CISSP认证的考核范围包括10个方向
对信息安全领域所有相关主题精炼整理后得到的标准化的知识体系
关于 CBK Common Body of Knowledge(公共知识体系)
1 信息安全与风险管理(Information Security and Risk Management)
2 安全结构与设计(Security Architecture and Design)
3 访问控制(Access Control)
4 应用安全(Application Security)
5 操作安全(Operations Security)
6 物理与环境安全(Physical and Environment Security)
7 密码学(Cryptography)
详解如下:
1. 信息安全与风险管理
信息安全的基本概念和 CIA 三原则、信息安全管理的过程模型,信息安全计划、风险管理概念,风险管理过程、信息资产、威胁、弱点、残留风险的概念及相互关系、定量和定性 风险评估方法及实施过程,风险消减策略和考虑因素、配置管理、变更管理、应急计划等风险管理相关活动、数据分类、安全方针、标准、指南和程序、角色和责任,人员安全, 安全意识和培训等。
2. 电信与网络安全
开放系统互连参考模型、网络通信基础,物理连接技术与特性,网络拓扑,信号传输类型、 典型的网络通信协议,TCP/IP;局域网技术:传输方式,介质访问控制方式,实现方式,设备;广域网技术:链路类型,广域网交换,协议,设备;远程访问安全与管理;网络通信安全技术:数据传输保护,边界防护,IDS,可用性保证;无线技术及安全;各种网络攻击手段与对策等。
3. 访问控制
什么是访问控制?访问控制的要素和各类访问控制措施;身份识别与认证技术:口令、一 次性口令、生物识别、SSO 等;访问控制技术和方法:MAC、DAC、基于角色 AC 等;访问控制管理:集中式与分散式;访问控制最佳实践:预防为主,防止信息泄漏,账号管理,跟踪审计,最小特权和职责分离;典型的访问控制威胁:口令攻击,拒绝服务,欺骗攻击,渗透测试等。
4. 应用安全
软件应用环境:分布式和集中式系统,典型威胁,各类应用控制;数据库和数据仓库的安全性;基于知识的系统:专家系统和神经网络;系统开发控制:系统开发生命周期,在系 统开发生命周期内考虑到安全措施,软件开发过程模型,软件开发方法;软件保护机制和最佳实践等。
5. 密码学
密码学基本概念、目标、发展历史、技术和方法、应用领域;对称密码学简介、分类,DES等典型算法介绍;非对称密码学基本原理,RSA、ECC 等典型算法介绍;对称密码学和非对称密码学对照比较;消息验证,数字签名;密码学应用:PKI,电子邮件安全,网络安全,电子商务,消息隐藏;密钥管理:密钥生成、交换、撤销、恢复等,密钥托管;密码学相关攻击手段等。
6 安全模型和设计
计算机体系结构:计算机硬件软件构成,开放系统与封闭系统;保护机制的概念和各种类型;安全模型:BLP、BIBA、Clark Wilson 等;系统运行的安全模式;系统评测:认证和认可,各类测评标准;安全体系结构面临的威胁:隐蔽通道,后门,异步攻击等。
7. 操作安全
操作安全 OPSEC 的定义,需要考虑的因素;控制措施的各种分类方式;操作安全最佳实践和管理原则:DueCare,最小特权,分离职责等;日常管理和系统操作事务:配置管理,事件管理,问题管理,变更管理,防病毒管理,介质管理,可信设施管理,可信恢复等
审计与监视:审计目标、概念、工具和技术等。
8. 业务连续性与灾难恢复
基本概念:什么是 BCP 和 DRP?其相互关系,为什么需要 BCP?;做好准备工作:目标,范围,责任,资源,计划,支持;业务影响分析 BIA:基本概念和实施过程;确定恢复策略:关键活动,预算计划和考虑因素;开发计划:内容和格式;实施计划:备用站点,签署协议,人员培训;测试计划:测试目的,测试计划,测试方法;维护计划等。
9. 法律、符合性和调查
计算机犯罪的概念定义,犯罪手段,经典案例;计算机相关法律的类型:知识产权保护, 隐私保护,版权保护,进出口限制,计算机犯罪法;计算机道德话题;计算机犯罪调查: 一般概念,对计算机事件的定义,计算机辨析学,证据类型、标准和生命周期等。
10. 物理与环境安全
物理与环境安全存在的问题:识别需要保护的物理资产,物理资产面临的威胁和风险;各种物理与环境安全控制措施:管理、技术和物理控制;场地设施的选择和建设;环境和生 命安全:供电,空调、温度和湿度控制,防火,防水;人员安全考虑;硬件设备的安全。
值得注意的是2011年ISC2 公布将在2012年3月以后更改CISSP考试大纲,通过官方的更正,其中对于CISSP目前大纲名称有所变更,具体内容无更新变化。
对信息安全领域所有相关主题精炼整理后得到的标准化的知识体系
关于 CBK Common Body of Knowledge(公共知识体系)
1 信息安全与风险管理(Information Security and Risk Management)
