CISSP认证的考核范围包括10个方向

CISSP认证的考核范围包括10个方向 
对信息安全领域所有相关主题精炼整理后得到的标准化的知识体系 
关于 CBK Common Body of Knowledge(公共知识体系) 
1  信息安全与风险管理(Information Security and Risk Management) 
2 安全结构与设计(Security Architecture and Design) 
3 访问控制(Access Control) 
4 应用安全(Application Security) 
5 操作安全(Operations Security) 
6 物理与环境安全(Physical and Environment Security) 
7 密码学(Cryptography) 

8 电信与网络安全(Telecommunications, and Network,Security) 

9 业务连续性与灾难恢复(Business Continuity and Disaster Recovery) 

10 符合性与调查(Law, Compliance and Investigations) 
详解如下: 
1. 信息安全与风险管理 
信息安全的基本概念和 CIA 三原则、信息安全管理的过程模型,信息安全计划、风险管理概念,风险管理过程、信息资产、威胁、弱点、残留风险的概念及相互关系、定量和定性 风险评估方法及实施过程,风险消减策略和考虑因素、配置管理、变更管理、应急计划等风险管理相关活动、数据分类、安全方针、标准、指南和程序、角色和责任,人员安全, 安全意识和培训等。 
2. 电信与网络安全 
开放系统互连参考模型、网络通信基础,物理连接技术与特性,网络拓扑,信号传输类型、 典型的网络通信协议,TCP/IP;局域网技术:传输方式,介质访问控制方式,实现方式,设备;广域网技术:链路类型,广域网交换,协议,设备;远程访问安全与管理;网络通信安全技术:数据传输保护,边界防护,IDS,可用性保证;无线技术及安全;各种网络攻击手段与对策等。 
3. 访问控制 
什么是访问控制?访问控制的要素和各类访问控制措施;身份识别与认证技术:口令、一 次性口令、生物识别、SSO 等;访问控制技术和方法:MAC、DAC、基于角色 AC 等;访问控制管理:集中式与分散式;访问控制最佳实践:预防为主,防止信息泄漏,账号管理,跟踪审计,最小特权和职责分离;典型的访问控制威胁:口令攻击,拒绝服务,欺骗攻击,渗透测试等。 
4. 应用安全 
软件应用环境:分布式和集中式系统,典型威胁,各类应用控制;数据库和数据仓库的安全性;基于知识的系统:专家系统和神经网络;系统开发控制:系统开发生命周期,在系 统开发生命周期内考虑到安全措施,软件开发过程模型,软件开发方法;软件保护机制和最佳实践等。 
5. 密码学 
密码学基本概念、目标、发展历史、技术和方法、应用领域;对称密码学简介、分类,DES等典型算法介绍;非对称密码学基本原理,RSA、ECC 等典型算法介绍;对称密码学和非对称密码学对照比较;消息验证,数字签名;密码学应用:PKI,电子邮件安全,网络安全,电子商务,消息隐藏;密钥管理:密钥生成、交换、撤销、恢复等,密钥托管;密码学相关攻击手段等。 
6 安全模型和设计 
计算机体系结构:计算机硬件软件构成,开放系统与封闭系统;保护机制的概念和各种类型;安全模型:BLP、BIBA、Clark Wilson 等;系统运行的安全模式;系统评测:认证和认可,各类测评标准;安全体系结构面临的威胁:隐蔽通道,后门,异步攻击等。 
7. 操作安全 
操作安全 OPSEC 的定义,需要考虑的因素;控制措施的各种分类方式;操作安全最佳实践和管理原则:DueCare,最小特权,分离职责等;日常管理和系统操作事务:配置管理,事件管理,问题管理,变更管理,防病毒管理,介质管理,可信设施管理,可信恢复等 
审计与监视:审计目标、概念、工具和技术等。 
8. 业务连续性与灾难恢复 
基本概念:什么是 BCP 和 DRP?其相互关系,为什么需要 BCP?;做好准备工作:目标,范围,责任,资源,计划,支持;业务影响分析 BIA:基本概念和实施过程;确定恢复策略:关键活动,预算计划和考虑因素;开发计划:内容和格式;实施计划:备用站点,签署协议,人员培训;测试计划:测试目的,测试计划,测试方法;维护计划等。 
9. 法律、符合性和调查 
计算机犯罪的概念定义,犯罪手段,经典案例;计算机相关法律的类型:知识产权保护, 隐私保护,版权保护,进出口限制,计算机犯罪法;计算机道德话题;计算机犯罪调查: 一般概念,对计算机事件的定义,计算机辨析学,证据类型、标准和生命周期等。 
10. 物理与环境安全 
物理与环境安全存在的问题:识别需要保护的物理资产,物理资产面临的威胁和风险;各种物理与环境安全控制措施:管理、技术和物理控制;场地设施的选择和建设;环境和生 命安全:供电,空调、温度和湿度控制,防火,防水;人员安全考虑;硬件设备的安全。 
值得注意的是2011年ISC2 公布将在2012年3月以后更改CISSP考试大纲,通过官方的更正,其中对于CISSP目前大纲名称有所变更,具体内容无更新变化。 


你可能感兴趣的:(网络安全)