CISSP認(rèn)證教材OSG第9版有增加或者改動(dòng)的知識(shí)點(diǎn)，CISSP認(rèn)證的教材新版知識(shí)點(diǎn)可能會(huì)在考試中出現(xiàn)，因此我們?yōu)榇蠹疫M(jìn)行了梳理，CISSP認(rèn)證教材OSG第9版新增(改)知識(shí)點(diǎn)如下。

D3-安全和風(fēng)險(xiǎn)管理

1、量子密碼學(xué)(Quantum Cryptography)

使用量子力學(xué)原理，用稱為量子位的多維量子位代替數(shù)字計(jì)算的二進(jìn)制 1 和 0 位(也叫量 子比特(qubit))

2、默認(rèn)安全(Secure Defaults) (p314)

永遠(yuǎn)不要認(rèn)為任何產(chǎn)品的默認(rèn)設(shè)置都是安全的。 你需要檢查每一個(gè)設(shè)置，以確定它做了什 么配置以及你需要配置什么樣的功能，這樣以便在支持業(yè)務(wù)操作的同時(shí)優(yōu)化安全性。

3、保持簡單(Keep It Simple)(p316)

一個(gè)系統(tǒng)越復(fù)雜，它的安全就越困難。代碼行數(shù)越多，徹底測試它的難度就越大。組件越多， 出問題的地方就越多。特性和能力越多，攻擊面就越大。更簡單的解決方案更容易保護(hù)、更 容易排除故障和更容易驗(yàn)證。

4、零信任(Zero Trust)(p317)

零信任是一個(gè)安全概念：組織不會(huì)自動(dòng)信任任何內(nèi)容。零信任是一種安全的替代方法，在這 種方法中沒有任何東西是默認(rèn)受信任的，即“持續(xù)驗(yàn)證，永不信任”(“never trust, always verify”)。 微隔離(Microsegmentation)是將內(nèi)部網(wǎng)絡(luò)劃分為多個(gè)子區(qū)域。零信任是使用廣泛的安全 解決方案實(shí)現(xiàn)的，包括內(nèi)部隔離防火墻 (ISFW)、多因素身份驗(yàn)證 (MFA)、身份和訪問管理 (IAM) 以及下一代終端安全。 空氣網(wǎng)閘(air gap)是一種網(wǎng)絡(luò)安全措施，用來確保安全系統(tǒng)在物理上與其他系統(tǒng)隔離，這 意味著既沒有有線網(wǎng)絡(luò)連接、也沒有無線網(wǎng)絡(luò)連接可用。

5、隱私設(shè)計(jì) PbD(Privacy by Design)(p319)

隱私設(shè)計(jì)(PbD)的指導(dǎo)原則就是在早期設(shè)計(jì)階段就將隱私保護(hù)集成到產(chǎn)品中，而不是在開 發(fā)完成了才將其附加到產(chǎn)品中。

6、“信任，但要核實(shí)”(Trust but Verify) (p319)

“信任，但要核實(shí)”是一種傳統(tǒng)方法， 這種類型的安全方法使組織容易受到內(nèi)部攻擊，并使入 侵者能夠輕松地在內(nèi)部系統(tǒng)之間執(zhí)行橫向移動(dòng)。該方法依賴于初始身份驗(yàn)證過程以獲得對(duì)內(nèi) 部“安全”環(huán)境的訪問權(quán)限，然后依賴于通用訪問控制方法。

7、區(qū)塊鏈 blockchain(p380)

區(qū)塊鏈?zhǔn)且粋€(gè)記錄、交易、操作或其他事件的集合或分類賬，使用了散列、時(shí)間戳和交易數(shù) 據(jù)驗(yàn)證。每次將新元素添加到記錄中時(shí)，整個(gè)分類帳都會(huì)再次散列。該系統(tǒng)通過分類賬是否 保持完整作為證據(jù)，來防止對(duì)事件歷史的篡改。

8、高性能計(jì)算系統(tǒng) High-Performance Computing (HPC) Systems (p382)

高性能計(jì)算 (HPC) 系統(tǒng)是旨在以極高的速度執(zhí)行復(fù)雜計(jì)算或數(shù)據(jù)操作的計(jì)算平臺(tái)。實(shí)時(shí)操 作系統(tǒng) (RTOS) 設(shè)計(jì)為在系統(tǒng)上以最小延遲處理數(shù)據(jù)。RTOS 經(jīng)常使用自定義或?qū)Ｓ写a， 其中可能包含會(huì)被攻擊者發(fā)現(xiàn)的未知錯(cuò)誤或缺陷。

9、Edge and Fog Computing (p385)

