官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
先简单介绍下本人专业背景吧,本科和硕士专业都是信息安全,算得上科班出生,只是学校里的课程没学扎实,基础一般,毕业后在某大型金融机构做安全,渗透、漏扫、SOC建设大概做了4年,日常的工作和安全技术还是结合得比较紧密,平时也混迹在各大src,打打ctf,动手能力还行,是广大安全从业人员中的普通一员。
CISSP 英文全称:“ Certified Information Systems Security Professional”,中文全称:“(ISC)²注册信息系统安全专家”,由(ISC)²组织和管理,是目前全球范围内最权威,最专业,最系统的信息安全认证。
CISSP的含金量和认可度还是很高的,考试费用也不菲,599刀,涉及的内容非常广泛,号称安全界的“百科全书”,不过虽然涉及的范围广,但很多都是点到为止, “一英里宽,一英寸深”,这是CISSP最大的特点。
为什么考CISSP?用我们领导的话说,可以迅速建立起个人对安全体系的知识框架,认证+读行业标准是最有效的方法。
决定了考CISSP之后就要尽快的解决战斗,拖的时间越长越对生活有影响,最好在半年内完成复习和考试,本人这次因为种种原因,拖了一年,深刻感受到战线过长的痛苦。
我的复习材料:All in One的第六版中文版+OSG官方学习指南中文版+官方习题英文版
All in one前前后后看了3遍,OSG看了2遍,这两本教材内容基本差不太多,all in one讲的比较细,比较啰嗦,OSG和考纲结合得比较紧,内容也比较紧凑,建议大家直接看OSG即可,但务必要多读几遍,对书中的知识点都要弄懂。
CISSP现在最新的考纲包括8个CBK:
•安全与风险管理 (安全、风险、合规、法律、法规、业务连续性)
•资产安全 (保护资产的安全性)
•安全工程 (安全工程与管理)
•通信与网络安全 (设计和保护网络安全 )
•身份与访问管理 (访问控制和身份管理 )
•安全评估与测试 (设计、执行和分析安全测试)
•安全运营 (基本概念、调查、事件管理、灾难恢复)
•软件开发安全 (理解、应用、和实施软件安全)
之所以称之为安全界的“百科全书”,是因为上述8个领域基本涵盖了安全工作中的所有方面,个人在安全评估与测试、安全运营这两个领域有一些实际的经验,其他的领域接触得还不深,所以在复习的时候,针对不熟悉的领域花更多的时间去理解,不懂的多去百度,有的时候百度讲的比教材里更清楚。一定要做笔记,不然书中很多看完就忘了,做笔记可以加深印象。如果有钱,还可以去报辅导班,让辅导老师给你先拎一下复习大纲。
书看完之后可能没有什么感觉,一定要做题,仅仅做书中每个章节的习题是不够的,all in one的习题比较难,OSG的习题比较简单,建议大家还是做官方的习题集,毕竟是官方出的习题,应该是和考试最接近的材料了,不过现在只有英文版的,对于英语一般的朋友可能做起来比较吃力,加之之前看的中文版,很多专有术语都得和英文对上,我在做题的时候也是比较痛苦。官方习题里面很多题目是把官方教材里的某句话的内容扣掉,让你选择,所以做题加看书能够起到很到的看书效果。
由于CISSP设计的内容十分广泛,篇幅原因,本文无法对书中所有细节进行描述,这里挑一些常考的内容进行分享:
1、安全的主要目的和目标就是CIA三要素/三元组(必考)
①机密性(Confidentiality):机密性是指因为工作需要而访问敏感资源。机密性通常通过最小权限原则来实现。安全架构师使用数据分类、访问控制和加密来确保资源的机密性。
②完整性(Integrity ):完整性包括两个方面,一是确保信息被正确处理且不被未授权的人修改,二是保护网络上传输的信息。完整性控制包括事务控制、数字签名等。
③可用性(Availability):可用性确保资源可用、系统正常运行。可用性的防护措施多种多样,诸如集群、发电机、备份和热站等。影响可用性的威胁包括自然的、人为的灾难,还有拒绝服务攻击等。
2、定量风险分析(必考)
用货币形式表示每个资产和威胁。虽然,纯粹的、精准的定量分析是不可能的,但还是能用的。下面是定量风险分析的六个主要步骤或阶段:
① 出资产清单并分配资产价值,即AV(asset value);
②研究生成每个资产所有可能威胁的列表。为每个威胁计算暴露因子EF(exposure factor)和单一损失期望SLE(single loss expectancy),就是单损。
EF也称为潜在损失,是该风险实际发生时,可能损失的资产价值的百分比。
