CONTENTS AT A GLANCE

Chapter 1 Becoming a CISSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

Chapter 2 Information Security Governance and Risk Management . . . . . . . . 21

Chapter 3 Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157

Chapter 4 Security Architecture and Design . . . . . . . . . . . . . . . . . . . . . . . . . . 297

Chapter 5 Physical and Environmental Security . . . . . . . . . . . . . . . . . . . . . . . . 427

Chapter 6 Telecommunications and Network Security . . . . . . . . . . . . . . . . . . 515

Chapter 7 Cryptography . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 759

Chapter 8 Business Continuity and Disaster Recovery . . . . . . . . . . . . . . . . . . 885

Chapter 9 Legal, Regulations, Compliance, and Investigations . . . . . . . . . . . . . 979

Chapter 10 Software Development Security . . . . . . . . . . . . . . . . . . . . . . . . . . . 1081

Chapter 11 Security Operations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1233

Appendix A Comprehensive Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1319

Appendix B About the CD-ROM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1379

Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1385

All-in-1 /CISSP Exam Guide, Sixth Edition / Harris / 174-9/

v

174-9FM2.indd v174-9FM2.indd v 9/24/12 4:28 PM9/24/12 4:28 PM

CONTENTS

Foreword . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxAcknowledgments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xxiii

Chapter 1 Becoming a CISSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1Why Become a CISSP? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1The CISSP Exam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2CISSP: A Brief History . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6How Do You Sign Up for the Exam? . . . . . . . . . . . . . . . . . . . . . . . . 7What Does This Book Cover? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7Tips for Taking the CISSP Exam . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8How to Use This Book . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

Chapter 2 Information Security Governance and Risk Management . . . . . . . . 21Fundamental Principles of Security . . . . . . . . . . . . . . . . . . . . . . . . . 22

Availability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23Integrity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23Confidentiality . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24Balanced Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

Security Definitions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26Control Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28Security Frameworks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

ISO/IEC 27000 Series . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36Enterprise Architecture Development . . . . . . . . . . . . . . . . . . . 41Security Controls Development . . . . . . . . . . . . . . . . . . . . . . . 55COSO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59Process Management Development . . . . . . . . . . . . . . . . . . . . 60Functionality vs. Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68

Security Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69Risk Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

Who Really Understands Risk Management? . . . . . . . . . . . . . 71Information Risk Management Policy . . . . . . . . . . . . . . . . . . 72The Risk Management Team . . . . . . . . . . . . . . . . . . . . . . . . . . 73

Risk Assessment and Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74Risk Analysis Team . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75The Value of Information and Assets . . . . . . . . . . . . . . . . . . . 76Costs That Make Up the Value . . . . . . . . . . . . . . . . . . . . . . . . 76Identifying Vulnerabilities and Threats . . . . . . . . . . . . . . . . . 77Methodologies for Risk Assessment . . . . . . . . . . . . . . . . . . . . 78Risk Analysis Approaches . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

All-in-1 /CISSP Exam Guide, Sixth Edition / Harris / 174-9

vii

174-9FM2.indd vii174-9FM2.indd vii 9/24/12 4:28 PM9/24/12 4:28 PM

CISSP All-in-One Exam Guide

viii

All-in-1 /CISSP Exam Guide, Sixth Edition / Harris / 174-9

Qualitative Risk Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89Protection Mechanisms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92Putting It Together . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96Total Risk vs. Residual Risk . . . . . . . . . . . . . . . . . . . . . . . . . . . 96Handling Risk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97Outsourcing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100

Policies, Standards, Baselines, Guidelines, and Procedures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101

Security Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102Standards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105Baselines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106Guidelines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106Procedures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108

Information Classification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109Classifications Levels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110Classification Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113

Layers of Responsibility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114Board of Directors . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115Executive Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116Chief Information Officer . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118Chief Privacy Officer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118Chief Security Officer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119

