国际认证

CISSP认证教材OSG第9版新增(改)知识点:D3-安全和风险管理

2023-04-18 17:30:11 | 来源:企业IT培训

CISSP认证教材OSG第9版有增加或者改动的知识点,CISSP认证的教材新版知识点可能会在考试中出现,因此我们为大家进行了梳理,CISSP认证教材OSG第9版新增(改)知识点如下。

D3-安全和风险管理

1、量子密码学(Quantum Cryptography)

使用量子力学原理,用称为量子位的多维量子位代替数字计算的二进制 1 和 0 位(也叫量 子比特(qubit))

2、默认安全(Secure Defaults) (p314)

永远不要认为任何产品的默认设置都是安全的。 你需要检查每一个设置,以确定它做了什 么配置以及你需要配置什么样的功能,这样以便在支持业务操作的同时优化安全性。

3、保持简单(Keep It Simple)(p316)

一个系统越复杂,它的安全就越困难。代码行数越多,彻底测试它的难度就越大。组件越多, 出问题的地方就越多。特性和能力越多,攻击面就越大。更简单的解决方案更容易保护、更 容易排除故障和更容易验证。

4、零信任(Zero Trust)(p317)

零信任是一个安全概念:组织不会自动信任任何内容。零信任是一种安全的替代方法,在这 种方法中没有任何东西是默认受信任的,即“持续验证,永不信任”(“never trust, always verify”)。 微隔离(Microsegmentation)是将内部网络划分为多个子区域。零信任是使用广泛的安全 解决方案实现的,包括内部隔离防火墙 (ISFW)、多因素身份验证 (MFA)、身份和访问管理 (IAM) 以及下一代终端安全。 空气网闸(air gap)是一种网络安全措施,用来确保安全系统在物理上与其他系统隔离,这 意味着既没有有线网络连接、也没有无线网络连接可用。

5、隐私设计 PbD(Privacy by Design)(p319)

隐私设计(PbD)的指导原则就是在早期设计阶段就将隐私保护集成到产品中,而不是在开 发完成了才将其附加到产品中。

6、“信任,但要核实”(Trust but Verify) (p319)

“信任,但要核实”是一种传统方法, 这种类型的安全方法使组织容易受到内部攻击,并使入 侵者能够轻松地在内部系统之间执行横向移动。该方法依赖于初始身份验证过程以获得对内 部“安全”环境的访问权限,然后依赖于通用访问控制方法。

7、区块链 blockchain(p380)

区块链是一个记录、交易、操作或其他事件的集合或分类账,使用了散列、时间戳和交易数 据验证。每次将新元素添加到记录中时,整个分类帐都会再次散列。该系统通过分类账是否 保持完整作为证据,来防止对事件历史的篡改。

8、高性能计算系统 High-Performance Computing (HPC) Systems (p382)

高性能计算 (HPC) 系统是旨在以极高的速度执行复杂计算或数据操作的计算平台。实时操 作系统 (RTOS) 设计为在系统上以最小延迟处理数据。RTOS 经常使用自定义或专有代码, 其中可能包含会被攻击者发现的未知错误或缺陷。

9、Edge and Fog Computing (p385)

边缘计算是一种网络设计理念,其中数据和计算资源尽可能靠近,以优化带宽使用,同时最 大限度地减少延迟。雾计算是高级计算架构的另一个例子,它也经常被用作 IoT 部署中的一 个组件。雾计算依靠传感器、物联网设备甚至边缘计算设备来收集数据,然后将其传输回中 央位置进行处理。边缘计算在分布式边缘系统上进行处理,而雾计算对分布式传感器收集的 数据进行集中处理。

10、专用设备 Specialized Devices(p393)

专用设备的领域是广阔的,而且还在不断扩大。专用设备是为一个特定目的而设计的任何实 体,并且由特定类型的组织使用或执行特定功能。

11、微服务(Microservices)(p394)

微服务是基于 Web 的解决方案的新兴特性,是面向服务架构(SOA)的衍生。 微服务将 一个 Web 应用程序的功能转换为可由许多其他 Web 应用程序调用的微服务。每个微服务 都必须有一个明确定义(且安全)的 API。服务交付平台 (SDP) 是提供服务交付架构的组件 集合。SDP 和 CDN 都可以使用微服务实现。

12、基础设施即代码(Infrastructure as Code)(p395)

基础设施即代码 (IaC) 是感知和处理硬件管理方式的一种变化。使用 IaC,硬件基础设施的 管理方式与软件代码的管理方式大致相同,包括:版本控制、部署前测试、定制测试代码、 合理性检查、回归测试和分布式环境中的一致性。不可变架构(Immutable Architecture)不可 变架构是服务器一旦部署就永远不会改变的概念。如果需要更新、修改、修复或以其他方式 更改,则从当前服务器构建或克隆新服务器,应用必要的更改,然后部署新服务器以替换前 一个服务器。验证新服务器后,旧服务器将退役。虚拟机被销毁,物理硬件/系统被重新用 于未来的部署。

13、虚拟化网络(Virtualized Networking)(p400)

虚拟化网络或网络虚拟化是将硬件和软件网络组件组合成单个集成实体。容器化基于消除虚 拟机中操作系统元素重复的概念。每个应用程序都被放置在一个容器中,该容器仅包含支持 封闭应用程序所需的实际资源,而公共或共享的操作系统元素则是管理程序的一部分。

14、容器化 Containerization(p405)

容器化虚拟化趋势发展的下一个阶段,既用于内部托管系统也用于云提供商和服务。基于虚 拟机的系统使用安装在主机服务器裸机上的管理程序,然后在每个虚拟机中运行完整的客户 操作系统,每个虚拟机通常只支持一个主应用程序。这是一种资源浪费设计,并揭示了其作 为独立物理机器的起源。

15、Serverless Architecture(p406)

无服务器架构是一种云计算概念,其中代码由客户管理和平台(即支持硬件和软件),或者 服务器由云服务提供商 (CSP) 管理。总是有一台物理服务器在运行代码,但这种执行模型 允许软件设计师/架构师/程序员/开发人员专注于他们代码的逻辑,而不必担心特定服务器 的参数或限制。这也称为功能即服务 (FaaS)。

16、责任共担 (Shared Responsibility)(p355)

责任共担是安全设计原则,表明组织不会独立运营,需要 共同承担建立和维护安全的责任。

关注中培伟业,了解更多CISSP相关信息。