CISSP認證教材OSG第9版有增加或者改動的知識點，CISSP認證的教材新版知識點可能會在考試中出現，因此我們為大家進行了梳理，CISSP認證教材OSG第9版新增(改)知識點如下。

D3-安全和風險管理

1、量子密碼學(Quantum Cryptography)

使用量子力學原理，用稱為量子位的多維量子位代替數字計算的二進制 1 和 0 位(也叫量 子比特(qubit))

2、默認安全(Secure Defaults) (p314)

永遠不要認為任何產品的默認設置都是安全的。 你需要檢查每一個設置，以確定它做了什 么配置以及你需要配置什么樣的功能，這樣以便在支持業務操作的同時優化安全性。

3、保持簡單(Keep It Simple)(p316)

一個系統越復雜，它的安全就越困難。代碼行數越多，徹底測試它的難度就越大。組件越多， 出問題的地方就越多。特性和能力越多，攻擊面就越大。更簡單的解決方案更容易保護、更 容易排除故障和更容易驗證。

4、零信任(Zero Trust)(p317)

零信任是一個安全概念：組織不會自動信任任何內容。零信任是一種安全的替代方法，在這 種方法中沒有任何東西是默認受信任的，即“持續驗證，永不信任”(“never trust, always verify”)。 微隔離(Microsegmentation)是將內部網絡劃分為多個子區域。零信任是使用廣泛的安全 解決方案實現的，包括內部隔離防火墻 (ISFW)、多因素身份驗證 (MFA)、身份和訪問管理 (IAM) 以及下一代終端安全。 空氣網閘(air gap)是一種網絡安全措施，用來確保安全系統在物理上與其他系統隔離，這 意味著既沒有有線網絡連接、也沒有無線網絡連接可用。

5、隱私設計 PbD(Privacy by Design)(p319)

隱私設計(PbD)的指導原則就是在早期設計階段就將隱私保護集成到產品中，而不是在開 發完成了才將其附加到產品中。

6、“信任，但要核實”(Trust but Verify) (p319)

“信任，但要核實”是一種傳統方法， 這種類型的安全方法使組織容易受到內部攻擊，并使入 侵者能夠輕松地在內部系統之間執行橫向移動。該方法依賴于初始身份驗證過程以獲得對內 部“安全”環境的訪問權限，然后依賴于通用訪問控制方法。

7、區塊鏈 blockchain(p380)

區塊鏈是一個記錄、交易、操作或其他事件的集合或分類賬，使用了散列、時間戳和交易數 據驗證。每次將新元素添加到記錄中時，整個分類帳都會再次散列。該系統通過分類賬是否 保持完整作為證據，來防止對事件歷史的篡改。

8、高性能計算系統 High-Performance Computing (HPC) Systems (p382)

高性能計算 (HPC) 系統是旨在以極高的速度執行復雜計算或數據操作的計算平臺。實時操 作系統 (RTOS) 設計為在系統上以最小延遲處理數據。RTOS 經常使用自定義或專有代碼， 其中可能包含會被攻擊者發現的未知錯誤或缺陷。

9、Edge and Fog Computing (p385)

邊緣計算是一種網絡設計理念，其中數據和計算資源盡可能靠近，以優化帶寬使用，同時最 大限度地減少延遲。霧計算是高級計算架構的另一個例子，它也經常被用作 IoT 部署中的一 個組件。霧計算依靠傳感器、物聯網設備甚至邊緣計算設備來收集數據，然后將其傳輸回中 央位置進行處理。邊緣計算在分布式邊緣系統上進行處理，而霧計算對分布式傳感器收集的 數據進行集中處理。

10、專用設備 Specialized Devices(p393)

專用設備的領域是廣闊的，而且還在不斷擴大。專用設備是為一個特定目的而設計的任何實 體，并且由特定類型的組織使用或執行特定功能。

11、微服務(Microservices)(p394)

微服務是基于 Web 的解決方案的新興特性，是面向服務架構(SOA)的衍生。 微服務將 一個 Web 應用程序的功能轉換為可由許多其他 Web 應用程序調用的微服務。每個微服務 都必須有一個明確定義(且安全)的 API。服務交付平臺 (SDP) 是提供服務交付架構的組件 集合。SDP 和 CDN 都可以使用微服務實現。

12、基礎設施即代碼(Infrastructure as Code)(p395)

基礎設施即代碼 (IaC) 是感知和處理硬件管理方式的一種變化。使用 IaC，硬件基礎設施的 管理方式與軟件代碼的管理方式大致相同，包括：版本控制、部署前測試、定制測試代碼、 合理性檢查、回歸測試和分布式環境中的一致性。不可變架構(Immutable Architecture)不可 變架構是服務器一旦部署就永遠不會改變的概念。如果需要更新、修改、修復或以其他方式 更改，則從當前服務器構建或克隆新服務器，應用必要的更改，然后部署新服務器以替換前 一個服務器。驗證新服務器后，舊服務器將退役。虛擬機被銷毀，物理硬件/系統被重新用 于未來的部署。

13、虛擬化網絡(Virtualized Networking)(p400)

虛擬化網絡或網絡虛擬化是將硬件和軟件網絡組件組合成單個集成實體。容器化基于消除虛 擬機中操作系統元素重復的概念。每個應用程序都被放置在一個容器中，該容器僅包含支持 封閉應用程序所需的實際資源，而公共或共享的操作系統元素則是管理程序的一部分。

14、容器化 Containerization(p405)

容器化虛擬化趨勢發展的下一個階段，既用于內部托管系統也用于云提供商和服務。基于虛 擬機的系統使用安裝在主機服務器裸機上的管理程序，然后在每個虛擬機中運行完整的客戶 操作系統，每個虛擬機通常只支持一個主應用程序。這是一種資源浪費設計，并揭示了其作 為獨立物理機器的起源。

15、Serverless Architecture(p406)

無服務器架構是一種云計算概念，其中代碼由客戶管理和平臺(即支持硬件和軟件)，或者 服務器由云服務提供商 (CSP) 管理。總是有一臺物理服務器在運行代碼，但這種執行模型 允許軟件設計師/架構師/程序員/開發人員專注于他們代碼的邏輯，而不必擔心特定服務器 的參數或限制。這也稱為功能即服務 (FaaS)。

16、責任共擔 (Shared Responsibility)(p355)

責任共擔是安全設計原則，表明組織不會獨立運營，需要 共同承擔建立和維護安全的責任。

關注中培偉業，了解更多CISSP相關信息。