- 博客(37)
- 收藏
- 关注
RSS订阅原创 CISSP 域6知识点 安全评估与测试策略
🛡️ 很多人觉得安全测试就是"扫个漏洞、出个报告",事情就结束了。Domain 6 安全评估与测试,占 CISSP 总权重 12%,是"验证你安全工作是否有效"的核心环节。这篇把官方考纲的全部核心知识点拆清楚,场景题高频,必须掌握。
2026-04-17 14:33:13
415
原创 CISSP 域5知识点 访问控制攻击与防护
访问控制的攻击,从来不是在某一个环节突破,而是沿着 IAM 全生命周期,逐步渗透、持久潜伏、扩大权限。
2026-04-16 15:33:46
371
原创 CISSP 域5知识点 身份认证与授权
🔹 身份认证(Authentication)官方核心定义:验证主体声称的身份是否真实、合法的过程,确认“你是不是你声称的那个人”核心目标:防范身份伪造、假冒、冒充,确保访问主体的身份真实性执行顺序:前置环节,必须先完成认证,才能执行授权典型场景:账号密码登录、指纹解锁、证书校验、MFA验证🔹 授权(Authorization)官方核心定义:为已通过认证的合法主体,分配对客体的访问权限与操作范围的过程,确认“你能访问什么、能做什么”核心目标。
2026-04-15 15:11:24
311
原创 CISSP 域4知识点 无线与移动网络安全
域4通信与网络安全的核心模块,占Domain4权重25%左右;对应OSG第十版第10、11章无线与移动专项内容。是企业网络边界延伸&混合办公安全的核心考点,
2026-04-15 15:06:18
522
1
原创 CISSP 域4知识点 安全通信协议
📌 归属:Domain 4 通信与网络安全 / OSG第十版 第10-11章考试权重:Domain 4 总权重 13%,本知识点占其中 30%+核心定位:安全通信协议是 CIA 三元组在网络传输层面的标准化技术载体,所有跨信任边界的敏感数据传输,必须通过官方推荐的安全协议实现,绝对禁止明文传输。
2026-04-15 15:05:15
365
原创 CISSP 域4知识点 网络组件安全
对应 OSG 第十版 第10章《Secure Network Architecture and Components》占 Domain 4(13%总权重)的约 30%,概念题+场景题超高频。
2026-04-14 15:20:36
422
原创 CISSP 域4知识点 网络安全架构
核心:控制平面(路由决策/策略管理)与数据平面(数据包转发)分离核心优势:安全策略集中管理、全网流量可视化、可实现动态访问控制(发现攻击自动阻断)适配场景:云原生、虚拟化、容器化,是微分段和零信任在云场景的底层网络基础考点:SDN核心是控制平面与数据平面分离,集中化策略管控。
2026-04-14 15:19:57
638
1
原创 CISSP 域3知识点 物理安全
人身安全三条铁律人身安全 > 资产安全,永远不会错应急出口:内部轻松开启,外部无法打开消防首要任务:疏散人员,不是灭火物理访问控制四件套防尾随门 = 高安全区域强制准入(双门互锁)双因素认证 = 高安全区域门禁标配双人双锁 = 关键区/禁区强制要求全程陪同 = 访客进入内部区域的必须条件灭火剂三选一机房 → CO₂ / 洁净气体 ✅机房 → 水 ❌(哪怕断电也不行)机房 → 干粉 ❌(损坏设备难清理)介质销毁两个必记磁性介质(机械硬盘/磁带)→ 消磁 + 物理粉碎。
2026-04-13 14:30:47
437
原创 CISSP 域3知识点 系统安全防护
系统安全三大核心原则🔒 最小安装 → 最小化攻击面🔒 最小特权 → 最小化权限半径🔒 默认拒绝 → 最小化开放范围必考的算法与工具分类🟢 EDR = 现代端点防护,替代传统杀毒软件🟢 HIDS = 被动检测+告警,不阻断🟢 HIPS = 主动防御+阻断,可能影响业务🟢 FIM(文件完整性监控)= 检测未授权文件修改🟢 白名单 = 防未知恶意代码的最有效手段最高频易错点复习OT系统优先级:可用性 > 完整性 > 保密性(与IT相反)补丁必须先测试环境验证,再部署生产环境。
2026-04-13 14:24:42
971
原创 CISSP 域3知识点 安全架构设计
10 项原则记忆口诀纵深默认最小权,左移分离全仲裁,开放攻击面最小,公共心理可接受。纵深防御、默认拒绝、最小特权、安全左移职责分离、完全仲裁、开放设计最小攻击面、最小公共机制、心理可接受性架构模型分类经典:分层架构(五层递增)、环形架构(城堡护城河,默认信任内网)现代:零信任 ZTA(永不信任始终验证)、微分段(工作负载级隔离)、SASE(网络+安全云化边缘交付)零信任 7 原则(核心 3 条必记)永不信任,始终验证(包括内网)单次会话动态决策(不是永久授权)
