光顺序排列的日志和记录,用于供应与系统性能或系统中发生活动干系的证据,这些日志和记录能用于考试测验重新构建过去的事宜,跟踪发生的活动,并可能检测和标识入侵者
authenticate 身份验证
对要求利用系统或访问网络资源的主体的身份进行验证,使主体访问客体的步骤应该是:身份标识、身份验证和授权
authorization 授权
在主体通过有效的身份标识和身份验证之后,答应其对客体的访问
availability 可用性
个人及时得到数据和资源的可靠性与可访问性
back door 后门
未公开的得到打算机系统访问权限的办法,系统受到危害后,攻击者可能载入侦听某个端口的程序,从而随时进入系统,也成为陷门
back up 备份
将数据复制和移动到某个介质,从而在原始数据涌现缺点或被毁坏时可以还原数据,完全备份将系统中的所有数据都复制到备份介质,增量备份只复制上一次备份操作以来变动的文件,差异备份则备份最近一次完全备份操作以来发生变革的所有文件
baseline 基准
支持和履行任何安全策略都必须达到的最小安全级别
bell-lapadula
该模型是一种形式化状态转移模型,描述了其访问掌握以及应该如何实行上述访问掌握,当系统必须从某个状态转移至另一个状态时时,系统的安全性绝不该当降落或受到危害
biba
打算机安全策略的一种形式化状态转移系统,这种模型描述了一组用于确保数据完全性的访问掌握规则
biometrics 生物测定学
在打算机安全性内部利用时,生物测定学用于通过指纹、手型或虹魔样本之类的生理特色来标识个体的身份
blacklist 黑名单
一组已知的不好的资源,如IP地址、域名或运用程序
browsing 浏览
通过查看存储介质以探求特定信息,而不必知道信息所采取的格式,在浏览攻击中,攻击者会查看打算机系统,从而创造感兴趣或特定信息
brute force attack 蛮力攻击
通过不断考试测验不同输入来实现预定目标的一种攻击办法,这种攻击能够用于获取未授权访问的凭据
business impact analysis 业务影响剖析BIA
被认为是一种功能剖析,团队网络信息,记录业务功能,划分业务功能层次,并制订一个分类方案来表示每项功能的主要级别
callback 回调、回拨
这个过程用于标识能够访问特定环境的系统,在一个回调中,主系统首先断开与调用者的连接,然后拨打远程终真个授权电话号码,从而重新建立连接
capability 功能
功能概括了一个主体能访问的客体,以及该主体在不同客体上实行的操作,功能表明特定主体的访问权限
CMMI 能力成熟度集成
一个捕捉组织成熟度并促进的过程模型
certification 认证
针对安全组件及其鉴定的规范所进行的技能评估,认证过程可以利用安保评估、风险剖析、验证、测试和审计技能,以便评定系统在特定环境内处理指定级别信息的适宜程度。认证是对安全组件或系统的测试,鉴定是根据安全组件或系统管理给出的容许
challenge/response method 寻衅相应方法
这种方法通过向主体发送不可预测的,或随机的值来验证主体的身份,如果主体随后相应期望值,那么主体通过了身份验证
ciphertext 密文
已被加密并在转换为明文前不可读的数据
clark wilson model CW模型
完全性,防止未授权用户进行变动,防止授权用户进行不适当的变动,掩护审计过程中内部和外部的同等性
classification 分类
根据已建立的一些列准则将客户系统排列分组或分类,数据和资源在创建、修正、增强、存储发送时都会被指派敏感级别,分类级别随后将确定须要掌握和保护资源的范围,并根据信息资产表明其代价
cleartext 明文
在数据通信中,明文是一种或数据形式,传送或存储都不采取密码保护
cloud computing 云打算
利用共享的远程打算设备来提高效率、性能、可靠性、可扩展性和安全性
collusion 共谋
两人或多人共同进行敲诈活动,某些毁坏或敲诈类型须要多人参与才能发生,这将显著减少毁坏和敲诈发生的可能性
communications security 通信安全
信息传送时为了保护信息而进行适当的掌握
compartment 分隔
除为正常访问机密性、秘密或绝密信息供应的掌握外,还具有“知其所需”访问掌握的信息种别,分隔和安全标签中的分类相似,主体具有适当分类,这并不虞味着须要某个资源,安全标签中的分类强化了“知其所需”
