CISSP認證教材OSG第9版有增加或者改動的知識點，CISSP認證的教材新版知識點可能會在考試中出現，因此我們為大家進行了梳理，CISSP認證教材OSG第9版新增(改)知識點如下。

D7-運營安全

1、自動配置管理系統 CMS(automated configuration management system)(p774)

許多組織使用自動配置管理系統 (CMS) 來幫助管理硬件資產。CMS 的主要目的是配置管理， 配置管理(CM)有助于確保系統部署在安全、一致的狀態下，并在整個生命周期內保持在安全 和一致的狀態。CMS 在檢查配置設置時需要連接到硬件系統，它會驗證系統是否仍在網絡中 并已運行。

2、無形資產(Intangible Inventories)(p775)

無形資產是一種知識資產(知識產權、專利、商標、公司聲譽和版權)而不是實物資產，因 此很難為它們分配貨幣價值。高級管理層通常是這些資產的所有者，他們試圖通過估計資產 將為組織帶來的收益，來確定無形資產的價值。大型組織使用公認會計原則 (GAAP) 在其資 產負債表上報告無形資產的價值，這將有助于他們至少每年審查一次無形資產。

3、云服務模式下的責任共擔(Shared Responsibility with Cloud Service Models) (p780)

1)云供應商和客戶如何分擔三種主要云服務模型的維護和安全責任：

2)云供應商和客戶如何分擔四種主要云部署模式的維護和安全責任：

公共云模型包括可供任何消費者(客戶)租用或租賃的資產，并由云服務提供商(CSP)托 管。服務級別協議可以有效地確保 CSP 以組織(客戶)可接受的級別提供基于云的服務。

私有云部署模型用于單個組織的基于云的資產。組織可以使用自己的本地資源創建和托管私 有云。如果是這樣，組織負責所有維護。但是，組織也可以從第三方租用資源供組織獨占使 用。維護需求通常根據服務模型(SaaS、PaaS 或 IaaS)進行拆分。

社區云部署模型向兩個或多個具有共同關注點的組織提供基于云的資產，例如類似的任務、 安全要求、策略或合規性考慮因素。資產可由一個或多個組織擁有和管理。維護責任是根據 誰托管資產和服務模型來分擔的。

混合云模型包括兩個或多個云的組合，這些云通過提供數據和應用程序可移植性的技術綁定 在一起。與社區云模型類似，維護責任根據誰托管資產和使用的服務模型來分擔。

4、假陽性或真陰性?(False Positive or True Negative?)(p822)

假陽性、假陰性、真陽性和真陰性的概念經常引起混淆。下面從事件檢測和生物識別系統兩 個領域來說明。

1)對于 IDS/IPS 有四種可能性它們與事件和檢測有關：

真陽性(True positive)：事件發生，檢測到

假陰性(False negative)：事件發生，未檢測到(漏報)

假陽性(False positive)：事件未發生，檢測到(誤報)

真陰性(True negative)：事件未發生，未檢測到

2)生物識別有四種可能性：

真陽性(True positive)：注冊用戶嘗試進行身份驗證，并通過身份驗證

假陰性(False negative)：注冊用戶嘗試進行身份驗證，但未通過身份驗證

假陽性(False positive)：冒名頂替者嘗試進行身份驗證，并通過身份驗證

真陰性(True negative)：冒名頂替者嘗試進行身份驗證，但未通過身份驗證

5、自動化事件響應(Automating Incident Response)(p845)

多年來，事件響應自動化已經有了很大進步，并且還在不斷改進。以下部分介紹了其中一些， 例如安全編排、自動化和響應 (SOAR)、人工智能 (AI) 和威脅情報技術。

1)安全編排、自動化和響應 (SOAR)

SOAR(Security orchestration, automation, and response)是指一組允許組織自動響應 某些事件的技術。SOAR 允許安全管理員定義這些事件和響應，通常使用 playbook 和 runbook， 其中：playbook 是定義如何驗證事件的文檔或清單;runbook 將 playbook 數據實現為自動 化工具。

2)機器學習和人工智能(AI)工具 許多公司交替使用人工智能 (AI) 和機器學習 (ML) 這兩個術語，就好像它們是同義詞一 樣。然而，他們不是。這兩個術語沒有嚴格的定義，但可以簡單來區分一下：ML 是人工智能 的一部分，是指可以通過經驗自動改進的系統，ML 賦予計算機系統學習的能力。人工智能 是一個廣泛的領域，其中包括機器學習。一個關鍵點是機器學習是人工智能廣泛主題的一部 分。

3)威脅情報 威脅情報(Threat intelligence)是指收集有關潛在威脅的數據。它包括使用各種來源及 時獲取有關當前威脅的信息。

6、MITRE ATT&CK(p848)

MITRE ATT&CK 矩陣是攻擊者在各種攻擊中使用的已識別策略、技術和程序 (TTP) 的知識 庫。它是對殺傷鏈模型的補充，例如 Cyber Kill Chain。但是，與殺傷鏈模型不同，這些策 略不是一組有序的攻擊。

7、流行病 Pandemics(p869)

流行病給社會帶來了重大的健康和安全風險，并有可能以不同于許多其他災害的方式擾亂業 務運營。流行病不會造成身體傷害，而是威脅個人健康，并阻止他們大量聚集，關閉辦公室 和其他設施。

8、得到教訓 Lessons Learned(p901)

在任何災難恢復操作或其他安全事件結束時，組織應進行經驗教訓總結。經驗教訓過程目的 是為了參與事件響應工作的每個人提供一個機會，來反思他們在事件中的個人角色以及團隊 的整體響應。這是一個改進事件響應中使用的流程和技術以更好地應對未來安全危機的機 會。

9、組織道德規范 Organizational Code of Ethics(p930)

幾乎每個組織都有自己的道德準則，這些準則發布給員工以幫助指導他們的日常工作。這些 可能以官方道德聲明的形式出現，也可能體現在組織用于開展日常業務活動的策略和流程 中。

關注中培偉業，了解更多CISSP相關信息。