cissp的考纲与复习材料

CISSP 英文全称：“ Certified Information Systems Security Professional”，中文全称：“(ISC)²注册信息系统安全专家”，由(ISC)²组织和管理，是目前全球范围内最权威，最专业，最系统的信息安全认证。

考试的价值在于可以迅速建立起个人对安全体系的知识框架。

CISSP考纲包括8个CBK：

•安全与风险管理 (安全、风险、合规、法律、法规、业务连续性)

涵盖了信息安全的 基本概念。CIA原则、安全治理和合规、法律法规、个人安全策略、风险管理、威胁模型。

•资产安全 (保护资产的安全性)

在资产生命周期中如何保护。信息分类、保持所有权、隐私、数据安全控制、需求处理。

•安全工程 (安全工程与管理)

如何保护信息系统的安全。安全设计原则、措施、缓解脆弱性、密码学、物理安全

•通信与网络安全 (设计和保护网络安全 )

如何保护网络架构、通信技术。安全的网络架构、网络组件、安全的通信、网络层攻击。

•身份与访问管理 (访问控制和身份管理 )

包括控制物理和逻辑访问、身份标识与认证、身份即服务、授权方法、访问控制攻击。

•安全评估与测试 (设计、执行和分析安全测试)

评估和测试策略、测试安全控制、收集安全过程数据、分析和报告结果、开展和促进审计。

•安全运营 (基本概念、调查、事件管理、灾难恢复)

维护网络安全的活动。包括调查、日志监控、安全资源配置、事故管理、预防措施、变更管理、业务连续性、物理安全管理。

•软件开发安全 (理解、应用、和实施软件安全)

应用安全原则去开发软件系统。软件开发生命周期中的安全、开发活动中的安全控制、评估软件安全、评估外部获取软件的安全性。

上述8个领域基本涵盖了安全工作中的所有方面。

复习材料有：

CISSP All in One（有中文版）

CISSP OSG官方学习指南

以CISSP All in One（第六版）为例，将会学习以下内容：

信息安全治理与风险管理

包括基本原则，安全框架，风险管理、风险评估和分析；

安全策略、信息分类、责任分工。

访问控制

包括原则，身份认证，访问控制模型、方法和技术，可问责性。

安全架构和设计

包括计算机架构、安全模型、通用准则。

物理和环境安全

包括物理安全规划、支持系统、周边安全。

通信与网络安全

包括ISO模型、TCP/IP模型、布线、互联技术和设备、远程连接、无线技术。

密码技术

密码概念、类型；加密方法，公钥基础设施，链路加密，常见攻击。

业务连续性与灾难恢复

BCP项目组成，恢复战略。

法律法规、合规和调查

计算机犯罪、知识产权、隐私。

软件开发安全

包括系统的开发生命周期，开发模型，变更控制，分布式计算，web安全，数据库安全，人工智能，恶意软件。

安全运营

角色分工，运营责任，配置管理，介质管理，数据泄露，系统可用性，脆弱性测试。