译 者 序
(ISC)2的CISSP认证是目前世界上全面的、权威的国际化信息系统安全方面的认证,CISSP认证证书可证明证书持有者具备符合国际标准要求的信息安全知识水平和能力,提升持证专家的专业可信度,目前,CISSP认证证书已得到全球的广泛认可。在安全行业中,能否取得CISSP认证证书,已成为表明专家是否具备完善的信息安全知识体系和丰富的行业经验的佐证之一。对于立志扎根于网络安全行业的网络安全专家而言,CISSP认证应该是职业生涯中最有价值、最值得追求的职业认证之一。
《CISSP信息系统安全专家认证All-in-One(第9版)》是备考CISSP认证证书的宝典,在所有CISSP认证证书备考资料中享有极高声誉。本书内容全面、专业、通俗易懂,是一本享誉全球、畅销超过15年的安全经典教材,曾帮助包括译者团队在内的全球无数网络安全专家通过CISSP认证考试。
数字经济被誉为第四次工业革命的“钥匙”,已成为全球经济复苏的新引擎,成为国家发展新征程的助推器和国家级战略。《“十四五”数字经济发展规划》指出:2025年数字经济将进入全面扩展期,2035年数字经济将进入繁荣成熟期。数字化技术已渗透到社会生活的方方面面。新兴技术的日趋普及,对企业运营模式产生了重大影响,而2019年开始的新冠疫情,对社会生产生活方式带来了巨大影响。
近年来,随着社会数字化程度的提升,数字化安全的风险也日益突出,国内外都发生了多起网络安全和数据安全事件,导致数据泄露或服务终止。初创公司Socialarks由于ElasticSearch数据库设置错误,泄露了近400GB数据(超过3.18亿条用户记录)。美国燃油管道运营商Colonial Pipeline于2021年5月7日遭受网络犯罪团伙DarkSide的勒索软件攻击,导致该公司被迫关停其主要输油管道。而巴基斯坦国民银行(NBP)于当地时间2021年10月30日发布的一份声明称,已检测到敌对方对NBP的网络攻击。2021年10月4日,Facebook及其旗下Instagram和WhatsApp等应用程序全网宕机,停机时间近7小时。宕机期间,Facebook在欧洲、美洲和大洋洲几乎完全下线,在亚洲的日本、韩国和印度等国也无法访问。由此可见,如果没有数字安全、数据安全和网络安全技术保驾护航,数字化发展的程度越高,其背后隐藏的风险就越大。
与此同时,我国日益关注网络安全、数据安全和个人信息安全,2021年密集发布了《数据安全法》《个人信息保护法》和《关键信息基础设施安全保护条例》等一系列网络安全相关的法律法规,进一步完善了我国网络安全相关规章制度。网络安全已成为企业合规的必选项。今天,已有越来越多的组织机构将数字安全、数据安全和网络安全工作放在数字技术工作的首要位置。数字安全、数据安全和网络安全不再是数字技术工作中一个可有可无的选项,而成为不可或缺的部分;能帮助企业和机构提高数字安全防护水平的人才也日益紧俏,形成巨大的岗位需求。
本书第9版本得到全面更新,涵盖CISSP认证考试的所有八大知识域,即安全和风险管理、资产安全、安全架构与工程、通信与网络安全、身份和访问管理、安全评估与测试、安全运营、软件研发安全。本书由安全认证和培训领域的顶级专家Fernando Maymí和Shon Harris撰写,用通俗易懂的语言,介绍了安全知识体系的方方面面,并通过丰富的案例加深考生对重要知识点的理解、激发考生的阅读兴趣,帮助考生在较短时间内吸取网络安全知识体系的精髓。本书不仅是准备CISSP认证考试的首选学习指南,也是安全专家提高业务水平、拓宽职业视野及建立完整知识体系的经典书籍。全球每一名安全专家的案头都应常备本书。
