Skip to content

小王同学CISSP备考笔记

时间:2023年2月20日 星期一

作者:小王

直接上干货

备考心态,我是CISO首席信息安全官,我要指挥手下人干活

一、考试信息

image-20230215105944150

二、试题信息

下图为8个域考试内容权重,重点内容:安全与风险管理资产安全身份和访问安全安全运营

image-20230215110010559

三、各域主要知识点

域一:安全与风险管理

image-20230215110233383

image-20230215110305555

域二:资产安全

image-20230215110340033

域三:安全架构与工程

image-20230215110430689

image-20230215110444415

域四:通信与网络安全

image-20230215110529462

域五:身份识别访问管理

image-20230215110604986

域六:安全评估与测试

image-20230215110636280

域七:安全运营

image-20230215110708308

image-20230215110735156

域八:软件开发安全

image-20230215110812956

四、参考书籍

OSG9、AIO、CBK

五、做题

官方练习册V3→突击模拟→考前冲刺

考试难度介于突击模拟与考前冲刺之间

一道题一分半

六、考试流程

  1. 注册VUE账户,支付考试费749刀
  2. 预约考点:北京、上海、广州、沈阳、西安、济南
  3. 携带材料:身份证+护照/信用卡(不用招行
  4. 考试(注意:尽量做满5小时+、考题无法回退)
  5. 背书:注册ISC账号,需要本科工作4年
  6. 缴AMF会费拿证:125刀/年

七、各域知识点大类

域一 安全与风险管理

  1. 理解和应用安全概念
  2. 评估和应用安全治理原则
  3. 管理安全功能
  4. 安全制度类型
  5. 威胁建模
  6. 供应链风险管理
  7. 人员安全策略和程序
  8. 理解和应用风险管理
  9. 社会工程
  10. 安全意识、培训和教育
  11. 项目范围和计划
  12. 业务影响分析
  13. 连续性计划
  14. 计划批准和实施
  15. 法律类型
  16. 计算机犯罪
  17. 知识产权
  18. 许可
  19. 进出口
  20. 隐私
  21. 合规

域二 资产安全

  1. 定义敏感数据
  2. 定义数据分类
  3. 定义资产分类
  4. 理解数据状态
  5. 确定合规性要求
  6. 确定数据安全控制

域三 安全架构与工程

  1. 密码学的目标
  2. 密码学概念
  3. 密码数学
  4. 密码
  5. 对称加密算法
  6. 非对称加密算法
  7. 哈希函数
  8. 数字签名
  9. 公钥基础设施
  10. 便携设备
  11. 电子邮件
  12. web应用程序
  13. 隐写术
  14. 网络
  15. 新兴应用
  16. 分析攻击
  17. 实施攻击
  18. 统计攻击
  19. 爆破攻击
  20. 故障注入
  21. 侧信道攻击
  22. 时间攻击
  23. 频率分析和唯密文攻击
  24. 已知明文攻击
  25. 选定明文攻击
  26. 选定密文攻击
  27. 中间相遇攻击
  28. 中间人攻击
  29. 生日攻击
  30. 重放攻击
  31. 对象和主体
  32. 封闭和开放系统
  33. 安全缺省
  34. 故障安全
  35. 保持简单
  36. 零信任
  37. 涉及隐私
  38. 信任但验证
  39. 确保CIA的技术
  40. 描述对象安全属性的方法
  41. 可信计算基础
  42. 状态机模型
  43. 信息流模型
  44. 非干扰模型
  45. 组合理论
  46. Take-Grant模型
  47. 访问控制矩阵
  48. Bell-LaPadula模型
  49. Biba模型
  50. BL和Biba模型组合记忆
  51. Clark-Wilson模型
  52. Brewer and Nash模型
  53. Goguen-Meseguer模型
  54. Sutherland 模型
  55. Graham-Denning模型
  56. Harrison–Ruzzo–Ullman模型
  57. 通用准则
  58. 授权运营
  59. 硬件及固件
  60. 客户端及服务器系统
  61. 嵌入式设备相关技术
  62. 虚拟化技术发展
  63. 移动设备
  64. 常见安全体系架构缺陷和问题
  65. 站点和实施设计
  66. 站点和实施控制
  67. 实施和管理物理安全

域四 通信与网络安全

  1. 模型对比
  2. 封装、解封装
  3. 分析网络流量
  4. 常见应用层协议
  5. 传输层协议
  6. 域名系统
  7. IP网络
  8. ARP
  9. 多层封装
  10. 微隔离
  11. 无线网络标准
  12. 无线部署模式
  13. 保护SSID
  14. 无线信道
  15. 实地调查
  16. 无线安全标准
  17. 无线安全机制
  18. 通用WiFi安全程序
  19. 无线天线管理
  20. 无线通信
  21. 无线攻击
  22. 其他通信协议
  23. 网络架构
  24. 通用网络设备
  25. 网络准入系统(NAC)
  26. 防火墙
  27. 终端安全
  28. 传输介质
  29. 网络拓扑
  30. 以太网
  31. 以太网技术子集
  32. 协议安全机制
  33. 安全语音通信
  34. 远程访问安全管理
  35. 多媒体协作
  36. 负载均衡
  37. 管理邮件安全
  38. 虚拟专用网
  39. 交换机和虚拟局域网
  40. 网络地址转换
  41. 第三方连接
  42. 交换技术
  43. 广域网技术
  44. 光纤链路
  45. 安全控制特征
  46. 阻止和缓解网络攻击

