原文地址:https://www.cnblogs.com/ichunqiu/p/8343085.html
CISSP一次通過(guò)指南(文末附福利)
2017年12月19日捻爷,在上海黃浦區(qū)漢口路亞洲大廈17層通過(guò)了CISSP認(rèn)證考試,拖拉了一年南用,終于成績(jī)還算令人滿意宪拥,為攢人品將自己一年多的復(fù)習(xí)心得和大家分享,希望能夠幫到需要考證的朋友。
本文作者:i春秋簽約作家——tinyfisher (歡迎與我交流~)
先簡(jiǎn)單介紹下本人專業(yè)背景吧荒勇,本科和碩士專業(yè)都是信息安全泰佳,算得上科班出生盼砍,只是學(xué)校里的課程沒(méi)學(xué)扎實(shí),基礎(chǔ)一般逝她,畢業(yè)后在某大型金融機(jī)構(gòu)做安全浇坐,滲透、漏掃黔宛、SOC建設(shè)大概做了4年近刘,日常的工作和安全技術(shù)還是結(jié)合得比較緊密,平時(shí)也混跡在各大src臀晃,打打ctf觉渴,動(dòng)手能力還行,是廣大安全從業(yè)人員中的普通一員徽惋。
CISSP 英文全稱:“ Certified Information Systems Security Professional”案淋,中文全稱:“(ISC)2注冊(cè)信息系統(tǒng)安全專家”,由(ISC)2組織和管理险绘,是目前全球范圍內(nèi)最權(quán)威踢京,最專業(yè),最系統(tǒng)的信息安全認(rèn)證宦棺。
CISSP的含金量和認(rèn)可度還是很高的瓣距,考試費(fèi)用也不菲,599刀代咸,涉及的內(nèi)容非常廣泛旨涝,號(hào)稱安全界的“百科全書(shū)”,不過(guò)雖然涉及的范圍廣,但很多都是點(diǎn)到為止白华, “一英里寬慨默,一英寸深”,這是CISSP最大的特點(diǎn)弧腥。
為什么考CISSP厦取?用我們領(lǐng)導(dǎo)的話說(shuō),可以迅速建立起個(gè)人對(duì)安全體系的知識(shí)框架管搪,認(rèn)證+讀行業(yè)標(biāo)準(zhǔn)是最有效的方法虾攻。
決定了考CISSP之后就要盡快的解決戰(zhàn)斗,拖的時(shí)間越長(zhǎng)越對(duì)生活有影響更鲁,最好在半年內(nèi)完成復(fù)習(xí)和考試霎箍,本人這次因?yàn)榉N種原因,拖了一年澡为,深刻感受到戰(zhàn)線過(guò)長(zhǎng)的痛苦漂坏。
我的復(fù)習(xí)材料:All in One的第六版中文版+OSG官方學(xué)習(xí)指南中文版+官方習(xí)題英文版
165938ugtnznf07kn100t0.png.thumb.jpg
All in one前前后后看了3遍,OSG看了2遍媒至,這兩本教材內(nèi)容基本差不太多顶别,all in one講的比較細(xì),比較啰嗦拒啰,OSG和考綱結(jié)合得比較緊驯绎,內(nèi)容也比較緊湊,建議大家直接看OSG即可谋旦,但務(wù)必要多讀幾遍剩失,對(duì)書(shū)中的知識(shí)點(diǎn)都要弄懂。
CISSP現(xiàn)在最新的考綱包括8個(gè)CBK:
?安全與風(fēng)險(xiǎn)管理 (安全册着、風(fēng)險(xiǎn)赴叹、合規(guī)、法律指蚜、法規(guī)乞巧、業(yè)務(wù)連續(xù)性)
?資產(chǎn)安全 (保護(hù)資產(chǎn)的安全性)
?安全工程 (安全工程與管理)
?通信與網(wǎng)絡(luò)安全 (設(shè)計(jì)和保護(hù)網(wǎng)絡(luò)安全 )
?身份與訪問(wèn)管理 (訪問(wèn)控制和身份管理 )
?安全評(píng)估與測(cè)試 (設(shè)計(jì)、執(zhí)行和分析安全測(cè)試)
?安全運(yùn)營(yíng) (基本概念摊鸡、調(diào)查绽媒、事件管理、災(zāi)難恢復(fù))
