CISSP考試攻略分享

1、 2013 綠盟科技CISSP考試攻略分享密級(jí)：內(nèi)部使用武漢分公司 陳愛珍1 ISC2&CISSP5 CISSP認(rèn)證背書4 CISSP備考相關(guān)3 CISSP考場(chǎng)實(shí)戰(zhàn)2 CISSP考試注冊(cè)關(guān)于(ISC)2 & CISSP (ISC) 全球最大的非營利性信息和軟件安全認(rèn)證會(huì)員制組織，擁有超過九萬名會(huì)員，遍布135個(gè)國家。 信息安全領(lǐng)域的 “金牌標(biāo)準(zhǔn)” 注冊(cè)信息系統(tǒng)安全師(CISSP) 注冊(cè)軟件生命周期安全師(CSSLP) 注冊(cè)網(wǎng)絡(luò)取證師(CCFPSM) 注冊(cè)信息安全許可師(CAP) 注冊(cè)系統(tǒng)安全員(SSCP) 關(guān)于(ISC) (ISC)任務(wù)目標(biāo) 維護(hù)信息系統(tǒng)

2、安全領(lǐng)域的通用知識(shí)體系 為信息系統(tǒng)安全專業(yè)人士和從業(yè)者提供認(rèn)證 從事認(rèn)證考試的培訓(xùn)和對(duì)認(rèn)證考試進(jìn)行的管理 通過連續(xù)教育培訓(xùn)對(duì)有資格的認(rèn)證候選人的授權(quán)工作進(jìn)行管理(ISC)任務(wù)目標(biāo) CISSP （Certified Information Systems Security Professional)認(rèn)證，是（ISC）2為信息安全從業(yè)人員頒發(fā)的專業(yè)資格認(rèn)證，被譽(yù)為信息安全界的至高標(biāo)準(zhǔn)，并已取得美國國家標(biāo)準(zhǔn)學(xué)會(huì)（American National Standards Institute) 之有關(guān)信息安全的ISO/IEC 17024證書標(biāo)準(zhǔn)。該證書為全球?qū)I(yè)人員資格認(rèn)證標(biāo)準(zhǔn)，以確保不同范疇專業(yè)能力水平

3、，使雇主更有信心地相信他們雇用的信息安全人員，擁有所需要的技術(shù)水準(zhǔn)與經(jīng)驗(yàn)，能有效地處理及執(zhí)行企業(yè)的信息安全系統(tǒng)及政策。 CISSP認(rèn)證適合具有專業(yè)經(jīng)驗(yàn)的中層至高層經(jīng)理，負(fù)責(zé)制定信息安全政策、安全標(biāo)準(zhǔn)、程序及管理整個(gè)機(jī)構(gòu)政策推行的信息安全技術(shù)專家。關(guān)于CISSP 成為CISSP的基本要求 擁有4年或以上信息安全方面的專業(yè)經(jīng)驗(yàn) 通過6小時(shí)設(shè)有250條選擇題的嚴(yán)格考試 同意及遵守（ISC）2的專業(yè)守則 得到另一位CISSP或相等資格的專業(yè)人事的推薦 成功獲核準(zhǔn)后亦需要達(dá)到每3年共120分CPE（持續(xù)教育積分的要求，并繳付年費(fèi)（AMF） 未擁有足夠?qū)I(yè)經(jīng)驗(yàn)的信息安全從業(yè)人員，亦可以通過相同的考試后成為

4、（ISC）2的Associate（準(zhǔn)成員準(zhǔn)成員，5年內(nèi)累積足夠的專業(yè)經(jīng)驗(yàn)，得到審核及推薦后正式成為CISSP 而資深的CISSP擁有信息安全產(chǎn)業(yè)架構(gòu)或管理的經(jīng)驗(yàn)，亦可通過考試成為（ISC）2的資深成員CISSP-ISSAP，ISSEP及ISSMP成為CISSP的基本要求 考試 CISSP考試6個(gè)小時(shí) 250選擇題 70分以上才能通過 只有225道題記分，25道調(diào)查題考試要求 CISSP認(rèn)證適合的人員 企業(yè)信息安全主管 信息安全業(yè)內(nèi)人士 IT或安全顧問人員 IT審計(jì)人員 安全設(shè)備廠商或服務(wù)提供商 信息安全類講師或培訓(xùn)人員 信息安全事件調(diào)查人員 其他從事與信息安全相關(guān)工作的人員（如系統(tǒng)管理員、程序

