|
|
CISSP认证的考核范围包括10个方向 (附:谷安信息安全双十一)
对信息安全领域所有相关主题精炼整理后得到的标准化的知识体系
关于 CBK Common Body of Knowledge(公共知识体系)
信息安全与风险管理(Information Security and Risk Management)
安全结构与设计(Security Architecture and Design)
访问控制(Access Control)
应用安全(Application Security)
操作安全(Operations Security)
物理与环境安全(Physical and Environment Security)
密码学(Cryptography)
电信与网络安全(Telecommunications, and Network,Security)
业务连续性与灾难恢复(Business Continuity and Disaster Recovery)
法律、符合性与调查(Law, Compliance and Investigations)
详解如下:
1. 信息安全与风险管理
信息安全的基本概念和 CIA 三原则、信息安全管理的过程模型,信息安全计划、风险管理概念,风险管理过程、信息资产、威胁、弱点、残留风险的概念及相互关系、定量和定性 风险评估方法及实施过程,风险消减策略和考虑因素、配置管理、变更管理、应急计划等风险管理相关活动、数据分类、安全方针、标准、指南和程序、角色和责任,人员安全, 安全意识和培训等。
2. 电信与网络安全
开放系统互连参考模型、网络通信基础,物理连接技术与特性,网络拓扑,信号传输类型、 典型的网络通信协议,TCP/IP;局域网技术:传输方式,介质访问控制方式,实现方式,设备;广域网技术:链路类型,广域网交换,协议,设备;远程访问安全与管理;网络通信安全技术:数据传输保护,边界防护,IDS,可用性保证;无线技术及安全;各种网络攻击手段与对策等。
3. 访问控制
什么是访问控制?访问控制的要素和各类访问控制措施;身份识别与认证技术:口令、一 次性口令、生物识别、SSO 等;访问控制技术和方法:MAC、DAC、基于角色 AC 等;访问控制管理:集中式与分散式;访问控制最佳实践:预防为主,防止信息泄漏,账号管理,跟踪审计,最小特权和职责分离;典型的访问控制威胁:口令攻击,拒绝服务,欺骗攻击,渗透测试等。
4. 应用安全
软件应用环境:分布式和集中式系统,典型威胁,各类应用控制;数据库和数据仓库的安全性;基于知识的系统:专家系统和神经网络;系统开发控制:系统开发生命周期,在系 统开发生命周期内考虑到安全措施,软件开发过程模型,软件开发方法;软件保护机制和最佳实践等。
5. 密码学
密码学基本概念、目标、发展历史、技术和方法、应用领域;对称密码学简介、分类,DES等典型算法介绍;非对称密码学基本原理,RSA、ECC 等典型算法介绍;对称密码学和非对称密码学对照比较;消息验证,数字签名;密码学应用:PKI,电子邮件安全,网络安全,电子商务,消息隐藏;密钥管理:密钥生成、交换、撤销、恢复等,密钥托管;密码学相关攻击手段等。
6 安全模型和设计
计算机体系结构:计算机硬件软件构成,开放系统与封闭系统;保护机制的概念和各种类型;安全模型:BLP、BIBA、Clark Wilson 等;系统运行的安全模式;系统评测:认证和认可,各类测评标准;安全体系结构面临的威胁:隐蔽通道,后门,异步攻击等。
7. 操作安全
操作安全 OPSEC 的定义,需要考虑的因素;控制措施的各种分类方式;操作安全最佳实践和管理原则:DueCare,最小特权,分离职责等;日常管理和系统操作事务:配置管理,事件管理,问题管理,变更管理,防病毒管理,介质管理,可信设施管理,可信恢复等
审计与监视:审计目标、概念、工具和技术等。
8. 业务连续性与灾难恢复
基本概念:什么是 BCP 和 DRP?其相互关系,为什么需要 BCP?;做好准备工作:目标,范围,责任,资源,计划,支持;业务影响分析 BIA:基本概念和实施过程;确定恢复策略:关键活动,预算计划和考虑因素;开发计划:内容和格式;实施计划:备用站点,签署协议,人员培训;测试计划:测试目的,测试计划,测试方法;维护计划等。
9. 法律、符合性和调查
计算机犯罪的概念定义,犯罪手段,经典案例;计算机相关法律的类型:知识产权保护, 隐私保护,版权保护,进出口限制,计算机犯罪法;计算机道德话题;计算机犯罪调查: 一般概念,对计算机事件的定义,计算机辨析学,证据类型、标准和生命周期等。
