CISSP考试大纲整理


=Start=

缘由:

准备报考CISSP,所以先看看其考试大纲,以便后期有针对性的学习一下(尤其是自己不熟悉的知识点)。根据考试的具体权重,审视自己在不同领域的强弱,从而制定相应的学习计划。

正文:

参考解答:

CISSP 考试领域及加权详情(生效日期:2015年4月15日):

知识领域

加权百分比

1. 安全与风险管理

16%

2. 资产安全

10%

3. 安全工程

12%

4. 通信与网络安全

12%

5. 身份与访问管理

13%

6. 安全评估与测试

11%

7. 安全运营

16%

8. 软件开发安全

10%

总计

100%

==

1、 Security and Risk Management (安全与风险管理(例如,安全、风险、合规、法律、法 规、业务连续性))
  1. Understand and apply concepts of con dentiality, integrity and availability (理解并应用保密性、完整性和可用性的概念)
  2. Apply security governance principles through: (应用安全治理原则)
  3. Compliance (合规)
  4. Understand legal and regulatory issues that pertain to information security in a global context (在全球化背景下理解与信息安全相关的法律和法规问题)
  5. Understand professional ethics (理解职业道德)
  6. Develop and implement documented security policy, standards, procedures, and guidelines (制定并实施文档化的安全策略、标准、程序和方针)
  7. Understand business continuity requirements (理解业务连续性要求)
  8. Contribute to personnel security policies (促进人员安全策略)
  9. Understand and apply risk management concepts (理解与应用风险管理的概念)
  10. Understand and apply threat modeling (理解与运用威胁建模)
  11. Integrate security risk considerations into acquisition strategy and practice (整合安全风险考量至采购策略与实践中)
  12. Establish and manage information security education, training, and awareness (建议并管理信息安全教育、安全培训与安全意识)
2、 Asset Security (资产安全(保护资产的安全))
  1. Classify information and supporting assets (e.g., sensitivity, criticality) (信息与支持资产的分类(例如:敏感性、关键性))
  2. Determine and maintain ownership (e.g., data owners, system owners, business/mission owners) (确定并维护所有权(例如:数据所有者、系统所有者、业务/使命所有者))
  3. Protect privacy (保护隐私)
  4. Ensure appropriate retention (e.g., media, hardware, personnel) (确保适当的数据保留(例如:介质、硬件、人员))
  5. Determine data security controls (e.g., data at rest, data in transit) (确定数据安全控制措施(例如:静态数据、传输中数据))
  6. Establish handling requirements (markings, labels, storage, destruction of sensitive information) (建立处理要求(例如:敏感信息的标示、标记、存储和销毁))
3、 Security Engineering (安全工程(安全工程与管理))
  1. Implement and manage engineering processes using secure design principles (利用安全设计原则实施和管理工程过程)
  2. Understand the fundamental concepts of security models (e.g., Condentiality, Integrity, and Multi-level Models) (理解安全模型的基础概念(例如:保密性、完整性、多层模型))
  3. Select controls and countermeasures based upon systems security evaluation models (基于系统安全评估模型选择控制措施和对策)
  4. Understand security capabilities of information systems (e.g., memory protection, virtualization, trusted platform module, interfaces, fault tolerance) (理解信息系统的安全能力 (例如:存储保护、虚拟化、可信平台模块、接口、容错))
  5. Assess and mitigate the vulnerabilities of security architectures, designs, and solution elements (评估与缓解安全架构、设计和解决方案要素的脆弱性)
  6. Assess and mitigate vulnerabilities in web-based systems (e.g., XML, OWASP) (评估和缓解基于Web系统的脆弱性)
  7. Assess and mitigate vulnerabilities in mobile systems (评估和减缓移动系统的脆弱性)
  8. Assess and mitigate vulnerabilities in embedded devices and cyber-physical systems (e.g., network-enabled devices, Internet of things (IoT)) (评估和减缓嵌入式设备和网络物理系统的脆弱性(例如:可启用网络设备、物联网(IoT)))
  9. Apply cryptography (应用密码学)
  10. Apply secure principles to site and facility design (应用安全原则于场地与设施设计)
  11. Design and implement physical security (设计和实施物理安全)
4、 Communications and Network Security (通信与网络安全(设计及保护网络安全))
  1. Apply secure design principles to network architecture (e.g., IP & non-IP protocols, segmentation) (应用安全设计原则于网络架构(例如:IP 协议与非 IP 协议,网络分段))
  2. Secure network components (保护网络组件安全)
  3. Design and establish secure communication channels (设计与建立安全通信信道)
  4. Prevent or mitigate network attacks (预防和减缓网络攻击)
5、 Identity and Access Management (身份与访问管理(访问控制与身份管理))
  1. Control physical and logical access to assets (控制资产的物理与逻辑访问)
  2. Manage identification and authentication of people and devices (管理人员与设备的身份和验证)
  3. Integrate identity as a service (e.g., cloud identity) (整合身份即服务(例如:云身份))
  4. Integrate third-party identity services (e.g., on-premise) (整合第三方身份服务(例如:内部部署))
  5. Implement and manage authorization mechanisms (实施和管理授权机制)
  6. Prevent or mitigate access control attacks (预防与减缓访问控制攻击)
  7. Manage the identity and access provisioning lifecycle (e.g., provisioning, review) (管理身份与访问供给生命周期(例如:供给、审查))
6、 Security Assessment and Testing (安全评估与测试(设计、执行与分析安全测试))
  1. Design and validate assessment and test strategies (设计和验证评估与测试策略)
  2. Conduct security control testing (执行安全控制测试)
  3. Collect security process data (e.g., management and operational controls) (收集安全过程数据(例如:管理和运营控制措施))
  4. Analyze and report test outputs (e.g., automated, manual) (分析与报告测试结果(例如:自动、手动))
  5. Conduct or facilitate internal and third party audits (开展或促进内部和第三方审计)
7、 Security Operations (安全运营(例如:基础概念、调查、事件管理、灾难恢复))
  1. Understand and support investigations (理解与支持调查)
  2. Understand requirements for investigation types (理解调查类型的要求)
  3. Conduct logging and monitoring activities (实施日志和监测活动)
  4. Secure the provisioning of resources (保护资源的供给安全)
  5. Understand and apply foundational security operations concepts (理解与应用安全运营的基础概念)
  6. Employ resource protection techniques (利用资源保护技术)
  7. Conduct incident management (开展事件管理)
  8. Operate and maintain preventative measures (操作和维护预防措施)
  9. Implement and support patch and vulnerability management (实施和支持补丁与漏洞管理)
  10. Participate in and understand change management processes (e.g., versioning, baselining, security impact analysis) (参与和理解变更管理流程(例如:版本控制、基线化、安全性影响分析))
  11. Implement recovery strategies (实施恢复策略)
  12. Implement disaster recovery processes (实施灾难恢复流程)
  13. Test disaster recovery plans (测试灾难恢复计划)
  14. Participate in business continuity planning and exercises (参与业务连续性计划和演练)
  15. Implement and manage physical security (实施和管理物理安全)
  16. Participate in addressing personnel safety concerns (e.g., duress, travel, monitoring) (参与解决人员安全问题(例如胁迫、旅行、监控))
8、 Software Development Security (软件开发安全(理解、应用与执行软件安全))
  1. Understand and apply security in the software development lifecycle (理解安全并将其应用于软件开发生命周期)
  2. Enforce security controls in development environments (在开发环境中执行安全控制)
  3. Assess the effectiveness of software security (评估软件安全的有效性)
  4. Assess security impact of acquired software (评估采购软件的安全影响)