5、員、保安人員等）適合的人員 (ISC)2職業(yè)守則-Code of Ethics 保護(hù)社會(huì)、全體國民和國家基礎(chǔ)設(shè)施 Protect society,the commonwealth,and the infrastructure 誠實(shí)、正直、公正、合理和合法的行為 Act honorably,honestly,justly,responsibly,and legally 對(duì)雇主提供勤勉和勝任的服務(wù) Provide diligent and competent service to principals 發(fā)展和維護(hù)專家身份和榮譽(yù) Advance and protect the profession(

6、ISC)2職業(yè)守則CISSP考試注冊(cè) 在線報(bào)名 /certification-register-now.aspx 離線報(bào)名報(bào)名方式在線注冊(cè)在線注冊(cè)在線注冊(cè)在線注冊(cè)在線注冊(cè)在線注冊(cè)在線注冊(cè)在線注冊(cè)在線注冊(cè)在線注冊(cè)在線注冊(cè)在線注冊(cè)在線注冊(cè)在線注冊(cè)在線注冊(cè)CISSP機(jī)考實(shí)戰(zhàn)身份證明雙重身份證明機(jī)考輔助工具注意事項(xiàng) 注意事項(xiàng) 可帶食物的（咖啡、紅牛、牛肉、士力架），鎖在柜子里，不能帶進(jìn)考場(chǎng)，外出走廊飲食； 洗手間，寫字樓公共，無陪同人員，口頭要求不允許出樓層； 中場(chǎng)休息，不限休息時(shí)間及次數(shù)，但所有休息時(shí)間計(jì)在考試時(shí)間內(nèi)；文曲星or字典機(jī)考小工具 機(jī)考小工具 計(jì)算器

7、 寫字本 題目標(biāo)記flag，右上角 在答題時(shí)存在疑問的題可進(jìn)行標(biāo)記，右上角，答題后如自己不取消標(biāo)記符號(hào)，此標(biāo)記依然保留；答題注意事項(xiàng) 答題注意事項(xiàng) 最后一題答完后，直接進(jìn)入題目總覽頁面，有多種方式進(jìn)行檢查： 1、 Review uncomplete，檢查未應(yīng)答題目； 2、 Review flag：只檢查標(biāo)記（flag）題目 3、 Review all：依次順序檢查所有題目；End View End View 如果確定已經(jīng)完成答題，請(qǐng)點(diǎn)擊Review界面左下角的End Review，系統(tǒng)會(huì)提示2遍是否確認(rèn)提交，點(diǎn)擊“YES”提交，反之“No”； 提交后系統(tǒng)提示答題完成，請(qǐng)到考場(chǎng)外領(lǐng)取成績(jī)單。現(xiàn)場(chǎng)

8、成績(jī)單CISSP備考相關(guān)Ten Domains 訪問控制（Access Control System and Methodology） 訪問控制的功能和分類 身份識(shí)別與認(rèn)證技術(shù)：口令、一次性口令、生物識(shí)別、SSO等 訪問控制技術(shù)，MAC、DAC、基于角色AC等 訪問控制模型：狀態(tài)機(jī)模型，BLP模型，Biba模型等 訪問控制實(shí)施方法：集中式與分散式 訪問控制管理：賬號(hào)管理，權(quán)限管理，跟蹤審計(jì) 攻擊手段：口令攻擊，拒絕服務(wù)，欺騙攻擊 入侵檢測(cè)，HIDS和NIDS 滲透測(cè)試知識(shí)域 電信與網(wǎng)絡(luò)安全（Telecommunications, Network, and Internet Security）

9、開放系統(tǒng)互連參考模型 網(wǎng)絡(luò)通信基礎(chǔ) 物理連接技術(shù)與特性，重要的電纜類型 局域網(wǎng)技術(shù)：傳輸方式，介質(zhì)訪問控制方式，拓?fù)?，設(shè)備 廣域網(wǎng)技術(shù)：鏈路類型，廣域網(wǎng)交換，協(xié)議，設(shè)備 網(wǎng)絡(luò)通信協(xié)議：TCP/IP，隧道技術(shù) 遠(yuǎn)程訪問安全與管理 網(wǎng)絡(luò)傳輸數(shù)據(jù)的安全保護(hù)：防火墻、IDS等 容錯(cuò)和數(shù)據(jù)恢復(fù) 網(wǎng)絡(luò)攻擊手段與對(duì)策知識(shí)域 安全管理實(shí)踐（Security Management Practices） 什么是信息？什么是信息安全？信息安全管理和計(jì)劃 信息安全CIA目標(biāo)，重要的概念 風(fēng)險(xiǎn)管理概念和關(guān)系模型，定量和定性風(fēng)險(xiǎn)評(píng)估，風(fēng)險(xiǎn)消減和處理 安全策略、標(biāo)準(zhǔn)、指南和程序 安全管理角色和責(zé)任 數(shù)據(jù)分類 雇用策略和實(shí)務(wù)