10. 物理与环境安全
物理与环境安全存在的问题:识别需要保护的物理资产,物理资产面临的威胁和风险;各种物理与环境安全控制措施:管理、技术和物理控制;场地设施的选择和建设;环境和生 命安全:供电,空调、温度和湿度控制,防火,防水;人员安全考虑;硬件设备的安全。
值得注意的是2011年ISC2 公布将在2012年3月以后更改CISSP考试大纲,通过官方的更正,其中对于CISSP目前大纲名称有所变更,具体内容无更新变化。
下面我们讲一下谷安天下在CISSP培训中都有何优势:
 首先:历史起源长:谷安天下公司自2007年成立以来,就在国内开展CISSP培训教育活动,历经7年时间,谷安在CISSP培训方式上不断创新,授课经验与技巧上也不断完善。目前谷安CISSP培训已经由标准的5天时间课程,演进为CISSP培训经典班和CISSP培训包过班两种分类,经典班自2014年起,5天变成9天,费用没变,这就让大家的备考准备更胜一筹。
谷安CISSP包过班的授课是在9天经典班基础之上增加为期三个月的培训与辅导,谷安资深讲师为学员制定科学的学习计划,数名老师全程指导你的备考过程,包含分章节讲解、分章节练习及综合练习等,让学员360度深刻掌握CISSP考试知识点,以不变应万变。争取一次通过考试!万一,第一次你考试未过,谷安将提供CISSP培训包过班学员免费参加官方考试的机会一次,如果第二次考试还不能通过,谷安将同等考试费的金额返还学员。CISSP的包过班学习,谷安讲师及班主任会付出很多心血,同样学员们也需要付出精力和时间配合,最终定会保障学员顺利通过CISSP认证考试。
其次,谷安天下拥有国内最早一批CISSP证书持有者,并且谷安公司本身就是从事信息安全与IT风险管理的咨询公司,讲师既是谷安天下一线项目经理、资深顾问,都是一直在信息安全管理一线工作,目前谷安的咨询项目主要定位在金融、央企、通信等重点行业单位,接触的都是非常具有典型的信息安全高端项目,谷安常年授课老师数位,每位讲师只讲每项课程中的最擅长章节,知识领域高度统一,避免了知识的蹩脚,让学员有效的汲取每位讲师最擅长的知识领域,达到培训最好的效果。
再次,谷安天下自2013年专门开设了信息安全专业人员持续教育服务,全年的信息安全与IT风险管理相关专题讲座20余场,既能满足CISA认证和CISSP认证所需的CPE持续教育,又能在实际的工作中得以了解业内最前瞻的、最热点的信息安全综合知识,让您自己在工作生活中不断充电,不断完善。
选择CISSP培训,我们看重的不正是讲师能力和服务能力吗?
还有一点我们想强调,CISSP是国际公认、公平的最高信息安全专业资质认证,任何机构都无法通过非正当途径帮助个人取得认证,谷安天下由业内最早专业从事信息安全咨询服务与IT风险研究团队组建,是国内第一家专注于信息安全与IT风险管理领域的服务机构,专业知识源自一线项目,授课理论与实践结合,选择谷安CISSP培训,也必将是您的最佳选择!
更多信息安全与IT风险管理培训,诸如CISA、CISSP、CISP、ITIL、COBIT、27001等高端认证详情,请咨询谷安天下010-51626887 4000706887 www.gooann.com
另:双11,谷安网校将开启首届信息安全网购狂欢节
双11这一天,已经演变为一年一度的购物狂欢节。在这一天,商家都会拿出最多的优惠“招待”顾客。为此,谷安网校(http://edu.gooann.com/)将为您倾心打造首届信息安全网购狂欢节,陪您渡过24小时的不眠之夜。本次活动安排如下:
1、 从11月11日0:00开始,关注“谷安天下培训”或扫以下二维码即可自动弹出“砸金蛋”界面,让您抽取心动大奖。一等奖20名(价值万元),二等奖300名(价值千元),三等奖1000名(价值百元),抽完为止。
2、 谷安网校从11月11日0:00开始,网校课程精品课程(包含网络渗透与防御、IT审计实务、CISA串讲、CISSP串讲、安全运维等精品课程)3折起,70%的off是我们最真诚的大礼,活动于11月11日23:59结束
3、 从即日起,购买谷安CISP、CISSP、CISA、COBIT、prince2等任何一门面授课程,即可获赠谷安网校任意一门在线课程。
让我们一起等待11月11日0:00的到来!
来谷安网校(http://edu.gooann.com/)发现属于你的双十一吧! |
|
IP卡
狗仔卡
发表于 2014-11-5 23:25:17
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
楼主