Security Steering Committee . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120Audit Committee . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121Data Owner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121Data Custodian . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122System Owner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122Security Administrator . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122Security Analyst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123Application Owner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123Supervisor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123Change Control Analyst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124Data Analyst . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124Process Owner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124Solution Provider . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124User . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125Product Line Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125Auditor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125Why So Many Roles? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126Personnel Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126Hiring Practices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128Termination . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129Security-Awareness Training . . . . . . . . . . . . . . . . . . . . . . . . . . 130Degree or Certification? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131

Security Governance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132Metrics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132

174-9FM2.indd viii174-9FM2.indd viii 9/24/12 4:28 PM9/24/12 4:28 PM

Contents

ix

All-in-1 /CISSP Exam Guide, Sixth Edition / Harris / 174-9

Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137Quick Tips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138

Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 150

Chapter 3 Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157Access Controls Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157Security Principles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158

Availability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159Integrity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159Confidentiality . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160

Identification, Authentication, Authorization, and Accountability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160

Identification and Authentication . . . . . . . . . . . . . . . . . . . . . 162Password Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174Authorization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203

Access Control Models . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219Discretionary Access Control . . . . . . . . . . . . . . . . . . . . . . . . . 220Mandatory Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . 221Role-Based Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . 224

Access Control Techniques and Technologies . . . . . . . . . . . . . . . . . 227Rule-Based Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . 227Constrained User Interfaces . . . . . . . . . . . . . . . . . . . . . . . . . . 228Access Control Matrix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229Content-Dependent Access Control . . . . . . . . . . . . . . . . . . . . 231Context-Dependent Access Control . . . . . . . . . . . . . . . . . . . . 231

Access Control Administration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 232Centralized Access Control Administration . . . . . . . . . . . . . . 233Decentralized Access Control Administration . . . . . . . . . . . . 240

Access Control Methods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241Access Control Layers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 241Administrative Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242Physical Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243Technical Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 245

Accountability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248Review of Audit Information . . . . . . . . . . . . . . . . . . . . . . . . . 250Protecting Audit Data and Log Information . . . . . . . . . . . . . . 251Keystroke Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251

Access Control Practices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252Unauthorized Disclosure of Information . . . . . . . . . . . . . . . . 253

Access Control Monitoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255Intrusion Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255Intrusion Prevention Systems . . . . . . . . . . . . . . . . . . . . . . . . . 265

Threats to Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268Dictionary Attack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269Brute Force Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270Spoofing at Logon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270

174-9FM2.indd ix174-9FM2.indd ix 9/24/12 4:28 PM9/24/12 4:28 PM

CISSP All-in-One Exam Guide

x

All-in-1 /CISSP Exam Guide, Sixth Edition / Harris / 174-9

Phishing and Pharming . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271Threat Modeling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273

Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277Quick Tips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277

Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291

Chapter 4 Security Architecture and Design . . . . . . . . . . . . . . . . . . . . . . . . . . 297Computer Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 298System Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 300Computer Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 303

The Central Processing Unit . . . . . . . . . . . . . . . . . . . . . . . . . . 304Multiprocessing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 309Operating System Components . . . . . . . . . . . . . . . . . . . . . . . 312Memory Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325Virtual Memory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337Input/Output Device Management . . . . . . . . . . . . . . . . . . . . . 340CPU Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342

Operating System Architectures . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347Virtual Machines . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355

System Security Architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357Security Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357Security Architecture Requirements . . . . . . . . . . . . . . . . . . . . 359

Security Models . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 365State Machine Models . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 367Bell-LaPadula Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 369Biba Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 372Clark-Wilson Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 374Information Flow Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377Noninterference Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 380Lattice Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381Brewer and Nash Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383Graham-Denning Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384Harrison-Ruzzo-Ullman Model . . . . . . . . . . . . . . . . . . . . . . . 385

Security Modes of Operation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386Dedicated Security Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387System High-Security Mode . . . . . . . . . . . . . . . . . . . . . . . . . . 387Compartmented Security Mode . . . . . . . . . . . . . . . . . . . . . . . 387Multilevel Security Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388Trust and Assurance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390