10、 安全意識(shí)（認(rèn)知）、培訓(xùn)和教育知識(shí)域知識(shí)域 密碼學(xué)（Cryptography） 密碼學(xué)的定義、作用和應(yīng)用 密碼學(xué)的發(fā)展歷史 密碼學(xué)的方法：流密碼、對(duì)稱算法、非對(duì)稱算法等 消息完整性，散列函數(shù)，數(shù)字簽名 公鑰基礎(chǔ)設(shè)施PKI，CA證書 密鑰管理：生成、交換、撤銷、恢復(fù) Email安全 各種應(yīng)用于Internet的安全標(biāo)準(zhǔn)和協(xié)議 密碼分析學(xué)和攻擊手段 政府介入，密鑰托管知識(shí)域 操作安全（Operations Security） Due diligence 控制措施的類型：預(yù)防性，檢測(cè)性和糾正性 管理手段：責(zé)任分離，工作輪換，最小特權(quán)等 常見的IT任務(wù)：計(jì)算機(jī)操作，生產(chǎn)調(diào)度，磁帶庫，系統(tǒng)安全等 日常審

11、計(jì)和監(jiān)督 防病毒管理 變更管理，備份和介質(zhì)處理 事件處理 常見的攻擊手段，道德黑客知識(shí)域 安全體系結(jié)構(gòu)和模型（Security Architecture and Models） 安全保護(hù)機(jī)制：分層、抽象和數(shù)據(jù)隱藏 計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)，硬件和軟件 安全控制的概念，TCB，RM，安全內(nèi)核，最小特權(quán)，責(zé)任分離 安全模型：訪問控制模型，信息流模型，完整性模型等 系統(tǒng)評(píng)估標(biāo)準(zhǔn)：TCSEC、ITSEC、CC IPSec知識(shí)域 應(yīng)用開發(fā)安全（Application Development Security） 應(yīng)用系統(tǒng)存在的一些問題 數(shù)據(jù)庫和數(shù)據(jù)倉庫的安全性，軟件面臨的攻擊 數(shù)據(jù)/信息存儲(chǔ)時(shí)的安全考慮 基于知識(shí)的

12、系統(tǒng)：專家系統(tǒng)和神經(jīng)網(wǎng)絡(luò) 系統(tǒng)開發(fā)控制：在系統(tǒng)開發(fā)生命周期內(nèi)考慮到安全措施 關(guān)于惡意代碼的討論 各種針對(duì)應(yīng)用的攻擊手段知識(shí)域 業(yè)務(wù)連續(xù)性計(jì)劃（Business Continuity Planning） BCP和DRP的概念 計(jì)劃制定過程 業(yè)務(wù)影響分析（BIA） 選擇應(yīng)急計(jì)劃策略 備份方案的選擇 應(yīng)急計(jì)劃人員的選擇和責(zé)任 應(yīng)急計(jì)劃的內(nèi)容 應(yīng)急計(jì)劃測(cè)試 應(yīng)急計(jì)劃培訓(xùn)知識(shí)域 物理安全（Physical Security） 基本的控制措施：管理性，技術(shù)性和物理性 物理安全弱點(diǎn)和風(fēng)險(xiǎn) 安全設(shè)施的選擇、構(gòu)建和維護(hù) 磁帶和介質(zhì)庫保護(hù)策略 文檔（硬拷貝）庫 垃圾處理 物理入侵檢測(cè)知識(shí)域 法律、調(diào)查和道德（Law, Investigations, and Ethics） 基本法律類型 關(guān)于計(jì)算機(jī)犯罪的討論 計(jì)算機(jī)安全事件 調(diào)查取證，可信性和權(quán)威性，最佳證據(jù)規(guī)則，證據(jù)鏈 計(jì)算機(jī)辨析學(xué) 計(jì)算機(jī)道德知識(shí)域 操作安全（Operations Security） Due diligence 控制措施的類型