CISSP认证(二)

  CISSP认证考试领域
        上面提到过,CBK有十个大的领域,而这正是CISSP考试涉及的
**** 访问控制系统和方法
      这个领域研究用来让管理者和经营者控制访问的机制和方法.他们需要控制被访问的内容、认证和授权后的用户权限，以及对访问活动的审计和监控。该领域的部分主题：
      *访问控制安全模型
      *识别和授权技术与技巧
      *访问控制管理
      *数据所有权
      *攻击方法
****远程通信和网络安全
       这个领域研究内部的、外部的、公共的和私有的通信系统、联网结构、设备、协议以及远程访问和管理。该领域的部分主题：
        *OSI模型和分层
        *局域网、城域网和广域网技术
        *因特网、企业内联网(intranet)和外部网(extranet)
        *虚拟私用网络(VPN)、防火墙、路由器、桥接器和中继器
        *网络拓扑和布线
        *攻击方法
****安全管理实践
      这个领域的研究包括如何评定一个公司的资产，以何种方法决定安全保护的程度，以及什么样的安全实施预算既可降低危险又可以避免资金浪费。该领域主题包括：
        *数据分级
        *政策、步骤、标准和方针
        *风险评估和管理
        *人事安全、培训和意识
****应用程序和系统开发安全
      这个领域研究与操作系统和应用程序相关的安全因素，以及如何最好的发掘和衡量它们的成效。这个领域研究的内容有软件生命周期、变更控制和应用程序安全。该领域的部分主题包括：
        *数据仓库和数据挖掘
        *不同的开发方法和它们的风险
        *系统的存储和处理部件
        *恶意代码
****密码学
      这个领域研究处于保护目的的数据伪装方法和技巧。涉及到了不同的加密方法、途径和技术。该领域部分主题包括：
        *对称和非对称算法及使用
        *公钥加密体系(PKI)和哈希函数
        *加密协议和实现
        *攻击方法
****安全体系结构和模型
      这个领域研究涉及和实现安全应用、操作系统和整个系统的概念、原则和标准。它包括了国际安全衡量标准，及这些标准对与不同平台的具体含义。该领域部分主题包括：
        *操作状态、内核功能和存储器映射机制
        *安全模型、体系结构和评测
        *评测标准－－可信计算机安全评测标准(TCSEC)、信息技术安全评测标准(ITSEC)和通用准则(CC)
        *应用程序及系统的常见缺陷
****操作安全
      这个领域研究对人员、硬件、系统和审计监控技术的控制。它还涉及了可能的侵害途径，以及辨认和对付它们的方法。该领域部分主题包括：
        *与人事及职责相关的管理责任
        *反病毒、培训、审计和资源保护活动中的维护概念
        *指示、保护、侦察、纠正和恢复控制
        *标准的遵守和应有的注意两个概念
****业务持续计划和灾难恢复计划
      这个领域研究发生干扰或灾难时对商业活动的保存。包括风险确认、风险评估和对策实施。该领域部分主题：
        *商业资源确认和价值分配
        *商业影响分析和可能损失预测
        *部门优先顺序和危机处理
        *计划起草、实施和保持
****法律、调查和道德规范
      这个领域研究计算机犯罪、法律和法规。包括调查犯罪时所使用的技巧、证据搜集和处理步骤。还包括了如何开发和实施以外事件处理程序。该领域主题包括：
        *法律、法规和犯罪
        *许可证发放和软件盗版
        *进出口法律和事宜
        *证据的类型以及获得法庭的承认
        *意外事件的处理
****物理安全
      研究对设备、硬件、数据、介质和人员的威胁、风险和保护性对策。它包括设备选择、授权访问方法，以及环境和安全步骤。该领域部分主题：
        *受限区域、授权方法和控制
        *运动探测器、传感器和警报器
        *入侵检测
        *火灾的探测、预防和抑制
        *保卫、安全警卫和安全徽章的种类