Systems Evaluation Methods . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391Why Put a Product Through Evaluation? . . . . . . . . . . . . . . . . 391The Orange Book . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392

The Orange Book and the Rainbow Series . . . . . . . . . . . . . . . . . . . . 397The Red Book . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 398

Information Technology Security Evaluation Criteria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399

174-9FM2.indd x174-9FM2.indd x 9/24/12 4:28 PM9/24/12 4:28 PM

Contents

xi

All-in-1 /CISSP Exam Guide, Sixth Edition / Harris / 174-9

Common Criteria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402Certification vs. Accreditation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406

Certification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406Accreditation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406

Open vs. Closed Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408Open Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408Closed Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408

A Few Threats to Review . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409Maintenance Hooks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409Time-of-Check/Time-of-Use Attacks . . . . . . . . . . . . . . . . . . . . 410

Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412Quick Tips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413

Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423

Chapter 5 Physical and Environmental Security . . . . . . . . . . . . . . . . . . . . . . . . 427Introduction to Physical Security . . . . . . . . . . . . . . . . . . . . . . . . . . . 427The Planning Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430

Crime Prevention Through Environmental Design . . . . . . . . 435Designing a Physical Security Program . . . . . . . . . . . . . . . . . 442

Protecting Assets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457Internal Support Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 458

Electric Power . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459Environmental Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465Ventilation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 467Fire Prevention, Detection, and Suppression . . . . . . . . . . . . . 467

Perimeter Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 475Facility Access Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 476Personnel Access Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . 483External Boundary Protection Mechanisms . . . . . . . . . . . . . . 484Intrusion Detection Systems . . . . . . . . . . . . . . . . . . . . . . . . . . 493Patrol Force and Guards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497Dogs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 497Auditing Physical Access . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498Testing and Drills . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 498

Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499Quick Tips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 499

Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 502Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 509

Chapter 6 Telecommunications and Network Security . . . . . . . . . . . . . . . . . . 515Telecommunications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 517Open Systems Interconnection Reference Model . . . . . . . . . . . . . . . 517

Protocol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 518Application Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 521Presentation Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522Session Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 523

174-9FM2.indd xi174-9FM2.indd xi 9/24/12 4:28 PM9/24/12 4:28 PM

CISSP All-in-One Exam Guide

xii

All-in-1 /CISSP Exam Guide, Sixth Edition / Harris / 174-9

Transport Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525Network Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527Data Link Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 528Physical Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 530Functions and Protocols in the OSI Model . . . . . . . . . . . . . . 530Tying the Layers Together . . . . . . . . . . . . . . . . . . . . . . . . . . . . 532

TCP/IP Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 534TCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 535IP Addressing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541IPv6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 544Layer 2 Security Standards . . . . . . . . . . . . . . . . . . . . . . . . . . . 547

Types of Transmission . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 550Analog and Digital . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 550Asynchronous and Synchronous . . . . . . . . . . . . . . . . . . . . . . 552Broadband and Baseband . . . . . . . . . . . . . . . . . . . . . . . . . . . . 554

Cabling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556Coaxial Cable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557Twisted-Pair Cable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557Fiber-Optic Cable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 558Cabling Problems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 560

Networking Foundations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 562Network Topology . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 563Media Access Technologies . . . . . . . . . . . . . . . . . . . . . . . . . . . 565Network Protocols and Services . . . . . . . . . . . . . . . . . . . . . . . 580Domain Name Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 590E-mail Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 599Network Address Translation . . . . . . . . . . . . . . . . . . . . . . . . . 604Routing Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 608

Networking Devices . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 612Repeaters . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 612Bridges . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 613Routers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 615Switches . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 617Gateways . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621PBXs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 624Firewalls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 628Proxy Servers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 653Honeypot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 655Unified Threat Management . . . . . . . . . . . . . . . . . . . . . . . . . . 656Cloud Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 657

Intranets and Extranets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 660Metropolitan Area Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 663Wide Area Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 665

