CISSP认证考试CBK知识点变更分析

来源:汇哲科技

(ISC)²官方 CISSP知识域更新情况,根据国外主要安全媒体报道:http://itsecuritynews.info/2015/01/20/ramp-with-5-levels-cissp-update/  ,我们做了具体分析,希望能帮助到正在准备CISSP考试的小伙伴们。具体内容分析如下:

背景

如果你正在计划或准备顺利通过CISSP认证,而CISSP认证考试正经历一个知识覆盖面的修改,那将是很头痛的一件事。在2011年底到2012年初的时候我们众多CISSP学员就经历过一次这样的事情,那个时候知识章节发生了变化并且考试方式也改革为机考。

目前,(ISC)2(国际信息系统安全认证协会)刚刚宣布对章节和知识体(CBK)的增强,CISSP(国际注册信息系统安全专家)将在2015年4月15日发生变化。CISSP认证常常被称作一英里宽、一英寸深。为了了解更新的继承与变化,可以首先了解CISSP每个时期覆盖的知识领域,然后找到最近这次变化方法的思路。因此我们将用以下内容来分析变化,为更好的准备这一次即将到来的考试更行。

考试形式

保持不变,目前的情况是考试包含250题。其中有25道题没有分数的,因为这些都是实验性的。及格分数是700分(1000分是满分,每一题有不同的权重)。参加考试的人要求6个小时完成它,但是你中间可以去休息(注意,休息期间时钟不停止)。机考为目前主要的考试方式,可以确保5周你将获取成绩。但是有特定的情况下也可能有纸考。考生将会被提前通知,他们正在采取哪种考试。考试不允许翻书。CISSP认证有效期为三年,必须通过继续教育学分维护它“3年总共120个CPE学分,每年最少20个CPE学分”。

旧知识域

1. 访问控

•文件权限术语和概念

•程序权限以及如何限制或扩大程序的能力

•访问控制方法

•在各种环境下的权限管理

•攻击,如提权和有效权限

2. 通信和网络安全

•网络安全架构

•网络协议和端口

•网络模型,如OSI

•怎样保护网络安全物理组件

•怎样创建网络安全连接

•基于网络的攻击,如DDOS

3. 信息安全治理和风险管理

•业务目标一致的安全实践

•法律术语,如应尽职责

•使用安全框架去简化和标准化安全策略

4. 软件开发安全

•SDLC的使用和整个开发过程中的安全

•攻击,如缓冲区溢出和固件编码后门

•审计开发实践

5. 密码学

•在存储和传输中保护数据安全

•密码学的概念和模式,如PKI(公钥基础设施)

•不可抵赖性

•隐藏数据的方法,如速记中隐藏数据

6. 安全架构和设计

•CIA三要素(保密性,完整性和可用性)

•使用硬件来防止攻击

•了解如何找到系统漏洞

•防御纵深

7. 操作安全

•最小需知和最小特权的概念

•职责分离

•事件响应

•对未知攻击的主动防御

8. 业务连续性& 灾难恢复计划

•应急响应

•建立业务连续性流程

•备份策略和实现

•故障安全需求

9. 法律,法规,调查和合规

•计算机犯罪及相关规定

•国际贸易中的禁止项目

•道德问题

•监管链

•数字取证

10. 物理(环境)安全

•站点的设计和周边安全

•内部设施安全

•相关物理安全设施的优势和弱点

•意识培训

2015年官方CISSP更新后知识域分布

A-安全和风险管理

  • · 6:CIA三要素(保密性,完整性,可用性)
  • · 9:合规
  • · 9:计算机犯罪及相关规定
  • · 9:道德
  • · 3:风险评估
  • · 8:业务连续性
  • · 增加:威胁建模

B-资产安全

  • · 1:数据分类
  • · 1:文件权限术语和概念
  • · 5:保护存储数据和传输数据的安全
  • · 1:访问控制方法
  • · 1:在各种环境管理权限
  • · 1:攻击方式如提权和有效权限

C-安全工程

  • · 4:安全设计原则
  • · 5:加密的优势,弱点和攻击
  • · 增加:DRM(数字版权管理)
  • · 5:不可抵赖性
  • · 10:站点安全和设计
  • · 10:热和冷站的优势和弱点

D-通信与网络安全

  • · 2:网络基础设施概念
  • · 2:OSI模型
  • · 增加:无线安全模式
  • · 2:网络硬件安全配置
  • · 2:通信安全
  • · 2:网络攻击和防御

E-身份和访问管理

  • · 1:访问控制:物理和逻辑
  • · 1:访问控制方法
  • · 1:身份识别和管理

F-安全评估和测试

  • · 增加:漏洞评估和渗透测试
  • · 增加:日志管理
  • · 9:内部和第三方审计
  • · 增加:模拟攻击场景
  • · 增加:用户培训和意识

G-安全运营

  • · 9:监管链
  • · 7:文档化
  • · 9:调查的要求
  • · 增加:入侵检测/防御
  • · 增加:数据渗漏
  • · 8:灾难恢复
  • · 8:事件管理
  • · 8:业务连续性

H-软件开发安全

  • · 4:安全开发方法
  • · 4:整个过程SDLC和安全的用法
  • · 4:攻击,如缓冲区溢出和固件编码后门
  • · 4:审计开发实践
  • · 增加:评估购买的软件
时间: 2024-10-28 11:05:25

