CISSP最新考纲

•安全与风险管理 (安全、风险、合规、法律、法规、业务连续性)
•资产安全 (保护资产的安全性)
•安全工程 (安全工程与管理)
•通信与 网络安全 (设计和保护网络安全 )
•身份与访问管理 (访问控制和身份管理 )
•安全评估与测试 (设计、执行和分析安全测试)
•安全运营 (基本概念、调查、事件管理、灾难恢复)
•软件开发安全 (理解、应用、和实施 软件安全)

之所以称之为安全界的“百科全书”，是因为上述8个领域基本涵盖了安全工作中的所有方面，个人在安全评估与测试、安全运营这两个领域有一些实际的经验，其他的领域接触得还不深，所以在复习的时候，针对不熟悉的领域花更多的时间去理解，一定要做笔记，不然书中很多看完就忘了，做笔记可以加深印象。如果有钱，还可以去报辅导班，让辅导老师给你先拎一下复习大纲。

书看完之后可能没有什么感觉，一定要做题，仅仅做书中每个章节的习题是不够的，建议大家还是做官方的习题集和艾威的模拟题，毕竟是官方出的习题，应该是和考试最接近的材料了，不过现在只有英文版的，对于英语一般的朋友可能做起来比较吃力，加之之前看的中文版，很多专有术语都得和英文对上，我在做题的时候也是比较痛苦。官方习题里面很多题目是把官方教材里的某句话的内容扣掉，让你选择，所以做题加看书能够起到很到的看书效果。

由于CISSP设计的内容十分广泛，篇幅原因，本文无法对书中所有细节进行描述，这里挑一些常考的内容进行分享：

安全的主要目的和目标就是 CIA 三要素 / 三元组（必考）
①机密性（Confidentiality）：机密性是指因为工作需要而访问敏感资源。机密性通常通过最小权限原则来实现。安全架构师使用数据分类、访问控制和加密来确保资源的机密性。

②完整性（Integrity )：完整性包括两个方面，一是确保信息被正确处理且不被未授权的人修改，二是保护网络上传输的信息。完整性控制包括事务控制、数字签名等。

③可用性（Availability）：可用性确保资源可用、系统正常运行。可用性的防护措施多种多样，诸如集群、发电机、备份和热站等。影响可用性的威胁包括自然的、人为的灾难，还有拒绝服务攻击等。