==

参考链接:

=END=

,

《“CISSP考试大纲整理”》 有 17 条评论

  1. Official(ISC)² Guide to the CISSP CBK, Fourth Edition(CISSP官方指定教材,英文,最新第四版,1667页全)
    http://download.csdn.net/download/byrzhao/9928954
    http://down.51cto.com/data/2062179

    iPhone App
    https://itunes.apple.com/cn/developer/tortoises-inc/id1046227399

    CISSP-AIO-7th(电子教材与练习光盘).rar (解压密码:bjhuizhe)
    http://www.pan115.com/file/UTuxH9f5
    北京汇哲2016年CISSP免费资料/书籍.zip (解压密码:bjhuizhe)
    http://www.pan115.com/file/UTuxf90a

    CISSP认证考试必过2017核心笔记精简版PDF
    http://www.linuxidc.com/Linux/2017-03/141362.htm
    http://linux.linuxidc.com/index.php?folder=MjAxN8Tq18rBzy8z1MIvNMjVL0NJU1NQyM/WpL+8ytSx2Ln9MjAxN7rL0MSxyrzHvqu88rDm

  2. CISSP 考纲更新 — 2018年4月15日开始生效
    https://www.isc2.org/-/media/CC72396FD9F34D3AAF073BF2AADB185C.ashx
    https://www.isc2.org/Certifications/CISSP/Domain-Refresh-FAQ
    `
    信息安全技术日新月异,安全威胁场景不断演变,CISSP考试也不断更新以紧跟变化步伐。自2018年4月15日起,CISSP 考试新大纲 将会生效。