Telecommunications Evolution . . . . . . . . . . . . . . . . . . . . . . . 666Dedicated Links . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 669WAN Technologies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 673

174-9FM2.indd xii174-9FM2.indd xii 9/24/12 4:28 PM9/24/12 4:28 PM

Contents

xiii

All-in-1 /CISSP Exam Guide, Sixth Edition / Harris / 174-9

Remote Connectivity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 695Dial-up Connections . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 695ISDN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 697DSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 698Cable Modems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 700VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 702Authentication Protocols . . . . . . . . . . . . . . . . . . . . . . . . . . . . 709

Wireless Technologies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 712Wireless Communications . . . . . . . . . . . . . . . . . . . . . . . . . . . 712WLAN Components . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 716Wireless Standards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 723War Driving for WLANs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 728Satellites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 729Mobile Wireless Communication . . . . . . . . . . . . . . . . . . . . . . 730Mobile Phone Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 736

Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 739Quick Tips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 740

Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 744Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 753

Chapter 7 Cryptography . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 759The History of Cryptography . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 760Cryptography Definitions and Concepts . . . . . . . . . . . . . . . . . . . . . 765

Kerckhoffs’ Principle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 767The Strength of the Cryptosystem . . . . . . . . . . . . . . . . . . . . . . 768Services of Cryptosystems . . . . . . . . . . . . . . . . . . . . . . . . . . . . 769One-Time Pad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 771Running and Concealment Ciphers . . . . . . . . . . . . . . . . . . . . 773Steganography . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 774

Types of Ciphers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 777Substitution Ciphers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 778Transposition Ciphers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 778

Methods of Encryption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 781Symmetric vs. Asymmetric Algorithms . . . . . . . . . . . . . . . . . . 782Symmetric Cryptography . . . . . . . . . . . . . . . . . . . . . . . . . . . . 782Block and Stream Ciphers . . . . . . . . . . . . . . . . . . . . . . . . . . . . 787Hybrid Encryption Methods . . . . . . . . . . . . . . . . . . . . . . . . . . 792

Types of Symmetric Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 800Data Encryption Standard . . . . . . . . . . . . . . . . . . . . . . . . . . . . 800Triple-DES . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 808The Advanced Encryption Standard . . . . . . . . . . . . . . . . . . . . 809International Data Encryption Algorithm . . . . . . . . . . . . . . . 809Blowfish . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 810RC4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 810RC5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 810RC6 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 810

174-9FM2.indd xiii174-9FM2.indd xiii 9/24/12 4:28 PM9/24/12 4:28 PM

CISSP All-in-One Exam Guide

xiv

All-in-1 /CISSP Exam Guide, Sixth Edition / Harris / 174-9

Types of Asymmetric Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 812The Diffie-Hellman Algorithm . . . . . . . . . . . . . . . . . . . . . . . . 812RSA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 815El Gamal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 818Elliptic Curve Cryptosystems . . . . . . . . . . . . . . . . . . . . . . . . . 818Knapsack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 819Zero Knowledge Proof . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 819

Message Integrity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 820The One-Way Hash . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 820Various Hashing Algorithms . . . . . . . . . . . . . . . . . . . . . . . . . . 826MD2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 826MD4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 826MD5 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 827Attacks Against One-Way Hash Functions . . . . . . . . . . . . . . . 827Digital Signatures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 829Digital Signature Standard . . . . . . . . . . . . . . . . . . . . . . . . . . . 832

Public Key Infrastructure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 833Certificate Authorities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 834Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 837The Registration Authority . . . . . . . . . . . . . . . . . . . . . . . . . . . 837PKI Steps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 838

Key Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 840Key Management Principles . . . . . . . . . . . . . . . . . . . . . . . . . . 841Rules for Keys and Key Management . . . . . . . . . . . . . . . . . . . 842

Trusted Platform Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 843TPM Uses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 843