在本书的译校过程中,诸位译者力求忠于原著,尽可能传达作者的原意。在此,感谢栾浩先生,正是在他的努力下,多位译者才能聚集到一起,共同完成这项工作。栾浩先生投入了大量时间和精力,组织翻译工作,把控进度和质量,没有栾浩先生的辛勤付出,翻译工作不可能如此顺利地完成。
同时,要感谢本书的审校单位北京谷安天下科技有限公司(简称“谷安天下”)。谷安天下是国内中立的网络安全与数字风险服务机构,以成就更高的社会价值为目标,专注于网络安全与数字风险管理领域的研究与实践,致力于全面提升中国企业的安全能力与风险管控能力,依靠严谨的专业团队、全方位的网络安全保障体系、良好的沟通能力,为政府部门、大型国有企业、银行保险、大型民营企业等客户提供网络安全规划、信息系统审计、数据安全咨询等以实现管理目标和数字资产价值交付为核心的,全方位、定制化的专业服务。在本书的译校过程中,谷安天下作为(ISC)2中国的OTP授权培训机构,投入了多位专家、讲师和技术人员以及大量时间支持本书译校工作,进而保证了全书的质量。
此外,感谢本书的技术支持单位上海珪梵科技有限公司(简称“上海珪梵”)。上海珪梵是一家集数字化软件技术与数字安全于一体的专业服务机构,专注于数字化软件技术和数字安全领域的研究与实践,并提供数字科技建设、数字安全规划与建设、网络安全技术支持、数据安全治理、软件项目造价、数据安全审计和信息系统审计等服务。在本书译校过程中,上海珪梵投入了多名人员以支持本书的译校工作。
最后,再次感谢清华大学出版社,感谢王军等编辑的严格把关,悉心指导。正是有了这些编辑的辛勤努力和付出,才有了本书中文译稿的出版发行。
本书涉及内容广泛,立意精深。因译者能力局限,在翻译中难免有错误或不妥之处,恳请广大考生朋友指正。
业 界 推 荐
Fernando对本书的最新更新延续了过去与Shon Harris的合作传统,分解了关键概念和技能。再次证明了本书是重要的备考资料。即便通过考试后,本书也是工作中宝贵的参考资料。
——Stefanie Keuser
CISSP,美国军官协会首席信息官
本书是通过CISSP考试所需的唯一书籍。Fernando Maymí不仅是一名作家,还是网络安全行业的领导者。Fernando的洞察力、知识和专长体现在本书的内容中。本书不仅为考生提供通过考试所需的知识,还可帮助考生在网络安全领域取得进一步的发展。
——Marc Coady
CISSP,Costco Wholesale公司合规分析师
本书是网络安全专家的必备参考资料,介绍了宝贵的实践知识,列出当今世界开展业务需要了解的日益复杂的安全概念、控制措施及最佳实践。
——Steve Zalewski
Levi Strauss公司前首席信息安全官
Shon Harris将这本经典的CISSP书籍引入安全行业,Fernando Maymí用清晰、准确和客观的行文完美传承了Shon Harris的精神,我相信Shon会对此深感欣慰和自豪。
——David R. Miller
CISSP、CCSP、GIAC GISP GSEC GISF、PCI QSA、LPT、ECSA、CEH、CWNA、CCNA、SME、MCT、MCIT Pro EA、MCSE:Security、CNE、Security+
一本经典的参考资料,内容清晰明了,对考生、教育工作者和安全专家而言,都堪称无价之宝。
—— Joe Adams博士
密歇根赛博系列创始人兼执行董事
本书由安全领域的两位大师Maymí和Shon撰写,内容通俗易懂,极具启发性,将一幅网络安全的全景图在考生面前徐徐展开。
——Greg Conti博士
Kopidion公司创始人
多么希望在职业生涯早期就能阅读到本书!不可否认,本书是助我通过CISSP考试的唯一工具。更重要的是,本书传授了许多我以前完全不了解的安全知识。从本书中学到的知识将在今后多年对我的职业生涯起到帮助作用。非常棒的书籍!