?軟件開(kāi)發(fā)安全 (理解免猾、應(yīng)用是辕、和實(shí)施軟件安全)
之所以稱之為安全界的“百科全書(shū)”,是因?yàn)樯鲜?個(gè)領(lǐng)域基本涵蓋了安全工作中的所有方面猎提,個(gè)人在安全評(píng)估與測(cè)試获三、安全運(yùn)營(yíng)這兩個(gè)領(lǐng)域有一些實(shí)際的經(jīng)驗(yàn),其他的領(lǐng)域接觸得還不深,所以在復(fù)習(xí)的時(shí)候疙教,針對(duì)不熟悉的領(lǐng)域花更多的時(shí)間去理解棺聊,不懂的多去百度,有的時(shí)候百度講的比教材里更清楚贞谓。一定要做筆記限佩,不然書(shū)中很多看完就忘了,做筆記可以加深印象裸弦。如果有錢(qián)祟同,還可以去報(bào)輔導(dǎo)班,讓輔導(dǎo)老師給你先拎一下復(fù)習(xí)大綱理疙。
書(shū)看完之后可能沒(méi)有什么感覺(jué)晕城,一定要做題,僅僅做書(shū)中每個(gè)章節(jié)的習(xí)題是不夠的窖贤,all in one的習(xí)題比較難砖顷,OSG的習(xí)題比較簡(jiǎn)單,建議大家還是做官方的習(xí)題集主之,畢竟是官方出的習(xí)題,應(yīng)該是和考試最接近的材料了李根,不過(guò)現(xiàn)在只有英文版的槽奕,對(duì)于英語(yǔ)一般的朋友可能做起來(lái)比較吃力房轿,加之之前看的中文版,很多專有術(shù)語(yǔ)都得和英文對(duì)上囱持,我在做題的時(shí)候也是比較痛苦。官方習(xí)題里面很多題目是把官方教材里的某句話的內(nèi)容扣掉纷妆,讓你選擇盔几,所以做題加看書(shū)能夠起到很到的看書(shū)效果。
由于CISSP設(shè)計(jì)的內(nèi)容十分廣泛掩幢,篇幅原因逊拍,本文無(wú)法對(duì)書(shū)中所有細(xì)節(jié)進(jìn)行描述,這里挑一些臣柿冢考的內(nèi)容進(jìn)行分享:
1芯丧、安全的主要目的和目標(biāo)就是CIA三要素/三元組(必考)
①機(jī)密性(Confidentiality):機(jī)密性是指因?yàn)楣ぷ餍枰L問(wèn)敏感資源。機(jī)密性通常通過(guò)最小權(quán)限原則來(lái)實(shí)現(xiàn)世曾。安全架構(gòu)師使用數(shù)據(jù)分類缨恒、訪問(wèn)控制和加密來(lái)確保資源的機(jī)密性。
②完整性(Integrity ):完整性包括兩個(gè)方面,一是確保信息被正確處理且不被未授權(quán)的人修改骗露,二是保護(hù)網(wǎng)絡(luò)上傳輸?shù)男畔⒘爰选M暾钥刂瓢ㄊ聞?wù)控制、數(shù)字簽名等椒袍。
③可用性(Availability):可用性確保資源可用驼唱、系統(tǒng)正常運(yùn)行【允睿可用性的防護(hù)措施多種多樣玫恳,諸如集群、發(fā)電機(jī)优俘、備份和熱站等京办。影響可用性的威脅包括自然的、人為的災(zāi)難帆焕,還有拒絕服務(wù)攻擊等惭婿。
2、定量風(fēng)險(xiǎn)分析(必考)
用貨幣形式表示每個(gè)資產(chǎn)和威脅叶雹。雖然财饥,純粹的、精準(zhǔn)的定量分析是不可能的折晦,但還是能用的钥星。下面是定量風(fēng)險(xiǎn)分析的六個(gè)主要步驟或階段:
① 出資產(chǎn)清單并分配資產(chǎn)價(jià)值,即AV(asset value)满着;
②研究生成每個(gè)資產(chǎn)所有可能威脅的列表谦炒。為每個(gè)威脅計(jì)算暴露因子EF(exposure factor)和單一損失期望SLE(single loss expectancy),就是單損风喇。
EF也稱為潛在損失宁改,是該風(fēng)險(xiǎn)實(shí)際發(fā)生時(shí),可能損失的資產(chǎn)價(jià)值的百分比魂莫。