    反映信息安全热点话题的更新内容,已加入CISSP新考纲。新内容的增加,将准确反映信息安全专业人员所需要具备的能力。因内容调整,我们更新了一些知识域名,以准确地描述主题。
    `

    • 从2018年4月15日开始各CBK知识域及其所占权重:
      1. Security and Risk Management (安全和风险管理) 15%
      2. Asset Security (资产安全) 10%
      3. Security Architecture and Engineering (安全架构和安全工程) 13%
      4. Communication and Network Security (通信和网络安全) 14%
      5. Identity and Access Management (IAM) (身份和访问管理) 13%
      6. Security Assessment and Testing (安全评估和测试) 12%
      7. Security Operations (安全运营/操作) 13%
      8. Software Development Security (软件开发安全) 10%

  3. OSCP 备考指南
    https://www.lshack.cn/656/
    `
    oscp 简介
      官方概述
      其他相关认证
    大佬经历篇
    综合学习资源
    OSCP 中所利用到的工具:
      脚本类
      Windows Privilege Escalation
      Linux Privilege Escalation
      Some tools && cheat sheet && py && payloads
      成熟的好工具
    报告相关
    在线实验室推荐
    `

  4. 专题 | 安全运营:解决“安全的最后一公里”
    https://mp.weixin.qq.com/s/tAPu_YcjFfcYWKofJH49VA
    `
    一、安全运营与安全运维的区别
    安全运营是近几年业内的热点话题,但什么是安全运营?安全运营到底都干什么?有没有明确的定义和工作范围?在这里我们不妨先看下在IT行业大家都比较清晰的概念“运维”,运维简而言之就是保障信息系统的正常运转,使其可以按照设计需求正常使用,通过技术保障产品提供更高质量的服务。
    而“运营”一字之差的差异在于,运营要持续的输出价值,通过已有的安全系统、工具来生产有价值的安全信息,把它用于解决安全风险,从而实现安全的最终目标。这是由于安全的本质依然是人与人的对抗,为了实现安全目标,企业通过人、工具(平台、设备)、发现安全问题、验证问题、分析问题、响应处置、解决问题并持续迭代优化的过程,可称为安全运营。
    人、数据、工具、流程,共同构成了安全运营的基本元素,以威胁发现为基础,以分析处置为核心,以发现隐患为关键,以推动提升为目标通常是现阶段企业的安全运营的主旨。只有这样充分结合人、数据、工具、流程,才有可能实现安全运营的目标。不管是基于流量、日志、资产的关联分析,还是部署各类安全设备,都只是手段,安全运营最终还是要能够清晰的了解企业自身安全情况、发现安全威胁、敌我态势、规范安全事件处置情况,提升安全团队整体能力,逐步形成适合企业自身的安全运营体系,并通过成熟的运营体系驱动安全管理工作质量、效率的提高。

    二、“安全运营”已成为安全行业的热点
    当前,安全运营日益成为行业热点,主要有三个维度的原因。第一层是面临的大环境也就是国内外的网络安全形势,迫使我们需要不断推进安全工作的进一步迭代。第二层是政策法规推动下的合规管控要求的增强,通常我们总结等保2.0都会提到“一个中心,三重防御”,其中的一个中心就是安全管理中心,基于安全运营的安全管理中心是其本质。第三层是常态化对抗下的安全能力不足的现实问题,自2007年以来,通过合规化驱动的安全建设已经步入了一个新的阶段,各单位普遍进行了安全建设,并购置了大量的安全设备,增设了安全岗位,甚至设立了安全部门,但受限于各种因素,专业人员不足、专业技能不足依然是各单位痛点。近几年通过红蓝对抗、高强度的实兵对抗演练,暴露出运营者核心安全能力不足,人员、设备、流程、机制无法有机结合,在对抗中经常被打得七零八落,行业从而认识到良好的安全运营才能发挥出工具的用途、装备的价值,才能充分保障安全体系的高效运转。