——Janet Robinson
首席安全官
作 者 简 介
Fernando Maymí博士,CISSP持证专家,是拥有超过 25 年经验的安全从业者。Fernando目前是IronNet Cybersecurity的培训副总裁,除了为公司、合作伙伴和客户培养网络人才外,还领导团队提供战略咨询、安全评估、红队和网络安全演习。Fernando曾在人工智能和网络安全交叉领域领导高级研发项目,为美国陆军的战略网络安全问题建立了智囊团,并在西点军校任教超过12年。Fernando与Shon密切合作,为包括本书第6版在内的多个项目提供建议。
Shon Harris,CISSP持证专家,是Shon Harris Security有限责任公司和Logical Security有限责任公司的创始人和首席执行官、安全顾问,也是空军信息战部队前工程师、讲师和作家。Shon在2014年去世前,曾经营自己的培训和咨询公司长达13年。Shon就广义的安全问题向《财富》100强企业和政府机构提供咨询服务,撰写了三本畅销的CISSP书籍,曾参与撰写《灰帽黑客》和Security Information Event Management(SIEM) Implementation,同时是Information Security Magazine的技术编辑。
译 者 介 绍
栾浩,获得美国天普大学IT审计与网络安全专业理学硕士学位,持有CISSP、CISA、CISP、CISP-A和TOGAF 9等认证。负责金融科技研发、数据安全、云计算安全和信息科技审计及内部风险控制等工作。担任中国计算机行业协会数据安全产业专家委员会委员、(ISC)2上海分会理事。栾浩先生担任本书翻译的总技术负责人,并承担全书的校对和定稿工作。
姚凯,获得中欧国际工商学院工商管理专业管理学硕士学位,持有CISA、CISM、CGEIT、CRISC、CISSP、CCSP、CSSLP和CEH等认证,现任CIO职务,负责IT战略规划、策略制定、数字化转型、IT架构设计和应用部署、系统取证和应急响应、数据安全备份策略规划制定、数据保护、灾难恢复演练和复盘等工作。姚凯先生承担本书第24章和第25章的翻译工作,并承担全书的校对和定稿工作,同时为本书撰写译者序。
王向宇,获得安徽科技学院网络工程专业工学学士学位,持有CISSP、CISP、CISP-A和软件研发安全师等认证。现任资深安全工程师职务,负责安全事件处置与应急、数据安全治理、安全监测平台研发与运营、云平台安全和软件研发安全等工作。王向宇先生担任本书项目经理,负责本书第5章和第6章的翻译工作,并承担全书的校对和定稿工作。
曹洪泽,获得哈尔滨工程大学通信与信息系统专业工学博士学位,正高级工程师职称。现任审计署计算中心审计技术服务处处长职务,负责中央部门、中央企业、金融机构等多领域审计工作以及金审工程建设和运营。持有CISA、审计师等认证。担任中国审计学会计算机审计分会副秘书长。曹洪泽女士作为本书信息系统审计领域特邀专家,承担本书通读工作。
李杺恬,获得北京理工大学软件工程专业工程硕士学位,持有CISSP、CISP和CISA等认证。现任中国计算机行业协会数据安全产业专家委员会委员,负责人才培养、能力评定和成果转化等工作。李杺恬女士作为本书数据安全领域特邀专家,承担本书通读工作。
徐坦,获得河北科技大学理工学院网络工程专业工学学士学位,持有CISP、CISP-A等认证。现任安全技术经理职务,负责数据安全、渗透测试、安全工具研发、代码审计、安全教育培训、IT审计和企业安全攻防等工作。徐坦先生承担本书全书的校对、通读工作。
李浩轩,获得河北科技大学理工学院网络工程专业工学学士学位,持有CISP-A、CISP等认证。现任安全技术经理职务,负责数据安全、IT审计、网络安全、平台研发和企业安全攻防等工作。李浩轩先生承担本书全书的校对、通读工作。
高峡,获得西安科技大学计算机及应用专业工学学士学位,持有CISSP、CISA和CISP等认证。现任网络安全教学质量总监职务,负责网络安全相关课程体系设计、网络安全相关课程研发、课程讲授和课程管理等工作。高峡女士负责本书第1章和第2章,附录A、B、C的翻译工作。
戴贇,获得上海大学通信工程专业工学学士学位,持有CISSP和CCSP等认证。现任云安全专家职务,负责云计算安全架构设计、项目实施、方案优化和日常运维管理等工作。戴贇先生负责本书第3章和第4章的翻译工作。
伏伟任,获得东华理工大学环境工程专业工学学士学位,持有CISSP和CCSP等认证。现任IT经理和信息安全负责人职务,负责IT运维、信息安全相关工作,伏伟任先生负责本书第7章和第8章的翻译工作。
