CISSP认证考试CBK知识点变更分析

来源：汇哲科技

(ISC)²官方 CISSP知识域更新情况，根据国外主要安全媒体报道：http://itsecuritynews.info/2015/01/20/ramp-with-5-levels-cissp-update/  ，我们做了具体分析，希望能帮助到正在准备CISSP考试的小伙伴们。具体内容分析如下：

背景

如果你正在计划或准备顺利通过CISSP认证，而CISSP认证考试正经历一个知识覆盖面的修改，那将是很头痛的一件事。在2011年底到2012年初的时候我们众多CISSP学员就经历过一次这样的事情，那个时候知识章节发生了变化并且考试方式也改革为机考。

目前，(ISC)2（国际信息系统安全认证协会）刚刚宣布对章节和知识体（CBK）的增强，CISSP（国际注册信息系统安全专家）将在2015年4月15日发生变化。CISSP认证常常被称作一英里宽、一英寸深。为了了解更新的继承与变化，可以首先了解CISSP每个时期覆盖的知识领域，然后找到最近这次变化方法的思路。因此我们将用以下内容来分析变化，为更好的准备这一次即将到来的考试更行。

考试形式

保持不变，目前的情况是考试包含250题。其中有25道题没有分数的，因为这些都是实验性的。及格分数是700分（1000分是满分，每一题有不同的权重）。参加考试的人要求6个小时完成它，但是你中间可以去休息（注意，休息期间时钟不停止）。机考为目前主要的考试方式，可以确保5周你将获取成绩。但是有特定的情况下也可能有纸考。考生将会被提前通知，他们正在采取哪种考试。考试不允许翻书。CISSP认证有效期为三年，必须通过继续教育学分维护它“3年总共120个CPE学分，每年最少20个CPE学分”。

旧知识域

1. 访问控

•文件权限术语和概念

•程序权限以及如何限制或扩大程序的能力

•访问控制方法

•在各种环境下的权限管理

•攻击，如提权和有效权限

2. 通信和网络安全

•网络安全架构

•网络协议和端口

•网络模型，如OSI

•怎样保护网络安全物理组件

•怎样创建网络安全连接

•基于网络的攻击，如DDOS

3. 信息安全治理和风险管理

•业务目标一致的安全实践

•法律术语，如应尽职责

•使用安全框架去简化和标准化安全策略

4. 软件开发安全

•SDLC的使用和整个开发过程中的安全

•攻击，如缓冲区溢出和固件编码后门

•审计开发实践

5. 密码学

•在存储和传输中保护数据安全

•密码学的概念和模式，如PKI（公钥基础设施）

•不可抵赖性

•隐藏数据的方法，如速记中隐藏数据

6. 安全架构和设计

•CIA三要素（保密性，完整性和可用性）

•使用硬件来防止攻击

•了解如何找到系统漏洞

•防御纵深

7. 操作安全

•最小需知和最小特权的概念

•职责分离

•事件响应

•对未知攻击的主动防御

8. 业务连续性& 灾难恢复计划

•应急响应

•建立业务连续性流程

•备份策略和实现

•故障安全需求

9. 法律，法规，调查和合规

•计算机犯罪及相关规定

•国际贸易中的禁止项目

•道德问题

•监管链

•数字取证

10. 物理（环境）安全

•站点的设计和周边安全

•内部设施安全

•相关物理安全设施的优势和弱点

•意识培训

2015年官方CISSP更新后知识域分布

A-安全和风险管理

• · 6：CIA三要素（保密性，完整性，可用性）
• · 9：合规
• · 9：计算机犯罪及相关规定
• · 9：道德
• · 3：风险评估
• · 8：业务连续性
• · 增加：威胁建模

B-资产安全

• · 1：数据分类
• · 1：文件权限术语和概念
• · 5：保护存储数据和传输数据的安全
• · 1：访问控制方法
• · 1：在各种环境管理权限
• · 1：攻击方式如提权和有效权限

C-安全工程

• · 4：安全设计原则
• · 5：加密的优势，弱点和攻击
• · 增加：DRM（数字版权管理）
• · 5：不可抵赖性
• · 10：站点安全和设计
• · 10：热和冷站的优势和弱点

D-通信与网络安全

• · 2：网络基础设施概念
• · 2：OSI模型
• · 增加：无线安全模式
• · 2：网络硬件安全配置
• · 2：通信安全
• · 2：网络攻击和防御

E-身份和访问管理

• · 1：访问控制：物理和逻辑
• · 1：访问控制方法
• · 1：身份识别和管理

F-安全评估和测试

• · 增加：漏洞评估和渗透测试
• · 增加：日志管理
• · 9：内部和第三方审计
• · 增加：模拟攻击场景
• · 增加：用户培训和意识

G-安全运营

• · 9：监管链
• · 7：文档化
• · 9：调查的要求
• · 增加：入侵检测/防御
• · 增加：数据渗漏
• · 8：灾难恢复
• · 8：事件管理
• · 8：业务连续性

H-软件开发安全

• · 4：安全开发方法
• · 4：整个过程SDLC和安全的用法
• · 4：攻击，如缓冲区溢出和固件编码后门
• · 4：审计开发实践
• · 增加：评估购买的软件