Link Encryption vs. End-to-End Encryption . . . . . . . . . . . . . . . . . . . 845E-mail Standards . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 849

Multipurpose Internet Mail Extension . . . . . . . . . . . . . . . . . . 849Pretty Good Privacy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 850

Internet Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 853Start with the Basics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 854

Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 865Ciphertext-Only Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 865Known-Plaintext Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 865Chosen-Plaintext Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . 866Chosen-Ciphertext Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . 866Differential Cryptanalysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . 866Linear Cryptanalysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 867Side-Channel Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 867Replay Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 868Algebraic Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 868Analytic Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 868Statistical Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 869Social Engineering Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . 869Meet-in-the-Middle Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . 869

174-9FM2.indd xiv174-9FM2.indd xiv 9/24/12 4:28 PM9/24/12 4:28 PM

Contents

xv

All-in-1 /CISSP Exam Guide, Sixth Edition / Harris / 174-9

Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 870Quick Tips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 871

Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 874Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 880

Chapter 8 Business Continuity and Disaster Recovery Planning . . . . . . . . . . . 885Business Continuity and Disaster Recovery . . . . . . . . . . . . . . . . . . . 887

Standards and Best Practices . . . . . . . . . . . . . . . . . . . . . . . . . 890Making BCM Part of the Enterprise Security Program . . . . . . 893

BCP Project Components . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 897Scope of the Project . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 899BCP Policy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 901Project Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 901Business Continuity Planning Requirements . . . . . . . . . . . . . 904Business Impact Analysis (BIA) . . . . . . . . . . . . . . . . . . . . . . . 905Interdependencies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 912

Preventive Measures . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 913Recovery Strategies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 914

Business Process Recovery . . . . . . . . . . . . . . . . . . . . . . . . . . . 918Facility Recovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 919Supply and Technology Recovery . . . . . . . . . . . . . . . . . . . . . . 926Choosing a Software Backup Facility . . . . . . . . . . . . . . . . . . . 930End-User Environment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 933Data Backup Alternatives . . . . . . . . . . . . . . . . . . . . . . . . . . . . 934Electronic Backup Solutions . . . . . . . . . . . . . . . . . . . . . . . . . . 938High Availability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 941

Insurance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 944Recovery and Restoration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 945

Developing Goals for the Plans . . . . . . . . . . . . . . . . . . . . . . . 949Implementing Strategies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 951

Testing and Revising the Plan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 953Checklist Test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 955Structured Walk-Through Test . . . . . . . . . . . . . . . . . . . . . . . . 955Simulation Test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 955Parallel Test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 955Full-Interruption Test . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 956Other Types of Training . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 956Emergency Response . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 956Maintaining the Plan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 958

Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 961Quick Tips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 961

Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 964Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 972

Chapter 9 Legal, Regulations, Investigations, and Compliance . . . . . . . . . . . . . 979The Many Facets of Cyberlaw . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 980The Crux of Computer Crime Laws . . . . . . . . . . . . . . . . . . . . . . . . . 981

174-9FM2.indd xv174-9FM2.indd xv 9/24/12 4:28 PM9/24/12 4:28 PM

CISSP All-in-One Exam Guide

xvi

All-in-1 /CISSP Exam Guide, Sixth Edition / Harris / 174-9

Complexities in Cybercrime . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 983Electronic Assets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 985The Evolution of Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 986International Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 990Types of Legal Systems . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 994

Intellectual Property Laws . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 998Trade Secret . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 999Copyright . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1000Trademark . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1001Patent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1001Internal Protection of Intellectual Property . . . . . . . . . . . . . . 1003Software Piracy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1004

Privacy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1006The Increasing Need for Privacy Laws . . . . . . . . . . . . . . . . . . . 1008Laws, Directives, and Regulations . . . . . . . . . . . . . . . . . . . . . . 1009

Liability and Its Ramifications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1022Personal Information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1027Hacker Intrusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1027Third-Party Risk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1028Contractual Agreements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1029Procurement and Vendor Processes . . . . . . . . . . . . . . . . . . . . 1029