    三、“安全运营”发展中存在的问题
    ①.缺少最佳实践
    ②.缺少足够的人才
    ③.缺少有效的工具
    通过传统SIEM(安全信息和事件管理)构建的SOC平台存在着一定的局限性,体现在以下几个方面:
    1.缺乏安全攻防对抗的能力:传统SOC以安全日志和事件的采集为基础,被动进行事件分析和响应,没有从威胁来源和攻击者视角来分析问题。从黑客攻击杀伤链来看,检测点和响应措施严重不足。
    2.缺乏大量数据处理的能力:传统SOC以关系型数据库为底层数据架构,处理能力相当有限,在当前海量数据、异构数据、多维数据的情况下,采集、分析、处理、存储遇到了很大的困难。
    3.缺乏安全智能分析的能力:传统SOC以基于规则的关联分析为主,只能识别已知并且已描述的攻击,难以识别复杂的攻击和未知的攻击。并且传统SOC 缺乏内外部威胁情报的导入,难以满足当前的攻防对抗环境。
    4.缺乏有效协同的能力:传统SOC缺乏响应协同的工具和流程,无法做到与网关设备、终端EDR等联动响应,以及与企业内外部资源共享威胁情报、协同处置安全威胁。
    以上这些因素决定了目前国内的企业的安全运营现状基本处于初级阶段,同时国内的安全运营市场也是起步阶段。

    四、做好“安全运营”应秉承什么样的理念?
    对于网络安全工作而言,只有“真的安全”才是最终的目标,因此从这个角度上来讲,所有企业的目标是一致的。但安全又从来都是相对的,没有绝对的安全。它是以你付出的代价和承受的风险与损失之间的平衡。
    因此“为业务、不盲从、清现状、抓细节”,安全运营的落地一定是秉承结合自身实际,弄清细节问题,扎实推进展开。

    五、企业如何落实“安全运营”
    安全运营的落地是个持续的过程,不能一蹴而就,安全运营工作的特点,是把一个个孤立的事件通过一定手段关联起来,是由点成面的过程。在安全运营建设过程中需要考虑以下几个方面内容:
    1.组织架构设计
    2.事件响应流程设计
    3.安全规则设计
    4.安全运营平台

    六、企业用户安全运营实践场景
    安全运营工作现阶段在大部分企业中实际开展过程中以监控分析、事件处置为主,更多是防范内外攻击者的“矛”。而实际上安全运营工作的很大程度上应以预防为主,做好“强身健体”工作,围绕资产、漏洞、补丁、策略这些最需要做细的工作下功夫,形成相应的管控机制,筑牢核心防护的“盾”。
    `

  5. 企业安全运营三部曲之概念篇
    https://mp.weixin.qq.com/s/gQyFrQLDC13xVbYVMow4qg
    `
    一、安全运营的精髓
    为什么要有安全运营
    安全运营解决的问题
    安全运营的职业定位

    二、安全运营的分类
    外部运营
    内部运营

    三、成熟度模型
    初期阶段能力
    中期阶段能力
    成熟阶段能力
    `

  6. 胡珀谈安全运营
    https://mp.weixin.qq.com/s/fkbZLYCQOYal-CmKspf9-g
    `
    【lake2:】大家都在谈运营,我理解的安全运营是什么呢?除开系统研发之外的所有工作都属于运营,比如:策略的调优、事件的跟进处理、还包括安全意识的宣导。总之,一切围绕着提升安全能力开展的工作都属于安全运营。

    【lake2:】我看到行业里有个普遍现象,很多团队“重建设、轻运营”。就是说,很多人非常关注一个系统的部署上线,而往往忽视了上线之后的运营工作。这个很容易理解:系统上线是一个重大工程,往往备受关注;运营工作属于常规工作,自然不受重视。于是就有人这样生产了一个又一个不运营的系统和项目,最终成为了烂尾楼。但现实却恰恰相反,系统上线只是开始,真正让系统发挥作用、产生价值的是上线后的持续运营工作。我自己在腾讯的安全团队待了十二年,在互联网安全领域不断摸索,深深感受到安全运营的重要,也感谢腾讯的领导和同事以及外部安全专家、白帽子的帮助。我经常说安全是一个过程,要不断修炼,就是持续不断运营的意思。试为群友分享一二,各位行业大佬多多批评指正。

    【lake2:】运营的思路主要是通过分析当前情况,发现主要矛盾,然后解决主要矛盾。这个主要矛盾解决后就有新的主要矛盾,所以运营是个不断循环的过程。比如前面提到的SQL注入漏洞误报就是一个问题,主要矛盾是页面动态变化,所以就增加一个流程先发现动态变化的部分,去掉之后再进入比较。网马0day检测的主要矛盾就是需要提炼通用检测特征。其实我们的好几个CVE都是通过运营发现的,包括这个flash的溢出0day,还有一个绕过flash同源策略的0day,以及当年针对phpMyAdmin的供应链攻击(当时还没有软件供应链攻击这个概念)。所以运营,是非常的重要。