compensating control 补偿性掌握
这种掌握采取了设计目的为降落风险的可选方法,补偿性掌握用于“抵消”内部掌握毛病的影响
compromise 泄密
对系统或组织机构安全策略的违背,从而导致敏感信息未授权透露或变动的发生
computer fraud 打算机敲诈
与打算机干系联的犯罪,涉及对数据的蓄意虚报、变动或泄密,从而危害系统或得到有代价的数据
confidentiality 机密性
确保信息不透露给未授权主体而利用的安全原则
configuration management 配置管理
针对系统全体生命周期内硬件、软件、固件、支持文档以及测试结果的所有变革进行的标识、掌握、核算和记录
confinement 限定
作为掌握信息,能阻挡敏感数据以未授权办法从某个程序透露至另一个程序、主体或客体
contingency plan 意外事件操持
在潜在的紧急事宜发生之前履行的一种操持,其任务是处理将来可能发生的紧急事宜,这种涉及培训职员、实行备份、准备关键举动步伐以及涌现紧急事宜或灾害的规复,从而能够连续业务操作
control zone 掌握区域
举动步伐内用于保护敏感处理设备的空间,履行的掌握能保护设备免受物理或技能性的未授权进入或危害,掌握区域也可用于防止电波将敏感数据发送至区域以外
copyright 版权
保护思想表达的合法权利
cost/benefit analysis 本钱/收益剖析
确保防护方法的本钱不超过其收益而实行的评估,花费比资产代价更高的本钱没有任何商业意义,所有可能的防护方法都必须进行评估,从而担保作出最安全有效和最划算的选择
countermeasure 对策
为防止攻击者利用薄弱性而履行的掌握、方法、技能活方法,履行对策是为了缓解风险,对策也称为防护方法或掌握
covert channel 暗藏通道
支持以不违反系统安全策略的办法传输信息的通信路径
convert storage channel 存储暗藏通道
这种暗藏通道包含通过一个进程写入存储位置,以及通过另一个进程间接或直接读取存储位置,存储暗藏通道常日涉及位于不同安全级别的两个主体共享的某种资源
convert timing channel 计时暗藏通道
在这种暗藏通道中,一个进程调度其系统资源,另一个进程则通过某种通信类型进行阐明
cryptanalysis 密码剖析
破解密码系统与加密、解密过程所利用算法的实际事情
cryptography 密码术
采取数据的存储和传输只对预期方有效的形式来密写数据的学科
cryptology 密码学
对密码术语密码剖析学的研究
crypto system 密码系统
密码学的硬件或软件实现
data at rest 静态数据
驻留在诸如硬盘驱动器、固态驱动器或DVD的外部或赞助存储设备中的数据
data classification 数据分类
指示每种信息都须要的可用性、完全性和机密性级别的数据分配
data custodian 数据保管员
卖力坚持和保护数据的职员,这个角色常日由IT部门职员担当,数据保管员的任务包括:定期实行数据备份操作,实现安全机制,定期验证数据的完全性,从备份介质还原数据,以及知足公司安全策略、标准和辅导原则的关于信息安全和数据保护的需求
DES 数据加密标准
美国政府采取对称密钥加密算法作为保管敏感但非机密信息的联邦标准,后来被高等加密标准AES代替
data in transit 传输中的数据
通过诸如互联网这样的数据网络在打算节点之间移动的数据
data in use 利用中的数据
临时驻留在主存储设备中的数据,主存储设备的例子有CPU常用到的寄存器、cache或RAM
data leak prevention(DLP)数据透露防护
组织为防止未经授权的外部各方访问敏感数据而采取的各种行动
data mining 数据挖掘
是对数据仓库中的数据进行进一步剖析以得到更有用信息的过程
data remanence 数据残留
去除用于打消数据的外加磁力之后剩余的磁通密度的度量
data warehousing 数据仓库
为了更广泛的信息检索和数据剖析,将多个数据库或数据源组合成一个大的数据库的过程
data shadowing 数据库镜像
在数据库中利用的一种镜像技能,利用这种技能时,为了实现冗余性,信息至少写入两块硬盘
declassification 降落机密等级
去除或降落机密信息安全级别的管理决策或方法
dedicated security mode 专用安全模式