郑伟,获得华中科技大学计算机科学与技术专业工学学士学位,持有CISSP等认证。现任诺基亚通信无线基站安全技术专家职务,负责产品安全需求分析、系统规范制定等工作。郑伟先生负责本书第9章和第10章的翻译工作。
梁龙亭,获得北京理工大学计算机科学与技术专业工学学士学位,持有CISSP和ISO/IEC27001等认证。现任信息安全&合规职务,负责安全技术架构设计、安全攻防、安全技术实施、安全合规等工作。梁龙亭先生负责本书第11章的翻译工作。
万雪莲,获得武汉大学计算机技术专业工程硕士学位,持有CISSP、CISM和CISA等认证。现任网络安全与隐私保护高级安全咨询顾问职务,负责数据安全、隐私保护、云安全、安全分析和安全管理等工作。万雪莲女士负责本书前言、第12章和第13章的翻译工作。
张帆,获得上海交通大学工商管理专业管理学硕士学位,持有CISSP和CISA认证。现任信息安全负责人职务,负责IT安全策略和制度制定、IT安全架构及应用安全风险评估、数据跨境传输安全评估、灾难恢复演练等工作。张帆先生负责本书第14章和第15章的翻译工作。
周可政,获得上海交通大学电子与通信工程专业工学硕士学位,持有CISSP、CISA等认证。现任资深安全工程师职务,负责数据安全、SIEM平台规划建设和企业安全防护体系建设等工作。周可政先生负责本书第16章和第17章的翻译工作。
许琛超,获得上海交通大学计算机科学与技术专业工学学士学位,持有CISSP、CCSP和CISA等认证。现任信息安全高级经理职务,负责数据安全治理、个人信息保护、信息安全管理体系、信息安全评估等工作。许琛超先生承担本书第18章和第19章的翻译工作。
吕丽,获得吉林大学文秘专业文学学士学位,持有CISSP、CISA和CISP-PTE等认证。现任中银金融商务有限公司信息安全经理职务,负责信息科技风险管理、网络安全技术架构评估和规划、数据安全治理、信息安全管理体系制度管理、信息科技外包风险管理、安全合规与审计等工作。吕丽女士承担本书第20章和第21章翻译工作。
汤国洪,获得电子科技大学电子材料与元器件专业工学学士学位,持有CISSP、CISA和ISO/IEC27001等认证。现任IT经理与信息安全负责人职务,负责IT运维、基础架构安全、网络安全和隐私合规等工作。汤国洪先生承担第22章及第23章的翻译工作。
牛承伟,获得中南大学工商管理专业管理学硕士学位,持有CISP等认证。现任广州越秀企业集团股份有限公司IT经理职务,负责云安全、基础设施安全、数据安全和资产安全等工作。牛承伟先生承担本书全书的通读工作。
朱思奇,获得上海交通大学通信与信息系统专业工学硕士学位,持有CISA和CISSP等认证。现任中国银行江苏省分行科技经理职务,负责信息科技风险管理、信息科技审计、信息安全意识培训等工作。朱思奇先生承担本书的校对、通读工作。
陈伟,获得中国石油大学工业管理工程专业管理学硕士学位,持有CISA等认证。现任谷安天下研究院院长职务,负责IT治理、网络安全、数字风险管理及IT审计、咨询等工作。陈伟先生负责本书部分章节的校对工作。
方乐,获得复旦大学计算机专业理学硕士学位,持有CISSP、CISA等认证。现任谷安天下咨询顾问职务,负责IT管理、IT治理、信息安全管理、IT风险管理、信息系统审计、数据治理咨询及培训等工作。方乐先生承担本书部分章节的校对工作。
以下专家参加本书各章节的校对、通读等工作,在此一并感谢:
刘竞雄先生,获得长春工业大学计算机技术专业工学硕士学位。
赵晨明先生,获得西安交通大学工商管理专业管理学硕士学位。
马洪晓先生,获得北京邮电大学计算机科学与技术专业工学硕士学位。
王厚奎先生,获得南宁师范大学教育技术学(网络信息安全方向)专业工学硕士学位。
邢海韬先生,获得北京工业大学软件工程专业工学硕士学位。
罗进先生,获得澳大利亚南昆士兰大学信息技术专业工学硕士学位。
刘海先生,获得华东师范大学软件工程专业工学硕士学位。
张锋先生,获得郑州大学计算机科学与技术专业工学学士学位、北京工业大学工商管理专业管理学硕士学位。
李海霞女士,获得对外经贸大学公共管理专业管理学硕士学位。
陈欣炜先生,获得同济大学工程管理专业本科学历。
王伏彧女士,获得吉林大学电子信息科学与技术专业理学学士学位、法学学士学位。
朱建滨先生,获得香港大学工商管理专业管理学硕士学位。
刘北水先生,获得西安电子科技大学工学硕士学位。
王涛女士,获得新疆财经大学工商管理专业管理学硕士学位、电子科技大学软件工程专业工程硕士学位。
张亭亭先生,获得哈尔滨商业大学工学学士学位。