    【lake2:】当然主要矛盾是不断发生变化的,需要不断调整运营策略。比如腾讯06年之前是IDC对外的高危端口。经过一系列整治(规范、策略),腾讯几乎不再有高危端口开放到互联网,于是主要矛盾就集中到了业务端口,主要是Web端口(80),所以主要矛盾就转移到Web漏洞利用和上传WebShell上。于是根据主要矛盾持续运营,大力研发Web漏洞扫描器和WebShell检测系统(后来发展为服务器安全系统“洋葱”),也按照纵深防御思路不断去优化迭代这里的策略,大概如图这样的策略。这部分也可以参考这篇文章《捻乱止于河防——浅谈企业入侵防御体系建设》。
    `

  7. 谈一谈安全运营工作是什么
    https://mp.weixin.qq.com/s/x2kKryENohVcD5sYsqjC0Q
    https://zhuanlan.zhihu.com/p/84591095
    `
    到底是什么驱动了这一轮业界对“安全运营”的关注呢?
    我理解可能有2个点:
    1、安全的风险直观化
    2、建设期已过,可以开始追求结果了

    整套组合拳打下来,最终,公司的产品安全性一定是有提升的。而这就是一个典型的 SDL 运营套路。这个套路里有什么技术含量么?其实没有,只要站在“这个问题我依然不放过,我觉得其实是可以解决掉,哪怕是解决大部分也好”的角度,那很多团队都可以做到更好。

    虽然我在过程中一直给这个团队增加难度(比如 SRC 的活动要求不间断的增加奖励的力度),但是每次大家通过分析新的问题聚集性,总能找到新的主要矛盾和解决方法。

    我想,这就是我想表达的安全运营了。

    它和技术无关,但又息息相关,每一次诊断的时候,没有扎实的技术基本功,其实是很难给出最合适的解决思路的。有很多次,小伙伴的诊断方向其实都可能有了偏差,也是有更多的小伙伴集思广益给拉了回来。

    这样的安全运营理念,它会“产品化”么?可以被“平台化”么?
    我觉得可能很难,但是基于这样务实的追求,做一些方便的辅助平台,或者外包服务,应该也是挺受欢迎的吧。
    `

  8. Privacy vs. Security:隐私保护与数据安全的关系
    https://www.secrss.com/articles/54404
    `
    隐私保护与数据安全的区别可归结为:

    **数据安全是保护数据免受未授权访问或者恶意攻击,而隐私保护重点在于负责任地使用个人数据。**

    数据安全主要侧重于防止漏洞或泄漏事故导致未经授权访问数据。为了实现这一目标,公司使用工具和技术,如防火墙、用户身份验证、网络访问限制和内部安全措施来阻止此类访问。再比如令牌化和加密等安全技术,通过使数据不可读来进一步保护数据,在发生数据泄露的情况下阻止入侵者访问/使用数据。

    隐私保护关注的是确保组织合规地收集、存储、传输和处理个人数据。隐私保护尤其需要保证透明度,在收集数据之前告知个人或者根据法律要求征得同意。这意味着提前告知个人将收集哪些类型的数据,用于什么目的,以及将与谁共享这些数据,之后公司根据其既定目的处理数据,如有新的变化,则需要另行告知或取得同意。同时,负责任的使用个人数据,也意味着需要确保数据安全措施到位,从这一点来说数据安全是保证隐私安全的重要组成部分。

    下面举例进一步诠释。例如,当用户在智能手机上下载移动应用程序时,系统可能会提示用户在安装开始前勾选隐私政策。之后应用程序还可能申请系统设备权限,以访问存储在手机上的某些信息,例如电话联系人、本地文件或照片。一旦用户勾选隐私政策、授予系统设备权限,应用程序有负责保护用户的数据安全并保护用户的隐私。

    如果该应用程序的开发人员在未经用户许可的情况下将用户提供的数据分享给第三方或营销公司,这将侵犯用户的隐私。如果应用程序出现漏洞,导致用户信息暴露给网络犯罪分子,这既是对用户隐私的侵犯,也是数据安全事件。

    总而言之,隐私保护主要关注个人数据如何被使用和控制,而数据安全则是保护这些数据的保密性、完整性和可用性。数据安全目标可以不考虑隐私问题,但实现隐私保护必须同时保证数据安全。
    `

回复 a-z 取消回复

您的电子邮箱地址不会被公开。 必填项已用*标注