在这种模式中,如果所有用户都具有访问容许或授权,并且理解干系信息的需求,那么系统就能操作其内部处理的所有数据,所有用户可正式访问系统中的所有信息,并签署协议,赞许不透露干系信息
degauss 消磁
对磁性介质进行去磁的处理,从而使介质上留下非常低的磁感应,消磁用于从介质上有效的删除数据
delphi technique / Delphi 技能
一种集体决策方法,从而确保小组的每个成员都针对公司风险进行老实和匿名的反馈
DoS 谢绝做事供给
阻挡系统或系统资源无法按照预期目的运行的任何动作或系统动作
DevOps
是一种将开拓职员、运营职员、质量担保QA职员组成同一软件开拓项目团队的实践,这将统一勉励机制,使得软件产品发布更加频繁、高效、可靠
dial-up 拨号
打算机终端能凭借拨号做事利用电话线,每每通过调制解调器来启动和连续与另一个打算机系统的通信
dictionary attack 字典攻击
在这种攻击形式中,攻击者利用一组弘大的可能组合来预测秘密
digital signature 数字署名
能对发起者进行身份验证的、基于密码术方法的电子署名,打算时利用一些列规则和一组参数,从而能够验证署名者的身份和数据的完全性
disaster recovery plan 灾害规复操持
为帮助公司从灾害中规复过来而开拓的一种操持,在组织机构的打算机处理能力、资源以及物理举动步伐遭受丢失时,灾害规复操持为相应紧急事宜、扩展备份操作和灾害后规复供应了详细方法
discretionary access control(DAC) 自主访问掌握
这种访问掌握模型和策略基于主体身份和主体所属分组来约束对客体的访问,数据所有者可能许可或谢绝其他人对资源的访问
distributed network protocol3(DNP3)分布式网络协议3
是一种设计用于SCADA系统的通信协议,特殊是电力行业内,但不包括路由功能
domain 域
某个主体被许可访问的一组客体,在这个域内,所有主体和客体共享公共的安全策略、方法和规则,并由相同的系统管理
due care 应尽关注
是实行的一些列步骤,这些步骤表明:公司对在其内部发生的所有活动卖力,并采纳了保护公司及其资源与雇员的必要步骤
due diuligence 应尽职责
评估信息的系统化过程,从而确定薄弱性、威胁以及组织机构整体风险干系联的问题
electric discovery 电子创造
该过程为法院或外部状师供应与法律程序有关的所有电子存储信息
electric vaulting 电子传送
备份数据转移到远处的一个场所,这个过程紧张通过通信线路将数据转移至代替性场所的做事器
emanations 辐射
从电子设备中发射出的,能通过空气波传输的电子或电磁旗子暗记,这些旗子暗记运载了能够捕获和解密的信息,从而导致毁坏安全的结果,辐射也叫放射
encryption 加密
将明文转换为不可读的密文
end-to-end encryption 端到端加密
对数据包的数据载荷进行加密的技能
exposure 暴露
指由威胁而造成资产丢失的实例,毛病或薄弱性可导致组织机构遭受可能的毁坏
exposure factor (EF)暴露因子
某种分外资产受已发生的威胁所造成丢失的百分比
failover 故障转移
在主系统涌现故障或脱机时自动转移至备用系统的备份操作,这是一个主要的容错功能,该功能可供应系统可用性
fail safe 故障防护
这种功能确保软件或系统无论何种缘故原由涌现故障时,都不会以易受攻击的状态结束,涌现故障后,软件可能默认不进行任何访问,而不是许可完备掌握,这是故障防护方法的一个示例
fibre channnel over ethernet(FCoE)光纤通道以太网
这是一个协议的封装,许可光纤通道帧通过以太网
firmware 固件
写入只读存储器ROM或可编程只读存储器PROM芯片的软件指令
formal security policy model 形式化安全策略模型
安全策略的一种数学表达,创建某个操作系统时,可根据为每个情景都设计了所有活动如何实行的预开拓模型来构建该系统
formal verification 形式化验证
高度可信任系统的验证和测试,测试被设计为解释下列内容:设计验证,形式化规范和形式化安全策略模型之间的同等性,实现验证,形式化规范之间的同等性,以及产品的详细实现
本篇完,感激大家~
编辑于 2021-04-18 20:00