CISSP认证考试领域
上面提到过,CBK有十个大的领域,而这正是CISSP考试涉及的
**** 访问控制系统和方法
这个领域研究用来让管理者和经营者控制访问的机制和方法.他们需要控制被访问的内容、认证和授权后的用户权限,以及对访问活动的审计和监控。该领域的部分主题:
*访问控制安全模型
*识别和授权技术与技巧
*访问控制管理
*数据所有权
*攻击方法
****远程通信和网络安全
这个领域研究内部的、外部的、公共的和私有的通信系统、联网结构、设备、协议以及远程访问和管理。该领域的部分主题:
*OSI模型和分层
*局域网、城域网和广域网技术
*因特网、企业内联网(intranet)和外部网(extranet)
*虚拟私用网络(VPN)、防火墙、路由器、桥接器和中继器
*网络拓扑和布线
*攻击方法
****安全管理实践
这个领域的研究包括如何评定一个公司的资产,以何种方法决定安全保护的程度,以及什么样的安全实施预算既可降低危险又可以避免资金浪费。该领域主题包括:
*数据分级
*政策、步骤、标准和方针
*风险评估和管理
*人事安全、培训和意识
****应用程序和系统开发安全
这个领域研究与操作系统和应用程序相关的安全因素,以及如何最好的发掘和衡量它们的成效。这个领域研究的内容有软件生命周期、变更控制和应用程序安全。该领域的部分主题包括:
*数据仓库和数据挖掘
*不同的开发方法和它们的风险
*系统的存储和处理部件
*恶意代码
****密码学
这个领域研究处于保护目的的数据伪装方法和技巧。涉及到了不同的加密方法、途径和技术。该领域部分主题包括:
*对称和非对称算法及使用
*公钥加密体系(PKI)和哈希函数
*加密协议和实现
*攻击方法
****安全体系结构和模型
这个领域研究涉及和实现安全应用、操作系统和整个系统的概念、原则和标准。它包括了国际安全衡量标准,及这些标准对与不同平台的具体含义。该领域部分主题包括:
*操作状态、内核功能和存储器映射机制
*安全模型、体系结构和评测
*评测标准--可信计算机安全评测标准(TCSEC)、信息技术安全评测标准(ITSEC)和通用准则(CC)
*应用程序及系统的常见缺陷
****操作安全
这个领域研究对人员、硬件、系统和审计监控技术的控制。它还涉及了可能的侵害途径,以及辨认和对付它们的方法。该领域部分主题包括:
*与人事及职责相关的管理责任
*反病毒、培训、审计和资源保护活动中的维护概念
*指示、保护、侦察、纠正和恢复控制
*标准的遵守和应有的注意两个概念
****业务持续计划和灾难恢复计划
这个领域研究发生干扰或灾难时对商业活动的保存。包括风险确认、风险评估和对策实施。该领域部分主题:
*商业资源确认和价值分配
*商业影响分析和可能损失预测
*部门优先顺序和危机处理
*计划起草、实施和保持
****法律、调查和道德规范
这个领域研究计算机犯罪、法律和法规。包括调查犯罪时所使用的技巧、证据搜集和处理步骤。还包括了如何开发和实施以外事件处理程序。该领域主题包括:
*法律、法规和犯罪
*许可证发放和软件盗版
*进出口法律和事宜
*证据的类型以及获得法庭的承认
*意外事件的处理
****物理安全
研究对设备、硬件、数据、介质和人员的威胁、风险和保护性对策。它包括设备选择、授权访问方法,以及环境和安全步骤。该领域部分主题:
*受限区域、授权方法和控制
*运动探测器、传感器和警报器
*入侵检测
*火灾的探测、预防和抑制
*保卫、安全警卫和安全徽章的种类
上面提到过,CBK有十个大的领域,而这正是CISSP考试涉及的
**** 访问控制系统和方法
这个领域研究用来让管理者和经营者控制访问的机制和方法.他们需要控制被访问的内容、认证和授权后的用户权限,以及对访问活动的审计和监控。该领域的部分主题:
*访问控制安全模型
*识别和授权技术与技巧
*访问控制管理
*数据所有权
*攻击方法
****远程通信和网络安全
这个领域研究内部的、外部的、公共的和私有的通信系统、联网结构、设备、协议以及远程访问和管理。该领域的部分主题:
*OSI模型和分层
*局域网、城域网和广域网技术
*因特网、企业内联网(intranet)和外部网(extranet)
*虚拟私用网络(VPN)、防火墙、路由器、桥接器和中继器
*网络拓扑和布线
*攻击方法
****安全管理实践
这个领域的研究包括如何评定一个公司的资产,以何种方法决定安全保护的程度,以及什么样的安全实施预算既可降低危险又可以避免资金浪费。该领域主题包括:
*数据分级
*政策、步骤、标准和方针
*风险评估和管理
*人事安全、培训和意识
****应用程序和系统开发安全
这个领域研究与操作系统和应用程序相关的安全因素,以及如何最好的发掘和衡量它们的成效。这个领域研究的内容有软件生命周期、变更控制和应用程序安全。该领域的部分主题包括:
*数据仓库和数据挖掘
*不同的开发方法和它们的风险
*系统的存储和处理部件
*恶意代码
****密码学
这个领域研究处于保护目的的数据伪装方法和技巧。涉及到了不同的加密方法、途径和技术。该领域部分主题包括:
*对称和非对称算法及使用
*公钥加密体系(PKI)和哈希函数
*加密协议和实现
*攻击方法
****安全体系结构和模型
这个领域研究涉及和实现安全应用、操作系统和整个系统的概念、原则和标准。它包括了国际安全衡量标准,及这些标准对与不同平台的具体含义。该领域部分主题包括:
*操作状态、内核功能和存储器映射机制
*安全模型、体系结构和评测
*评测标准--可信计算机安全评测标准(TCSEC)、信息技术安全评测标准(ITSEC)和通用准则(CC)
*应用程序及系统的常见缺陷
****操作安全
这个领域研究对人员、硬件、系统和审计监控技术的控制。它还涉及了可能的侵害途径,以及辨认和对付它们的方法。该领域部分主题包括:
*与人事及职责相关的管理责任
*反病毒、培训、审计和资源保护活动中的维护概念
*指示、保护、侦察、纠正和恢复控制
*标准的遵守和应有的注意两个概念
****业务持续计划和灾难恢复计划
这个领域研究发生干扰或灾难时对商业活动的保存。包括风险确认、风险评估和对策实施。该领域部分主题:
*商业资源确认和价值分配
*商业影响分析和可能损失预测
*部门优先顺序和危机处理
*计划起草、实施和保持
****法律、调查和道德规范
这个领域研究计算机犯罪、法律和法规。包括调查犯罪时所使用的技巧、证据搜集和处理步骤。还包括了如何开发和实施以外事件处理程序。该领域主题包括:
*法律、法规和犯罪
*许可证发放和软件盗版
*进出口法律和事宜
*证据的类型以及获得法庭的承认
*意外事件的处理
****物理安全
研究对设备、硬件、数据、介质和人员的威胁、风险和保护性对策。它包括设备选择、授权访问方法,以及环境和安全步骤。该领域部分主题:
*受限区域、授权方法和控制
*运动探测器、传感器和警报器
*入侵检测
*火灾的探测、预防和抑制
*保卫、安全警卫和安全徽章的种类