2015年官方CISSP认证考试CBK知识点变更分析（一）

huizhe2015

背景

如果你正在计划或准备顺利通过CISSP认证，而CISSP认证考试正经历一个知识覆盖面的修改，那将是很头痛的一件事。在2011年底到2012年初的时候我们众多CISSP学员就经历过一次这样的事情，那个时候知识章节发生了变化并且考试方式也改革为机考。

目前，(ISC)2（国际信息系统安全认证协会）刚刚宣布对章节和知识体（CBK）的增强，CISSP（国际注册信息系统安全专家）将在2015年4月15日发生变化。CISSP认证常常被称作一英里宽、一英寸深。为了了解更新的继承与变化，可以首先了解CISSP每个时期覆盖的知识领域，然后找到最近这次变化方法的思路。因此我们将用以下内容来分析变化，为更好的准备这一次即将到来的考试更行。

考试形式

保持不变，目前的情况是考试包含250题。其中有25道题没有分数的，因为这些都是实验性的。及格分数是700分（1000分是满分，每一题有不同的权重）。参加考试的人要求6个小时完成它，但是你中间可以去休息（注意，休息期间时钟不停止）。机考为目前主要的考试方式，考试结束后当场获取成绩。考试不允许翻书。CISSP认证有效期为三年，必须通过继续教育学分维护它“3年总共120个CPE学分，每年最少20个CPE学分”。

旧知识域

1.访问控

•文件权限术语和概念

•程序权限以及如何限制或扩大程序的能力

•访问控制方法

•在各种环境下的权限管理

•攻击，如提权和有效权限

2.通信和网络安全

•网络安全架构

•网络协议和端口

•网络模型，如OSI

•怎样保护网络安全物理组件

•怎样创建网络安全连接

•基于网络的攻击，如DDOS

3.信息安全治理和风险管理

•业务目标一致的安全实践

•法律术语，如应尽职责

•使用安全框架去简化和标准化安全策略

4.软件开发安全

•SDLC的使用和整个开发过程中的安全

•攻击，如缓冲区溢出和固件编码后门

•审计开发实践

5.密码学

•在存储和传输中保护数据安全

•密码学的概念和模式，如PKI（公钥基础设施）

•不可抵赖性

•隐藏数据的方法，如速记中隐藏数据

6.安全架构和设计

•CIA三要素（保密性，完整性和可用性）

•使用硬件来防止攻击

•了解如何找到系统漏洞

•防御纵深

7.操作安全

•最小需知和最小特权的概念

•职责分离

•事件响应

•对未知攻击的主动防御

8.业务连续性& 灾难恢复计划

•应急响应

•建立业务连续性流程

•备份策略和实现

•故障安全需求

9.法律，法规，调查和合规

•计算机犯罪及相关规定

•国际贸易中的禁止项目

•道德问题

•监管链

•数字取证

10.物理（环境）安全

•站点的设计和周边安全

•内部设施安全

•相关物理安全设施的优势和弱点

•意识培训

如需了解课程详情，请联系汇哲小宝

微信：spisecxiaobao

QQ:2660618168