邊緣計(jì)算是一種網(wǎng)絡(luò)設(shè)計(jì)理念，其中數(shù)據(jù)和計(jì)算資源盡可能靠近，以優(yōu)化帶寬使用，同時(shí)最 大限度地減少延遲。霧計(jì)算是高級(jí)計(jì)算架構(gòu)的另一個(gè)例子，它也經(jīng)常被用作 IoT 部署中的一 個(gè)組件。霧計(jì)算依靠傳感器、物聯(lián)網(wǎng)設(shè)備甚至邊緣計(jì)算設(shè)備來收集數(shù)據(jù)，然后將其傳輸回中 央位置進(jìn)行處理。邊緣計(jì)算在分布式邊緣系統(tǒng)上進(jìn)行處理，而霧計(jì)算對(duì)分布式傳感器收集的 數(shù)據(jù)進(jìn)行集中處理。

10、專用設(shè)備 Specialized Devices(p393)

專用設(shè)備的領(lǐng)域是廣闊的，而且還在不斷擴(kuò)大。專用設(shè)備是為一個(gè)特定目的而設(shè)計(jì)的任何實(shí) 體，并且由特定類型的組織使用或執(zhí)行特定功能。

11、微服務(wù)(Microservices)(p394)

微服務(wù)是基于 Web 的解決方案的新興特性，是面向服務(wù)架構(gòu)(SOA)的衍生。 微服務(wù)將 一個(gè) Web 應(yīng)用程序的功能轉(zhuǎn)換為可由許多其他 Web 應(yīng)用程序調(diào)用的微服務(wù)。每個(gè)微服務(wù) 都必須有一個(gè)明確定義(且安全)的 API。服務(wù)交付平臺(tái) (SDP) 是提供服務(wù)交付架構(gòu)的組件 集合。SDP 和 CDN 都可以使用微服務(wù)實(shí)現(xiàn)。

12、基礎(chǔ)設(shè)施即代碼(Infrastructure as Code)(p395)

基礎(chǔ)設(shè)施即代碼 (IaC) 是感知和處理硬件管理方式的一種變化。使用 IaC，硬件基礎(chǔ)設(shè)施的 管理方式與軟件代碼的管理方式大致相同，包括：版本控制、部署前測試、定制測試代碼、 合理性檢查、回歸測試和分布式環(huán)境中的一致性。不可變架構(gòu)(Immutable Architecture)不可 變架構(gòu)是服務(wù)器一旦部署就永遠(yuǎn)不會(huì)改變的概念。如果需要更新、修改、修復(fù)或以其他方式 更改，則從當(dāng)前服務(wù)器構(gòu)建或克隆新服務(wù)器，應(yīng)用必要的更改，然后部署新服務(wù)器以替換前 一個(gè)服務(wù)器。驗(yàn)證新服務(wù)器后，舊服務(wù)器將退役。虛擬機(jī)被銷毀，物理硬件/系統(tǒng)被重新用 于未來的部署。

13、虛擬化網(wǎng)絡(luò)(Virtualized Networking)(p400)

虛擬化網(wǎng)絡(luò)或網(wǎng)絡(luò)虛擬化是將硬件和軟件網(wǎng)絡(luò)組件組合成單個(gè)集成實(shí)體。容器化基于消除虛 擬機(jī)中操作系統(tǒng)元素重復(fù)的概念。每個(gè)應(yīng)用程序都被放置在一個(gè)容器中，該容器僅包含支持 封閉應(yīng)用程序所需的實(shí)際資源，而公共或共享的操作系統(tǒng)元素則是管理程序的一部分。

14、容器化 Containerization(p405)

容器化虛擬化趨勢發(fā)展的下一個(gè)階段，既用于內(nèi)部托管系統(tǒng)也用于云提供商和服務(wù)。基于虛 擬機(jī)的系統(tǒng)使用安裝在主機(jī)服務(wù)器裸機(jī)上的管理程序，然后在每個(gè)虛擬機(jī)中運(yùn)行完整的客戶 操作系統(tǒng)，每個(gè)虛擬機(jī)通常只支持一個(gè)主應(yīng)用程序。這是一種資源浪費(fèi)設(shè)計(jì)，并揭示了其作 為獨(dú)立物理機(jī)器的起源。

15、Serverless Architecture(p406)

無服務(wù)器架構(gòu)是一種云計(jì)算概念，其中代碼由客戶管理和平臺(tái)(即支持硬件和軟件)，或者 服務(wù)器由云服務(wù)提供商 (CSP) 管理。總是有一臺(tái)物理服務(wù)器在運(yùn)行代碼，但這種執(zhí)行模型 允許軟件設(shè)計(jì)師/架構(gòu)師/程序員/開發(fā)人員專注于他們代碼的邏輯，而不必?fù)?dān)心特定服務(wù)器 的參數(shù)或限制。這也稱為功能即服務(wù) (FaaS)。

16、責(zé)任共擔(dān) (Shared Responsibility)(p355)

責(zé)任共擔(dān)是安全設(shè)計(jì)原則，表明組織不會(huì)獨(dú)立運(yùn)營，需要 共同承擔(dān)建立和維護(hù)安全的責(zé)任。

關(guān)注中培偉業(yè)，了解更多CISSP相關(guān)信息。