张士莹先生,获得中北大学网络工程专业工学学士学位。
张晓飞先生,获得内蒙古大学理工学院应用物理学专业理学学士学位。
陈岳林女士,获得香港浸会大学资讯科技管理专业理学硕士学位。
陈峻先生,获得同济大学软件工程专业工学硕士学位。
马春燕女士,获得挪威商学院工商管理专业管理学硕士学位。
贡献者/技术编辑简介
Bobby E. Rogers是一名信息安全工程师,在美国国防部工作,职责包括信息系统安全工程、风险管理以及认证和认可工作。Bobby在美国空军服役21年后退休,担任网络安全工程师和指导者,保护全球各地的网络。Bobby拥有信息保障(InformationAssurance,IA)硕士学位,目前,正在美国马里兰州国会科技大学攻读网络安全博士学位。Bobby获得的认证包括CISSP-ISSEP、CEH和MCSE: Security,以及CompTIA A+、Network+、Security+和Mobility+。
自 序
感谢诸位考生在《CISSP信息系统安全专家认证All-in-One(第9版)》中投入学习精力,我相信你会发现本书不仅对准备CISSP考试很有帮助,而且对未来职业生涯也很有帮助。这是Shon Harris撰写前六版时的首要目标之一,也是我在最近三版CISSP中努力追求的目标。这个目标并不那么容易,但我希望考生会对我们如何平衡这两个需求感到满意。
(ISC)2在实际应用中为CISSP通用知识体系(Common Body of Knowledge,CBK)打下了良好基础,但仍有很多讨论和分歧。与几乎任何其他领域一样,在网络安全领域,很少有主题可达成普遍共识。本书内容为了平衡备考和现实应用的模糊性,从我们的经验中总结了大量的评论和示例。
特意说“我们的经验”,因为即使Shon去世多年,她的见解在这一版本中仍然充满活力、信息丰富和富有娱乐性。本书尽可能多地保留了她的见解,同时确保相关内容是最新的,也尽量保持Shon作品特有的行文风格。其结果是我希望本书读起来更像是一篇文章,甚至是一个故事,而不是一本教科书,但本书是以优良的教学作为基础。本书应易于阅读,同时帮助考生准备考试。
说到考试,2021年(ISC)2对 CBK 所做的变化并不显著,但意义重大。每个知识域都以某种方式做出了调整,八个知识域中有七个添加了多个主题(知识域1除外)。这些变化以及本书第8版中的大量主题,促使我对这一版内容进行了彻底重组。我将每个知识域和主题分解为原子粒度,然后重新设计整本书,以整合下表中列出的CBK 2021新目标(注意,方括号中的内容供参考,并非新增目标)。
知识域2:资产安全2.4管理数据生命周期2.4.1数据角色(例如,所有方、控制方、托管方、处理方和用户/数据主体)2.4.3数据物理位置2.4.4数据维护2.5确保适当的资产留存,如生命周期终止(End-of-Life,EOL)、支持终止(End-of-Support,EOS)
知识域3:安全架构与工程[3.7理解密码攻击方法]3.7.1暴力破解3.7.4频率分析3.7.6实施攻击3.7.8故障注入3.7.9时序3.7.10中间人攻击(Man-in-the-Middle,MITM)3.7.11传递哈希3.7.12 Kerberos 攻击3.7.13勒索软件[3.9设计现场和设施安全控制措施]3.9.9电源(如冗余、备用)
知识域4:通信与网络安全[4.1评估并实施网络架构中的安全设计原则]4.1.3安全协议4.1.6微分段,如软件定义网络(Software Defined Networks,SDN)、虚拟可扩展局域网(Virtual eXtensible Local Area Network ,VXLAN)、封装和软件定义广域网(Software-Defined Wide Area Network,SD-WAN)4.1.8 蜂窝网络(如 4G、5G)[4.3根据设计实施安全通信通道]4.3.6第三方连接
知识域5:身份和访问管理(IAM)[5.1控制对资产的物理和逻辑访问]5.1.5应用程序[5.2管理人员、设备和服务的标识和身份认证]5.2.8单点登录(SSO)5.2.9 准时制(Just-In-Time,JIT)[5.4实施和管理授权机制]5.4.6基于风险的访问控制[5.5管理身份和访问资源调配生命周期]5.5.3角色定义(如分配了新角色的人员)5.5.4权限提升(如托管服务账户、使用sudo和尽量减少使用)5.6实施身份验证系统5.6.1 OpenID Connect(OIDC)/Open Authorization(OAuth)5.6.2安全声明标记语言(SAML)5.6.3 Kerberos5.6.4远程用户拨号认证服务(RADIUS)/终端访问控制器访问控制系统升级版(TACACS+)