Compliance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1030Investigations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1032

Incident Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1033Incident Response Procedures . . . . . . . . . . . . . . . . . . . . . . . . 1037Computer Forensics and Proper Collection of Evidence . . . . 1042International Organization on Computer Evidence . . . . . . . . 1043Motive, Opportunity, and Means . . . . . . . . . . . . . . . . . . . . . . 1044Computer Criminal Behavior . . . . . . . . . . . . . . . . . . . . . . . . . 1044Incident Investigators . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1045The Forensics Investigation Process . . . . . . . . . . . . . . . . . . . . 1046What Is Admissible in Court? . . . . . . . . . . . . . . . . . . . . . . . . . 1053Surveillance, Search, and Seizure . . . . . . . . . . . . . . . . . . . . . . 1057Interviewing and Interrogating . . . . . . . . . . . . . . . . . . . . . . . . 1058A Few Different Attack Types . . . . . . . . . . . . . . . . . . . . . . . . . 1058Cybersquatting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1061

Ethics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1061The Computer Ethics Institute . . . . . . . . . . . . . . . . . . . . . . . . 1062The Internet Architecture Board . . . . . . . . . . . . . . . . . . . . . . . 1063Corporate Ethics Programs . . . . . . . . . . . . . . . . . . . . . . . . . . . 1064

Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1065Quick Tips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1065

Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1069Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1076

174-9FM2.indd xvi174-9FM2.indd xvi 9/24/12 4:28 PM9/24/12 4:28 PM

Contents

xvii

All-in-1 /CISSP Exam Guide, Sixth Edition / Harris / 174-9

Chapter 10 Software Development Security . . . . . . . . . . . . . . . . . . . . . . . . . . . 1081Software’s Importance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1081Where Do We Place Security? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1082

Different Environments Demand Different Security . . . . . . . 1083Environment versus Application . . . . . . . . . . . . . . . . . . . . . . . 1084Functionality versus Security . . . . . . . . . . . . . . . . . . . . . . . . . 1085Implementation and Default Issues . . . . . . . . . . . . . . . . . . . . 1086

System Development Life Cycle . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1087Initiation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1089Acquisition/Development . . . . . . . . . . . . . . . . . . . . . . . . . . . 1091Implementation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1092Operations/Maintenance . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1092Disposal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1093

Software Development Life Cycle . . . . . . . . . . . . . . . . . . . . . . . . . . . 1095Project Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1096Requirements Gathering Phase . . . . . . . . . . . . . . . . . . . . . . . . 1096Design Phase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1098Development Phase . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1102Testing/Validation Phase . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1104Release/Maintenance Phase . . . . . . . . . . . . . . . . . . . . . . . . . . 1106

Secure Software Development Best Practices . . . . . . . . . . . . . . . . . . 1108Software Development Models . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1111

Build and Fix Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1111Waterfall Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1112V-Shaped Model (V-Model) . . . . . . . . . . . . . . . . . . . . . . . . . . . 1112Prototyping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1113Incremental Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1114Spiral Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1115Rapid Application Development . . . . . . . . . . . . . . . . . . . . . . . 1116Agile Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1118

Capability Maturity Model Integration . . . . . . . . . . . . . . . . . . . . . . 1120Change Control . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1122

Software Configuration Management . . . . . . . . . . . . . . . . . . . 1124Programming Languages and Concepts . . . . . . . . . . . . . . . . . . . . . . 1125

Assemblers, Compilers, Interpreters . . . . . . . . . . . . . . . . . . . . 1128Object-Oriented Concepts . . . . . . . . . . . . . . . . . . . . . . . . . . . 1130

Distributed Computing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1142Distributed Computing Environment . . . . . . . . . . . . . . . . . . 1142CORBA and ORBs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1143COM and DCOM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1146Java Platform, Enterprise Edition . . . . . . . . . . . . . . . . . . . . . . 1148Service-Oriented Architecture . . . . . . . . . . . . . . . . . . . . . . . . . 1148