2026-04-12 12:03:22
480
原创 CISSP 域3知识点 密码学体系
也叫私钥加密、单密钥加密。加密和解密使用完全相同的一把密钥,是大容量数据加密的主力技术。核心优势✅ 加密解密速度极快✅ 算力消耗低✅ 适合加密大容量数据、大文件、实时流量核心劣势❌ 密钥分发困难,无法在不安全信道上安全交换密钥❌ N个用户两两通信,需要N×(N-1)/2 个密钥,管理复杂度高(这是基础计算题考点)❌ 无法实现不可否认性也叫公钥加密、双密钥加密。加密和解密使用一对数学上相关、但无法互相推导的密钥:公钥(Public Key)和私钥(Private Key)。
2026-04-12 12:01:59
487
原创 CISSP域3知识点 安全工程基础
把安全原生建进系统里,遵循12项设计原则,选对安全模型,用 TCB+参考监视器做底层保障,覆盖从需求到退役的全生命周期,让 CIA 三元组从架构层面就得到保障,而不是靠事后补丁堆出来的。不上读、不下写(保密性)不下读、不上写(完整性)商业交易完整性(良构交易+职责分离)利益冲突防范(动态访问控制)总是被调用 / 防篡改 / 可验证(缺一不可EAL4 = 最常见商业产品等级 · EAL7 = 最高等级。
2026-04-11 11:28:40
378
原创 CISSP域2知识点数据安全控制
🧭 数据安全控制的核心,不是“加一个工具”,而是“按数据等级给对的锁”🗄️ 静态数据重点看:加密、权限、脱敏、备份、介质管控🌐 传输中数据重点看:TLS、IPSec、SSH、完整性校验、DLP、跨境合规🧠 使用中数据重点看:内存保护、TEE、同态加密、令牌化、最小权限运行环境🔐 最小权限、纵深防御、默认安全,是选控制措施时的底层逻辑☁️ 数据上云不等于责任上云,最终责任还在企业自己手里🧾 没有验证、没有日志、没有持续优化,再漂亮的控制都可能只是 PPT 安全。
2026-04-11 11:27:26
841
原创 CISSP域2知识点数据留存与处置
🧭 数据留存不是“越久越稳”,而是“最小必要 + 最短期限”⏳ 留存期限冲突时,遵循“就高不就低”🛠️ 清除、净化、销毁、归档四个词必须分清,尤其注意归档不是处置🔴 最高强度处置方式是物理销毁⚡ SSD 是高频陷阱,消磁和普通覆写对它不可靠☁️ 数据上云、外包,不等于责任转移🧾 没有审计记录,很多时候就等于你无法证明自己合规该留多久,不是凭感觉;到期怎么处置,不是图方便;能不能证明做过,不是可选项。把这三件事想清楚,数据留存与处置这块的大多数场景题,就不会乱。
2026-04-10 15:32:51
313
原创 CISSP域2知识点隐私保护
🧭 数据主体 = 权利拥有者,他的控制权不能被剥夺📋 数据控制者 = 最终合规责任人,外包转移不了这个责任🛡️ 8 大原则 = 全球通用底线,违反了就是违规🔵 匿名化(不可逆) vs 🟡 假名化(可逆)= 考试最高频的区分点📋 DPIA = 高风险活动必须事前做,不是事后补救🕐 GDPR 数据泄露 72 小时上报 = 必背时限💬 理解隐私保护,核心是站在数据主体的角度想:“我的信息,我有没有被告知?我有没有控制权?我的数据有没有被安全保护?
2026-04-10 15:31:50
652
原创 CISSP域2知识点资产权责划分
🏢最高管理层→ 最终法定责任,不可转移👔资产/数据所有者(业务部门负责人)→ 最终业务责任,分级/权限唯一决策者🔧资产/数据管理员(IT/运维/安全)→ 执行责任,照章落地,无决策权💻系统所有者(通常也是业务负责人)→ 系统全生命周期安全责任🌐数据控制者→ 目的和方式的决策者,最终合规责任📦数据处理者→ 按控制者要求执行,仅合同责任👤资产用户→ 合规使用,直接操作责任🔍审计师→ 独立审计,对董事会/审计委员会汇报谁做决策谁负责,谁做操作谁负责,最终都有人兜底。
2026-04-09 14:16:59
378
原创 CISSP域2知识点信息资产分级分类
资产分级分类 = 把对的保护给对的资产,用有限资源守住真正重要的东西。这不是技术问题,是「怎么做安全决策」的问题。这也不是做一次的项目,是贯穿资产全生命周期的持续治理动作。
2026-04-09 14:16:15
435
原创 CISSP域1知识点职业道德
📌 前言:为什么这块看起来短,实际上特别重要?很多人第一次看到 (ISC)² 职业道德准则,会觉得只有 4 条,好像不难。但这块真正难的,从来不是“背下来”,而是:说白了,这不是“附加要求”,而是 CISSP 持证人的职业底线。如果把信息安全从业者比作医生、律师、审计师,那职业道德准则就是你的“执业红线”。这是 (ISC)² 对认证申请人和持证者提出的强制性职业行为规范。不是“建议遵守”,而是:一旦严重违反,最重后果是 永久吊销认证。委托人就是你提供安全服务的对象,常见包括:📌 但要注意:为委托人服务,