知识域6:安全评估与测试[6.2实施安全控制测试]6.2.9漏洞攻击模拟6.2.10合规检查[6.3收集安全流程数据(如技术和行政)]6.3.6灾难恢复(DR)和业务持续(BC)[6.4分析测试输出并生成报告]6.4.1补救措施6.4.2异常处理6.4.3道德披露
知识域7:安全运营[7.1理解并遵守调查]7.1.5制品(如计算机、网络和移动设备)[7.2实施记录和持续监测活动]7.2.5日志管理7.2.6 威胁情报(如威胁源、威胁狩猎)7.2.7用户和实体行为分析(UEBA)[7.7操作和维护检测和预防措施]7.7.8基于机器学习和人工智能(AI)的工具[7.11实施灾难恢复(DR)流程]7.11.7经验教训
知识域8:软件研发安全[8.2在软件研发生态系统中识别并实施安全控制措施]8.2.1编程语言8.2.2库8.2.3工具集8.2.5运行时间8.2.6持续集成和持续交付(CI/CD)8.2.7安全编排、自动化和响应(SOAR)8.2.10应用程序安全测试,如静态应用程序安全测试(SAST)、动态应用程序安全测试(DAST)[8.4评估收购软件的安全影响]8.4.1商用现货(COTS)8.4.2开源8.4.3第三方8.4.4托管服务,如软件即服务(SaaS)、基础架构即服务(IaaS)和平台即服务(PaaS)[8.5定义并实施安全编码指南和标准]8.5.4软件定义安全
注意,这些目标中的部分内容在之前(2018年)版本的CBK中是隐性的,在第8版中已有所涉及。事实上,这些目标现在是明确的,这表明在考试和实践中都变得越来越重要(在准备考试时,请特别注意这些)。总之,与上一版相比,第9版有显著不同且有所改进,相信考生会表示认同。再次感谢考生对CISSP第9版书籍的关注。
致 谢
在第9版中,还要感谢以下人士给予的帮助:
● Ronald C. Dodge,Shon Harris和我的介绍人,我由此开启了人生中最棒的奇遇之一
● Kathy Conlon,为这个最新版本奠定了基础
● Carol Remicci
● David Harris
为什么要成为CISSP持证专家?
随着世界的变化,社会对安全和技术改进的需求不断增长。全球各地的组织迫切需要找到并招募才华横溢、经验丰富的安全专家,因为只有这些专业人员才能保护组织的资产并保持组织的竞争力。一名认证信息系统安全专家(CISSP)就是一名能力过硬的安全专家,并已成功满足了所需的知识和经验标准,在整个行业中广为人知且获得尊重。维持认证的有效性,可以证明安全专家的专业能力与时俱进,不断提高。
下面列出获取CISSP认证资格的一些理由:
● 扩展对安全概念和实践当前的了解
● 展示作为经验丰富的安全专家的专业知识
● 在竞争激烈的劳动力市场中占据优势
● 增加薪水并有资格获得更多的就业机会
● 为当前的职业带来更高的安全专业知识
● 表现出对安全纪律的献身精神
CISSP认证可帮助组织确定安全专家具有实施可靠安全实践所需的能力、知识和经验,实施风险分析,确定必要的对策,并帮助整个组织保护设施、网络、系统和信息。CISSP认证还向潜在雇主表明考生已达到安全行业所需的技能和知识水平。安全对于各种规模的组织的重要性在未来只可能不断增加,从而导致对高技能安全专家的更高要求。CISSP证书表明受人尊敬的第三方组织已经认可了持证专家的技术和理论知识以及专业知识,从而可与缺乏专业知识水平的人员区分开。
理解和实现安全实践是成为一名优秀的网络管理员、程序员或工程师的重要组成部分。在大量并非针对安全专家的职位描述中,往往仍要求应聘人员正确理解安全概念及其实现方式。由于人员规模和预算限制,许多组织负担不起聘用单独的网络和安全人员的成本,但仍然认为安全性对组织至关重要;因此,经常尝试将技术和安全知识要求合并到一个角色中。通过CISSP认证,安全专家就会比其他应聘人员更有优势。
CISSP考试
由于CISSP考试涵盖构成CISSP CBK的8个知识域,因此通常将CISSP考试描述为“一英寸深,一英里宽”,这是指许多考题并不深入,也不要求考生是每个学科的专家;但这些考题的确要求考生熟悉许多不同的安全主题。
CISSP考试有两个版本,即英文版和非英文版。英文版现在是一种计算机自适应测试(Computerized Adaptive Testing,CAT),在这个测试中,考题数量从100道到150道,具体数量取决于考生的知识水平;其中,25道题不计入分数,目的是为了将来的考试评估(有时称为预测试)。基本上,测试软件越容易评估考生的熟练程度,考生的考题越少。不管多少考题,考生完成测试的时间都不超过3小时。当系统成功评估了考生的知识水平后,无论考生用了多长时间,测试都将结束。