Mobile Code . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1153Java Applets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1154ActiveX Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1156

174-9FM2.indd xvii174-9FM2.indd xvii 9/24/12 4:28 PM9/24/12 4:28 PM

CISSP All-in-One Exam Guide

xviii

All-in-1 /CISSP Exam Guide, Sixth Edition / Harris / 174-9

Web Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1157Specific Threats for Web Environments . . . . . . . . . . . . . . . . . 1158Web Application Security Principles . . . . . . . . . . . . . . . . . . . . 1167

Database Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1168Database Management Software . . . . . . . . . . . . . . . . . . . . . . . 1170Database Models . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1170Database Programming Interfaces . . . . . . . . . . . . . . . . . . . . . 1176Relational Database Components . . . . . . . . . . . . . . . . . . . . . 1177Integrity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1180Database Security Issues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1183Data Warehousing and Data Mining . . . . . . . . . . . . . . . . . . . 1188

Expert Systems/Knowledge-Based Systems . . . . . . . . . . . . . . . . . . . 1192Artificial Neural Networks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1195Malicious Software (Malware) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1197

Viruses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1199Worms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1202Rootkit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1202Spyware and Adware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1204Botnets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1204Logic Bombs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1206Trojan Horses . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1206Antivirus Software . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1207Spam Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1210Antimalware Programs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1212

Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1214Quick Tips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1215

Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1220Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1227

Chapter 11 Security Operations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1233The Role of the Operations Department . . . . . . . . . . . . . . . . . . . . . 1234Administrative Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1235

Security and Network Personnel . . . . . . . . . . . . . . . . . . . . . . . 1237Accountability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1239Clipping Levels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1239

Assurance Levels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1240Operational Responsibilities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1240

Unusual or Unexplained Occurrences . . . . . . . . . . . . . . . . . . 1241Deviations from Standards . . . . . . . . . . . . . . . . . . . . . . . . . . . 1241Unscheduled Initial Program Loads (aka Rebooting) . . . . . . 1242Asset Identification and Management . . . . . . . . . . . . . . . . . . 1242System Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1243Trusted Recovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1244Input and Output Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . 1246System Hardening . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1248Remote Access Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1250

174-9FM2.indd xviii174-9FM2.indd xviii 9/24/12 4:28 PM9/24/12 4:28 PM

Contents

xix

All-in-1 /CISSP Exam Guide, Sixth Edition / Harris / 174-9

Configuration Management . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1251Change Control Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1252Change Control Documentation . . . . . . . . . . . . . . . . . . . . . . 1253

Media Controls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1254Data Leakage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1262Network and Resource Availability . . . . . . . . . . . . . . . . . . . . . . . . . . 1263

Mean Time Between Failures . . . . . . . . . . . . . . . . . . . . . . . . . 1264Mean Time to Repair . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1264Single Points of Failure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1265Backups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1273Contingency Planning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1276

Mainframes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1277E-mail Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1279

How E-mail Works . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1281Facsimile Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1283Hack and Attack Methods . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1285

Vulnerability Testing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1295Penetration Testing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1298Wardialing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1302Other Vulnerability Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1303Postmortem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1305

Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1307Quick Tips . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1307

Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1309Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1315

Appendix A Comprehensive Questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1319Answers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1357

Appendix B About the CD-ROM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1379Running the QuickTime Cryptography Video Sample . . . . . . . . . . . 1380

Troubleshooting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1380Total Tester CISSP Practice Exam Software . . . . . . . . . . . . . . . . . . . . 1381

Total Tester System Requirements . . . . . . . . . . . . . . . . . . . . . . 1381Installing and Running Total Tester . . . . . . . . . . . . . . . . . . . . 1381

Adobe Digital Edition eBook . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1381Technical Support . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1383

Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1385

174-9FM2.indd xix174-9FM2.indd xix 9/24/12 4:28 PM9/24/12 4:28 PM