2026-04-08 14:41:37
290
原创 CISSP域1知识点人员安全
人员安全全生命周期,本质上是在回答 3 个问题:这个人值得信任吗?→ 雇佣前背景调查 + 合规招聘在岗期间有没有做该做的事、没做不该做的事?→ 权限管控 + 培训 + 监控 + 强制休假/轮换走了以后,有没有把门关好?→ 离岗权限回收 + NDA 持续有效 + 权限审计❗ 这个闭环中任何一环有断点,都是内部威胁的可乘之机。
2026-04-08 14:40:56
507
原创 CISSP域1 知识点 业务连续性规划(BCP)
📌 BCP核心要点总结(148字) 业务连续性规划(BCP)是企业运营韧性的核心框架,包含8个关键概念:BCP≠DRP(后者是IT恢复子集)、BIA量化业务中断影响、MTD是不可突破的红线、RTO必须≤MTD。实施分为6阶段:1)获得管理层批准;2)通过BIA确定恢复优先级;3)组合预防/缓解/恢复策略;4)文档化可执行手册;5)开展五级演练(桌面→全面中断);6)持续维护更新。特别注意:BCP必须由业务部门主导,每年评审,重大变更时立即更新,并覆盖供应链风险。常见误区包括混淆BCP与DRP、BIA与风险
2026-04-03 10:41:26
308
原创 CISSP域1 知识点 法律法规与合规
合规体系的底层逻辑,只有一条:🔒所有安全策略、控制措施、风险决策,都必须以合规为前提合规底线一旦突破,技术再好、认证再多,都挡不住监管处罚和法律追责🚫 合规义务不可豁免🚫 最终责任不可外包🚫 日志记录不可篡改🚫 数据泄露不可瞒报。
2026-04-03 10:40:16
184
原创 CISSP域1 知识点 风险管理,一次讲透
风险管理全生命周期核心要点 基础概念:资产、威胁、脆弱性、风险、残余风险及控制措施的定义与关联。 风险管理流程: 定规则:明确范围、风险偏好及评估标准(管理层决策)。 风险识别:全面梳理资产、威胁、脆弱性及现有控制措施。 风险评估: 定性(高/中/低分级,德尔菲法); 定量(SLE=AV×EF,ALE=SLE×ARO)。 风险处置:规避(彻底消除)、缓解(控制措施)、转移(保险/外包)、接受(管理层批准)。 持续监控:跟踪残余风险并动态调整。 关键原则:风险管理的目标是将其降至可接受水平,而非归零;决策需基
2026-04-02 14:34:26
275
原创 CISSP域1 知识点 7大安全核心原则,一次讲透
《7大安全核心原则解析》 本文系统梳理了信息安全领域的7大核心原则。首先提出CIA三元组(机密性、完整性、可用性)是所有安全工作的基础目标。其次强调不可否认性作为独立属性,需通过数字签名实现。随后详细阐述了最小权限原则、职责分离、纵深防御和攻击面缩减等关键防护策略,指出它们各自的适用场景和常见误区。最后介绍了AAA框架(认证、授权、问责)的完整访问控制流程。这些原则共同构成了信息安全体系的支柱,通过多层防护、权限控制和审计追踪来保障系统的安全性。文章特别提醒了考试中的易错点,强调各原则间的区别与联系。
2026-04-01 11:49:19
343
原创 CISSP域1知识点|安全治理核心概念,一次讲透
《安全治理核心概念精要》摘要: 责任归属:安全最终责任在董事会/CEO,无法转移 本质认知:安全是风险管理而非绝对防护,需管理层书面批准风险接受程度 业务协同:安全需服务业务发展,提供风险可控的解决方案 治理框架:必须包含战略、政策、风险管理等8大闭环模块 框架区分:ISO27001认证/NIST CSF治理/COBIT审计/ITIL服务/COSO全面风控 2024新增:供应链安全、AI系统治理、关键基础设施强化管控 核心逻辑:自上而下设计,平衡合规与业务发展,实现风险可控的安全价值 (149字)
2026-04-01 11:47:40
385
原创 CISSP八大域深度解析:用「道·法·术·器」构建系统性安全思维
学习CISSP不在于死记硬背多少知识点,而在于建立起系统性的安全思维框架。当你能够用「道·法·术·器」的结构去理解每一个知识域,并且清楚各域之间的关联与循环,就真正掌握了CISSP的核心要义。后续我会把每个域单独拆解进行详细解析,感兴趣的朋友可以关注。如果有问题,也欢迎通过评论交流。
2026-03-31 13:50:51
1334
原创 ISO SAE 21434-2021 要求、建议、允许(RQ、RC、PM)整理
本文旨在将21434中各阶段涉及的RQ、RC、PM统一梳理出来,方便学习及查阅。
2022-10-10 14:59:20
5167
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人