考试提示英文版CAT考试系统将对CISSP考生的知识掌握程度开展评估,并相应调整CAT考题,考生会感到问题“较难”。不必灰心;只是要注意不能停留在某一道题上,因为必须在3小时内至少回答100道题。
英文版的CISSP考试也基于计算机,但不是自适应的,是线性的、固定的形式,包括250道题,回答时间不超过6小时。与CAT版本一样,有25道考题是预测试题目(不计分)。计分根据考生的其他考题,共225道题。考试会整合25个研究考题,且考生并不知道哪一个考题会影响最终成绩。
不论考生参加哪个版本的考试,都需要在1000分中得到700分及700分以上的分数。在两个版本中,考生会遇到多项选择和创新性考题。创新性考题包含拖放(将术语或条目拖到框中的正确位置)或热点(单击正确回答考题的条目或术语)界面,答案会加权并与其他任何考题一样计分。考题从更大的题库中提取,确保每个考生的考试尽可能唯一。此外,题库将不断变化,以更准确地反映真实的安全领域。考题会不断轮换,并根据需要替换。根据考题的难度实施加权;并非所有考题的得分都相同。考试不是针对产品或供应商的,这意味着没有考题针对某些产品或供应商(如Windows、UNIX或Cisco)。相反,测试的是这类系统所用的安全模型和方法。
考试提示答错题目不会倒扣分数。如果考生无法在合理时间内给出正确答案,那么建议猜测答案并继续下一道题。
(ISC)2(International Information Systems Security Certification Consortium,国际信息系统安全认证联盟)在CISSP考试中也包括基于场景的考题。场景题向考生呈现一个简短场景,而非要求考生识别术语和/或概念。场景题的目标是确保考生不仅理解CBK中的概念,而且可将这些知识运用到实际中。这更实用,因为在现实中,考生不会因为有人询问“共谋的定义是什么?”而受到挑战;除理解术语的定义外,考生还需要知道如何检测和防止共谋的发生。
通过考试后,将要求考生提供由背书人支持的文档,以此证明考生确实具有获得CISSP认证所需的经验。背书人必须签署一份凭证,为考生提交的安全工作经验提供担保。因此,在注册考试和付款之前,请联系好一位背书人。考生肯定不愿意看到这样的局面:在支付费用并通过考试后,却发现无法找到背书人帮助考生完成获得认证所需的最后步骤。
提出背书要求是为了确保获得认证的人员具有为组织提供服务的真实经验。书面知识对于理解理论、概念、标准和法规极为重要,但永远不能替代动手实践。需要证明考生的实践经验与认证是相关的。
通过考试后,一小部分考生将随机抽取为样本予以审核。审核人员主要来自(ISC)2的两名成员,通过拜访考生的背书人和联络人,核实考生的相关经历。
CISSP考试具有挑战性的因素之一是,尽管大多数考生都在安全领域工作,但不一定熟悉所有8个CBK安全领域。例如,如果某个安全专家是漏洞测试或应用程序安全方面的专家,可能并不熟悉物理安全性、加密或取证。因此,学习和考试将拓宽考生对安全领域的了解。
考题涉及8个CISSP CBK知识域,如下表所示。
知识域 描述
安全和风险管理 该领域涵盖了信息系统安全的许多基本概念。该领域的部分主题包括:? 职业道德? 安全治理与合规? 法律法规和监管合规问题? 人员安全策略? 风险管理
资产安全 该领域解释了在整个信息资产生命周期中如何对信息资产实施保护。该领域的部分主题包括:? 识别和分类信息和资产? 建立信息和资产处置要求? 安全地配置资源? 管理数据生命周期? 确定数据安全控制措施和合规要求
安全架构与工程 该领域解释了在面对无数威胁的情况下如何保护信息系统发展的安全。该领域的部分主题包括:? 安全设计原则? 安全模型? 选择有效的控制措施? 密码术? 物理安全
通信与网络安全 该领域解释如何保护网络架构、通信技术和网络协议的安全。该领域的部分主题包括:? 安全网络架构? 安全网络组件? 安全通信信道
(续表)
知识域 描述
身份和访问管理 身份和访问管理是信息安全中最重要的主题之一。该领域涵盖了用户和系统之间、系统和其他系统之间的相互关系。该领域的部分主题包括:? 控制对资产的物理和逻辑访问? 标识和身份验证? 授权机制? 身份和访问配置生命周期? 实施身份验证系统
安全评估与测试 该领域解释了验证信息系统安全性的方法。该领域的部分主题包括:? 评估和测试战略? 测试安全控制措施? 收集安全流程数据? 分析和报告结果? 开展和促进审计