SLE就是該風(fēng)險(xiǎn)實(shí)際發(fā)生1次時(shí)还蹲,可能損失的資產(chǎn)價(jià)值秽誊,也就是損失多少錢(qián)琳骡。
SLE=AV×EF
③計(jì)算每種風(fēng)險(xiǎn)的年發(fā)生概率ARO(annualized rate of occurrence)。
ARO就是該風(fēng)險(xiǎn)每年可能發(fā)生幾次最易,值從0到無(wú)窮大,越大越危險(xiǎn)剔猿。如果風(fēng)險(xiǎn)每年發(fā)生很多次嬉荆,它帶來(lái)的損失可以遠(yuǎn)遠(yuǎn)超出相關(guān)資產(chǎn)的價(jià)值。
④計(jì)算每個(gè)風(fēng)險(xiǎn)的年度損失期望ALE(annualized loss expectancy)汪茧,就得到每個(gè)威脅可能的總損失舱污。
ALE=SLE×ARO
⑤研究每個(gè)威脅的對(duì)策弥虐,然后基于對(duì)策霜瘪,計(jì)算采取措施后的ARO和ALE颖对。
不管有沒(méi)有采取措施,EF是不變的布讹,也就是不管攻擊搞沒(méi)搞成训堆,反正只要搞成了坑鱼,你就會(huì)損失這么多絮缅。安防措施的目的應(yīng)是減少ARO耕魄,就不讓風(fēng)險(xiǎn)實(shí)際發(fā)生。
⑥針對(duì)每個(gè)資產(chǎn)的每個(gè)威脅的每個(gè)對(duì)策執(zhí)行成本/效益分析允扇。選擇對(duì)最適用的對(duì)策考润。
這里要先計(jì)算每個(gè)威脅采取某種防護(hù)措施的年度成本ACS(annual cost of safeguard),部署安防系統(tǒng)的價(jià)值就是:施策前的ALE—施策后的ALE—ACS唱矛,可以讓高層看到安防系統(tǒng)實(shí)現(xiàn)了多大的效益绎谦。SLE和ALE的區(qū)別要搞清楚抑胎,經(jīng)常考铭拧。
3搀菩、安全管理涉及的其它重要概念(必考)
① 份識(shí)別/標(biāo)識(shí)(identification)ID
用戶向系統(tǒng)聲稱其真實(shí)身份的方式肪跋。身份標(biāo)識(shí)是一個(gè)過(guò)程州既,主體先表明或提供自己的身份吴叶,然后認(rèn)證序臂、授權(quán),并且具備可問(wèn)責(zé)性逊彭。計(jì)算機(jī)無(wú)法區(qū)分不同的人侮叮,只能通過(guò)ID賬號(hào)來(lái)區(qū)別悼瘾。(用戶名是識(shí)別工具)
② 份認(rèn)證(authentication)鑒別
測(cè)試并認(rèn)證用戶的身份谷异。認(rèn)證或檢測(cè)所表明的身份是合法的過(guò)程歹嘹,就是身份認(rèn)證尺上。最常見(jiàn)形式是使用密碼怎抛。通過(guò)與合法身份(也就是用戶賬號(hào))數(shù)據(jù)庫(kù)中的一種或多種因素進(jìn)行比較芽淡,身份認(rèn)證能夠識(shí)別并承認(rèn)主體的身份挣菲。身份認(rèn)證和上面的身份標(biāo)識(shí)總是作為一個(gè)過(guò)程中的兩個(gè)步驟被一起使用白胀,不能分開(kāi)。(密碼哪怔、令牌都是認(rèn)證工具)
③ 配權(quán)限(authorization)授權(quán)
為用戶分配并校驗(yàn)資源訪問(wèn)權(quán)限的過(guò)程认境。確保主體獲得符合其身份級(jí)別的訪問(wèn)權(quán)限叉信。(訪問(wèn)控制列表ACL是授權(quán)工具)
④ 問(wèn)責(zé)性/可追溯性(accounting)
確認(rèn)系統(tǒng)中個(gè)人行為和活動(dòng)的能力茉盏。只有在主體的活動(dòng)可問(wèn)責(zé)時(shí),你才能夠保持安全性淹真。就是必須要檢驗(yàn)主體的身份核蘸,并跟蹤記錄其活動(dòng)。只通過(guò)密碼認(rèn)證是最不安全的祟峦,用戶可能推卸自己的過(guò)失操作行為徙鱼。