域五 身份与访问管理

  1. 控制物理和逻辑访问
  2. CIA与访问控制
  3. 主体和客体的区别
  4. 身份的注册、证明和建立
  5. 授权和可问责性
  6. 身份验证因素概要
  7. 你知道什么
  8. 你有什么
  9. 你是什么
  10. 多因素身份验证
  11. 无密码身份验证
  12. 设备身份验证
  13. 服务身份验证
  14. 双向身份验证
  15. 单点登录(SSO)
  16. SSO和联合身份
  17. 凭据管理系统
  18. 凭据管理应用程序
  19. 脚本访问
  20. 会化管理
  21. 管理身份和访问配置生命周期
  22. 比较权限、权力和特权
  23. 理解授权机制
  24. 使用安全策略定义需求
  25. 自主访问控制(DAC)
  26. 非自主访问控制
  27. 在互联网实施SSO
  28. 在内部网络实施SSO
  29. 常见访问控制攻击
  30. 核心保护方法

域六 安全评估与测试

  1. 安全测试
  2. 安全评估
  3. 安全审计
  4. 漏洞描述
  5. 漏洞扫描
  6. 渗透测试
  7. 合规检查
  8. 代码审查和测试
  9. 借口测试
  10. 误用案例测试
  11. 测试覆盖率
  12. 网站监测
  13. 日志审查
  14. 账户管理
  15. 灾难恢复和业务连续性
  16. 培训和意识
  17. 关键绩效和风险指标

域七 安全运营

  1. 知其所需
  2. 最小特权
  3. 指责分离
  4. 双人控制
  5. 拆分知识
  6. 岗位轮换
  7. 强制休假
  8. 特权账户管理
  9. 服务水平协议
  10. 胁迫
  11. 出差
  12. 应急管理
  13. 安全培训和意识
  14. 信息和资产所有权
  15. 资产管理
  16. 介质管理
  17. 介质保护技术
  18. 云服务概念
  19. 云服务模型中的共享责任
  20. 可扩展性和弹性
  21. 配置
  22. 基线
  23. 使用镜像创建基线
  24. 自动化
  25. 变更管理流程
  26. 版本控制
  27. 配置文档
  28. 系统管理
  29. 补丁管理
  30. 漏洞管理
  31. 漏洞扫描
  32. 常见漏洞和暴露
  33. 定义事故
  34. 事故管理步骤
  35. 基本预防性措施
  36. 理解攻击
  37. 入侵检测盒防御系统
  38. 具体预防措施
  39. 日志记录技术
  40. 监控的作用
  41. 监控技术
  42. 日志管理
  43. 出口监控
  44. 理解安全编排自动化与响应(SOAR)
  45. 机器学习和人工智能工具
  46. 威胁情报
  47. 技术整合
  48. 灾难的本质
  49. 理解系统恢复、高可用性和容错
  50. 恢复策略
  51. 恢复计划的开发
  52. 培训、意识和文档话
  53. 测试与维护
  54. 调查类型
  55. 电子发现
  56. 证据
  57. 调查过程
  58. 计算机犯罪的主要类型
  59. 道德

域八 软件开发安全

  1. 软件开发
  2. 系统开发生命周期
  3. 生命周期模型
  4. 甘特图和PERT
  5. 变更和配置管理
  6. DevOps方法
  7. 应用程序编程接口
  8. 软件测试
  9. 代码仓库
  10. 服务水平协议
  11. 第三方软件购置
  12. 数据库管理系统架构
  13. 数据库事务
  14. 多级数据库安全
  15. 开放数据库连接
  16. NoSQL
  17. 存储器威胁
  18. 专家系统
  19. 机器学习
  20. 神经网络
  21. 恶意代码来源
  22. 病毒
  23. 逻辑炸弹
  24. 特洛伊木马
  25. 蠕虫
  26. 间谍软件和广告软件
  27. 勒索软件
  28. 恶意脚本
  29. 0day攻击
  30. 易受恶意软件攻击的平台
  31. 反恶意软件
  32. 完整性监控
  33. 高级威胁保护
  34. 应用程序攻击
  35. 注入漏洞
  36. 利用授权漏洞
  37. 利用web应用程序漏洞
  38. 应用程序安全控制
  39. 安全编码实践