CISSP认证考试CBK知识点变更分析的相关文章

CISSP中文认证考试说明

2013年3月起,CISSP考试已发布中文,考生可在考试时选择Chinese Simplified(中文简体),并到任意个pearsonvue参加考试.中文考试界面为中英文对照模式(在同一页面,屏幕左右分别显示中文及英文),所以考生不必太担心翻译问题!考试每个月都有很多场,但是每场考试能报名的考生仅几名.由于近期问到中文考试报名等相关情况,现简单给大家说下从报考-复习-申请-维持的CISSP成长之路吧~(*^__^*) 关于考试报名:关于报名考试方法:到www.pearsonvue.com网站直

难忘战斗岁月————PMP认证考试总结

难忘战斗岁月 ----PMP认证考试总结 工作多年,一直不忘大学导师的那番语重心长的教训,也曾在几个很好的上司手下工作过,深知当代职场有如逆水行舟.记得一句说话,"不断战斗的人是不会腐坏的".于是我选择了PMP认证这场战斗.考取证书并不是目的,而只是一个手段.重要的是在备考的过程中,能够学到更多有利于工作的知识,并且最终应用到工作去.只有这样才得以在当今职场洪流中,逆流而上. 闲话表过,说说我参加培训和备考的过程.说起来,确实是一种缘分,去年秋天刚到深圳的我,仅凭模糊的印象,搜索&qu

CISSP认证历程分享

认证背景 先分享下我个人选择考取安全认证的原由吧,关注安全认证有几年时间了,但由于工作原因一直未能抽出时间(忙成狗)来备考(给自己找了个完美的借口).各方面的原因,离开了原有工作单位,出于个人以及新单位的需求,便将考取一个权威的安全认证这件事提上了日程,主要原因有如下几个方面: 1.给予自己这几年的工作经验一个交待,同时借这个认证来包装下自己,让自己看起来能够更加秀外慧中一点(自己先这么YY下): 2.希望借助于备考的过程,完善自己的知识体系,讲得俗气一点,投资一下自己,让自己看待问题更有广度与

Security+认证考试心得分享(三)

经验: 因为从事安全方面工作,这次考试复习不太过关,吃老底比较多哈,不过通过对security+学习和考试还是了解了很多新的知识点,还是非常有益处的. 1)复习过程:课本一遍.习题册自己做一遍,习题册看老师视频讲解一遍,讲课实际上算是没有听.个人感觉课本基本上都是核心考点,老师讲课里面会包含很多拓展知识,在考试中也会遇到不少,习题册对了解考试出题方法以及常考的知识点非常有价值,所以时间充裕的同学最好这三样都要跟上,时间不太充足的至少课本和习题册要看差不多,总的来说全心投入去复习两周时间足够,拖延

分享CISSP CBT考试经验

各位前辈大家好:小弟在今年四月初通过了CISSP CBT考试,在这想跟大家分享一下准备心得与考试经验,让更多想通过考试的伙伴能对考试有更多的认识.我在2009年的10-11月份週二与週四晚间到参加汇哲开的CISSP课程,有老师系统性的介绍,让我入门的速度更快,不然有十个CBK,在日常工作是无法完全Cover的,补一个题外话,上完课没多久,我们公司不幸发生失火,此时BCP的训练就派上用场了,刚好可以验证所学与协助公司的MIS快速的回复系统资料,这也是让人意外的实务经验^ ^强烈建议刚开始准备的伙伴

华为HCNP-R&S-IERN认证考试介绍

HCNP-R&S-IERN考试内容覆盖IPv4地址规划.OSPF.IS-IS.BGP路由协议.路由的控制与选择.组播路由协议:华为路由器产品介绍和组网运用.济南博赛网络技术有限公司是山东区华为唯一官方授权培训中心.山东区唯一考试中心.济南博赛网络荣获华为2014年度十佳培训合作伙伴,成为山东区输送HCIE人数最多的地方,山东第一个HCIE就出自济南博赛网络.华为认证为技术融合背景下的ICT产业提供新的能力标准,以实现华为认证引领ICT行业技术认证,播种ICT行业未来的愿景. 知识点IP基础1.I

OCA认证考试指南(1Z0-061)Oracle Database 12c SQL 基础

这篇是计算机类的优质预售推荐<OCA认证考试指南(1Z0-061)Oracle Database 12c SQL 基础>. Oracle认证大师(OCM)最新作品,OCA认证考试官方用书,涵盖了1Z0-061考试的所有OCA目标. 内容简介 <OCA认证考试指南(1Z0-061):Oracle Database 12c SQL基础 旨在帮助读者备战Oracle Certifi ed Associate Oracle Database 12c SQL Fundamentals I考试.书中

[转]ISTQB FL初级认证考试资料(中文)

[转]ISTQB FL初级认证考试资料(中文) 2015-06-22 ISTQB作为一个专业的提供软件测试认证的机构,得到了全球软件测试人员的认可.目前中国有越来越多的人已经获得或者希望获得ISTQB的认证.本人作为ISTQB初级大纲中文版的译者之一,同时也参与了ISTQB初级认证教材<软件测试基础教程:第2版>的翻译. 本文主要包括ISTQB FL初级认证考试说明.ISTQB FL初级认证培训资料.ISTQB FL初级认证考点分析和模拟题,希望能够帮助广大考生更好的了解ISTQB FL初级认

顺利通过2014年6月PMP认证考试

从3月份开始准备,到6月28日考试,大概经历了100多天,一些收获拿出来分享一下. 一.打破经验束缚 PMBOK的知识体系和"中国特色社会主义"项目管理的一些理念还是有一定的出入的,尤其是在具体概念的深度上,中国的项目管理概念就显得有点胡子眉毛一把抓了,我甚至推荐毫无项目管理经验的人来考PMP,这样受经验影响较小,如果这类人以后能够从事项目管理工作,那我相信整个项目管理工作的氛围也会得到一定的改变和完善. 二.做好"范围管理" PMP的考试还是倾向于纯知识的管理,并