2 安全结构与设计(Security Architecture and Design)
3 访问控制(Access Control)
4 应用安全(Application Security)
5 操作安全(Operations Security)
6 物理与环境安全(Physical and Environment Security)
7 密码学(Cryptography)
8 电信与网络安全(Telecommunications, and Network,Security)
9 业务连续性与灾难恢复(Business Continuity and Disaster Recovery)
10 符合性与调查(Law, Compliance and Investigations)详解如下:
1. 信息安全与风险管理
信息安全的基本概念和 CIA 三原则、信息安全管理的过程模型,信息安全计划、风险管理概念,风险管理过程、信息资产、威胁、弱点、残留风险的概念及相互关系、定量和定性 风险评估方法及实施过程,风险消减策略和考虑因素、配置管理、变更管理、应急计划等风险管理相关活动、数据分类、安全方针、标准、指南和程序、角色和责任,人员安全, 安全意识和培训等。
2. 电信与网络安全
开放系统互连参考模型、网络通信基础,物理连接技术与特性,网络拓扑,信号传输类型、 典型的网络通信协议,TCP/IP;局域网技术:传输方式,介质访问控制方式,实现方式,设备;广域网技术:链路类型,广域网交换,协议,设备;远程访问安全与管理;网络通信安全技术:数据传输保护,边界防护,IDS,可用性保证;无线技术及安全;各种网络攻击手段与对策等。
3. 访问控制
什么是访问控制?访问控制的要素和各类访问控制措施;身份识别与认证技术:口令、一 次性口令、生物识别、SSO 等;访问控制技术和方法:MAC、DAC、基于角色 AC 等;访问控制管理:集中式与分散式;访问控制最佳实践:预防为主,防止信息泄漏,账号管理,跟踪审计,最小特权和职责分离;典型的访问控制威胁:口令攻击,拒绝服务,欺骗攻击,渗透测试等。
4. 应用安全
软件应用环境:分布式和集中式系统,典型威胁,各类应用控制;数据库和数据仓库的安全性;基于知识的系统:专家系统和神经网络;系统开发控制:系统开发生命周期,在系 统开发生命周期内考虑到安全措施,软件开发过程模型,软件开发方法;软件保护机制和最佳实践等。
5. 密码学
密码学基本概念、目标、发展历史、技术和方法、应用领域;对称密码学简介、分类,DES等典型算法介绍;非对称密码学基本原理,RSA、ECC 等典型算法介绍;对称密码学和非对称密码学对照比较;消息验证,数字签名;密码学应用:PKI,电子邮件安全,网络安全,电子商务,消息隐藏;密钥管理:密钥生成、交换、撤销、恢复等,密钥托管;密码学相关攻击手段等。
6 安全模型和设计
计算机体系结构:计算机硬件软件构成,开放系统与封闭系统;保护机制的概念和各种类型;安全模型:BLP、BIBA、Clark Wilson 等;系统运行的安全模式;系统评测:认证和认可,各类测评标准;安全体系结构面临的威胁:隐蔽通道,后门,异步攻击等。
7. 操作安全
操作安全 OPSEC 的定义,需要考虑的因素;控制措施的各种分类方式;操作安全最佳实践和管理原则:DueCare,最小特权,分离职责等;日常管理和系统操作事务:配置管理,事件管理,问题管理,变更管理,防病毒管理,介质管理,可信设施管理,可信恢复等
审计与监视:审计目标、概念、工具和技术等。
8. 业务连续性与灾难恢复
基本概念:什么是 BCP 和 DRP?其相互关系,为什么需要 BCP?;做好准备工作:目标,范围,责任,资源,计划,支持;业务影响分析 BIA:基本概念和实施过程;确定恢复策略:关键活动,预算计划和考虑因素;开发计划:内容和格式;实施计划:备用站点,签署协议,人员培训;测试计划:测试目的,测试计划,测试方法;维护计划等。
9. 法律、符合性和调查
计算机犯罪的概念定义,犯罪手段,经典案例;计算机相关法律的类型:知识产权保护, 隐私保护,版权保护,进出口限制,计算机犯罪法;计算机道德话题;计算机犯罪调查: 一般概念,对计算机事件的定义,计算机辨析学,证据类型、标准和生命周期等。
10. 物理与环境安全
物理与环境安全存在的问题:识别需要保护的物理资产,物理资产面临的威胁和风险;各种物理与环境安全控制措施:管理、技术和物理控制;场地设施的选择和建设;环境和生 命安全:供电,空调、温度和湿度控制,防火,防水;人员安全考虑;硬件设备的安全。
值得注意的是2011年ISC2 公布将在2012年3月以后更改CISSP考试大纲,通过官方的更正,其中对于CISSP目前大纲名称有所变更,具体内容无更新变化。
扫一扫
4780
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