⑤ 可否認(rèn)性/抗抵賴性(undeniable)
能確認(rèn)信息發(fā)送者即創(chuàng)建者的能力袱吆。不可否認(rèn)性確保主體無(wú)法否認(rèn)其已經(jīng)發(fā)生的行為事件绞绒。不可否認(rèn)性是可問(wèn)責(zé)性不可缺少的部分,如果嫌疑人不承認(rèn)有關(guān)證據(jù)或指控喻杈,那么他的行為就無(wú)法被問(wèn)責(zé)奕塑。
4、密碼學(xué)知識(shí)(必考)
① 對(duì)稱密碼學(xué)
也稱單鑰密碼學(xué)龄砰、秘密密鑰密碼學(xué)讨衣、會(huì)話密鑰密碼學(xué)反镇、私鑰密碼學(xué)、共享密鑰密碼學(xué)
使用對(duì)稱密鑰(秘密密鑰)
數(shù)據(jù)加密標(biāo)準(zhǔn)(Data Encryption Standard歹茶, DES)
三重DES(Triple-DES夕玩,3DES)
Blowfish
國(guó)際數(shù)據(jù)加密算法(International Data Encryption Algorithm,IDEA)
RC4惊豺、RC5燎孟、RC6
高級(jí)加密標(biāo)準(zhǔn)(Advanced Encryption Standard)
② 非對(duì)稱密碼學(xué)
也稱公鑰密碼學(xué)
使用非對(duì)稱密鑰(公鑰和私鑰)
RSA(Rivest-Shamir-Adleman)
橢圓曲線密碼系統(tǒng)(Elliptic Curve Cryptosystem)
Diffie-Hellman
El Gamal
數(shù)字簽名算法(Digital Signature Algorithm)
Merkle-Hellman背包算法
CISSP考試最大的特點(diǎn)是沒(méi)題庫(kù)可以背∈粒考試?yán)锩嬷苯涌几拍詈投x的題目很少揩页。大量場(chǎng)景題,比如給你一段文字描述烹俗,說(shuō)某企業(yè)面臨了XX問(wèn)題爆侣,問(wèn)你最佳解決思路是什么萍程。如果沒(méi)有在安全行業(yè)做上幾年的經(jīng)歷,很容易被選項(xiàng)的文字迷惑茫负。還有就是大量的優(yōu)中選最優(yōu)的問(wèn)題无虚,往往四個(gè)答案都對(duì),需要選出最佳的答案,這個(gè)時(shí)候就需要把自己當(dāng)成CSO去考慮安全問(wèn)題。
考試時(shí)間6個(gè)小時(shí),大家一定要做好充分的準(zhǔn)備嫂用,巧克力往弓、紅牛缴淋、干糧、水都得帶足,中間狀態(tài)不太好的時(shí)候可以出來(lái)補(bǔ)充能量。時(shí)間一般肯定夠,所以大家不用特別著急,細(xì)心去審題咖祭,遇到有問(wèn)題的可以打個(gè)標(biāo)記跳過(guò)浩嫌,說(shuō)不定后面的題目會(huì)給你帶來(lái)做題思路糖儡。
多用排除法,有些題目可以迅速排除2個(gè)選項(xiàng),剩下的兩個(gè)自己拿捏一下,往往正確率還可以。考試現(xiàn)在有中文的,翻譯一般沒(méi)啥問(wèn)題技肩,但是有的可能還是得看一下英文雳锋,往往看完英文會(huì)更好的理解題目的意思。
考試環(huán)境一般都是可以的袋马,這次考試和我同一時(shí)間的好多都是考GMAT的學(xué)生桑谍,考試中心給我單獨(dú)安排了一個(gè)單間,還送了耳塞,考試環(huán)境很安靜,很nice票顾。
最后础浮,不要怕,不過(guò)是一個(gè)考試而已。套用到實(shí)際工作中去鸭廷,很多題不知道怎么選,我就想象放到我們公司我會(huì)怎么做漩符。
祝大家都能夠通過(guò)CISSP考試撞鹉,我的一些復(fù)習(xí)材料(考試機(jī)構(gòu)的復(fù)習(xí)題苔咪、中英文教材,思維導(dǎo)圖)放在百度云盤(pán):
https://pan.baidu.com/s/1hr3dwLu 密碼:a74r