安全运营 该领域涵盖了在日常业务中许多维护网络安全的活动。该领域的部分主题包括:? 调查? 记录和持续监测? 变更和配置管理? 事件管理? 灾难恢复
软件研发安全 该领域解释了安全原则在获取和研发软件系统中的应用。该领域的部分主题包括:? 软件研发生命周期? 软件研发中的安全控制措施? 评估软件安全? 评估所购软件的安全? 安全编码准则和标准
书中包含哪些内容
本书涵盖了成为(ISC)2认证CISSP所需的全部知识,讲述企业如何制定和实施策略、程序、准则和标准,并解释原因。本书涵盖网络、应用程序和系统漏洞、漏洞利用情况,以及如何应对这些威胁。本书解释物理安全、运营安全以及系统如何实现安全机制。本书还回顾了美国和国际安全标准以及在保证评级系统上执行的评估,分析这些标准的含义以及使用相应标准的原因。本书还解释了围绕计算机系统及其所拥有数据的法律和责任问题,包括计算机犯罪、法证学等主题,以及如何为出庭准备计算机证据。
虽然本书主要是用作CISSP考试的学习指南,但在考生通过认证后,本书仍不失为一本不可替代的重要参考用书。
参加CISSP考试的提示
很多考生觉得考题很棘手。一定要仔细阅读考题和所有备选答案,而不是看了几个单词就断定考题的答案。有些答案选项可能只有细微差别,所以要有耐心,多花时间通读考题。
有些考生抱怨CISSP考试略带主观色彩。例如,有这样两个考题。第一个是技术考题,考查的是防止中间人攻击的传输层安全(Transport Layer Security,TLS)所用的具体机制;第二个考题则询问周长为8英尺的栅栏提供的是低级、中级还是高级安全防护。考生会发现,前一个考题比后一个考题更容易回答。许多考题要求考生选择“最佳”方法,有些考生认为这是令人困惑和主观的。这里提到这些抱怨不是为了批评(ISC)2和出题人员,而是为了帮助考生更好地备考。本书涵盖了考试必需的所有材料,并包含了许多问题和自测试卷。大部分问题的格式与实际试题相同,使考生能更好地准备应对真实考试。所以,一定要阅读书中的所有材料,并密切注意问题及其格式。有时,即使考生对某个主题十分了解,也可能答错题。因此,考生需要学会如何应试。
回答某些问题时,重要的是要记住,一些事物比其他东西更有价值。例如,保护人身安全和福祉总比其他所有应对措施更重要。同样,如果其他所有因素都相等,考生可选择昂贵和复杂的解决方案,也可选择更简单和便宜的解决方案,那么第二个方法在大多数情况下都会胜出。专家建议(如律师的建议)比信誉较差的人士提供的建议更有价值。如果某道题的可能答案之一是寻求专家的建议,请密切注意该类考题。正确的应对措施很可能就是寻找该专家。
CISSP考生需要熟悉行业标准,并了解自己工作之外的技术知识和方法。必须再次强调的是,考生可能仅在特定领域是佼佼者,并不意味着考生为考试涵盖的八个领域都做好了充分准备。
当CISSP考生在Pearson VUE测试中心参加CISSP考试时,可能在同一房间同时有其他认证考试。如果看到其他考生很早离开房间,不要着急;其他人可能正在参加一项时间较短的考试。
如何使用本书
本书的作者尽了很大努力才将所有重要信息汇编成书;现在,轮到考生尽力从本书中汲取知识了。要从本书获取最大受益,可采用以下学习方法:
● 认真学习每一章,确保理解每个概念。对许多概念必须完全理解,如果对一些概念似懂非懂,那么对考生来说可能不利于通过考试。CISSP CBK包含数百个不同主题,因此需要花时间掌握这些内容。
● 确保学习并回答所有问题。如果有任何疑问使考生感到困惑,那么需要再次阅读相关章节。请记住,实际考试中的某些问题含糊其辞,看上去较难回答,不要误以为这些问题表述不清而将其忽视。相反,这些问题的存在具有明确的目的性,对此要特别注意。
● 如果考生不熟悉特定主题,如防火墙、法律、物理安全或协议功能,请使用其他信息源(书籍、文章等)更深入地了解这些主题。不要仅依靠考生自认为需要知道的知识来准备CISSP考试。
● 阅读本书后,考生需要学习所有问题和答案,并实施自测。然后复习(ISC)2考试目标,确保对所呈现的每个条目都很熟悉。如果对某些条目不够熟悉,请重新阅读相关章节。
● 如果考生参加了其他认证考试(如Cisco、Microsoft),则可能习惯于记住一些细节和配置参数。但请记住,CISSP测试是“一英寸深,一英里宽”,因此在尝试记住具体细节之前,请确保了解每个主题的概念。
● 记住,考试是在寻找“最佳”答案。在一些问题上,考生可能不同意其中一个或多个答案,需要从提供的4个答案中选出其中最合理的那一个。