SLE就是该风险实际发生1次时,可能损失的资产价值,也就是损失多少钱。
SLE=AV×EF
③计算每种风险的年发生概率ARO(annualized rate of occurrence)。
ARO就是该风险每年可能发生几次,值从0到无穷大,越大越危险。如果风险每年发生很多次,它带来的损失可以远远超出相关资产的价值。
④计算每个风险的年度损失期望ALE(annualized loss expectancy),就得到每个威胁可能的总损失。
ALE=SLE×ARO
⑤研究每个威胁的对策,然后基于对策,计算采取措施后的ARO和ALE。
不管有没有采取措施,EF是不变的,也就是不管攻击搞没搞成,反正只要搞成了,你就会损失这么多。安防措施的目的应是减少ARO,就不让风险实际发生。
⑥针对每个资产的每个威胁的每个对策执行成本/效益分析。选择对最适用的对策。
这里要先计算每个威胁采取某种防护措施的年度成本ACS(annual cost of safeguard),部署安防系统的价值就是:施策前的ALE—施策后的ALE—ACS,可以让高层看到安防系统实现了多大的效益。SLE和ALE的区别要搞清楚,经常考。
3、安全管理涉及的其它重要概念(必考)
① 份识别/标识(identification)ID
用户向系统声称其真实身份的方式。身份标识是一个过程,主体先表明或提供自己的身份,然后认证、授权,并且具备可问责性。计算机无法区分不同的人,只能通过ID账号来区别。(用户名是识别工具)
② 份认证(authentication)鉴别
测试并认证用户的身份。认证或检测所表明的身份是合法的过程,就是身份认证。最常见形式是使用密码。通过与合法身份(也就是用户账号)数据库中的一种或多种因素进行比较,身份认证能够识别并承认主体的身份。身份认证和上面的身份标识总是作为一个过程中的两个步骤被一起使用,不能分开。(密码、令牌都是认证工具)
③ 配权限(authorization)授权
为用户分配并校验资源访问权限的过程。确保主体获得符合其身份级别的访问权限。(访问控制列表ACL是授权工具)
④ 问责性/可追溯性(accounting)
确认系统中个人行为和活动的能力。只有在主体的活动可问责时,你才能够保持安全性。就是必须要检验主体的身份,并跟踪记录其活动。只通过密码认证是最不安全的,用户可能推卸自己的过失操作行为。
⑤ 可否认性/抗抵赖性(undeniable)
能确认信息发送者即创建者的能力。不可否认性确保主体无法否认其已经发生的行为事件。不可否认性是可问责性不可缺少的部分,如果嫌疑人不承认有关证据或指控,那么他的行为就无法被问责。
4、密码学知识(必考)
① 对称密码学
也称单钥密码学、秘密密钥密码学、会话密钥密码学、私钥密码学、共享密钥密码学
使用对称密钥(秘密密钥)
数据加密标准(Data Encryption Standard, DES)
三重DES(Triple-DES,3DES)
Blowfish
国际数据加密算法(International Data Encryption Algorithm,IDEA)
RC4、RC5、RC6
高级加密标准(Advanced Encryption Standard)
② 非对称密码学
也称公钥密码学
使用非对称密钥(公钥和私钥)
RSA(Rivest-Shamir-Adleman)
椭圆曲线密码系统(Elliptic Curve Cryptosystem)
Diffie-Hellman
El Gamal
数字签名算法(Digital Signature Algorithm)
Merkle-Hellman背包算法
CISSP考试最大的特点是没题库可以背。考试里面直接考概念和定义的题目很少。大量场景题,比如给你一段文字描述,说某企业面临了XX问题,问你最佳解决思路是什么。如果没有在安全行业做上几年的经历,很容易被选项的文字迷惑。还有就是大量的优中选最优的问题,往往四个答案都对,需要选出最佳的答案,这个时候就需要把自己当成CSO去考虑安全问题。
考试时间6个小时,大家一定要做好充分的准备,巧克力、红牛、干粮、水都得带足,中间状态不太好的时候可以出来补充能量。时间一般肯定够,所以大家不用特别着急,细心去审题,遇到有问题的可以打个标记跳过,说不定后面的题目会给你带来做题思路。
多用排除法,有些题目可以迅速排除2个选项,剩下的两个自己拿捏一下,往往正确率还可以。考试现在有中文的,翻译一般没啥问题,但是有的可能还是得看一下英文,往往看完英文会更好的理解题目的意思。
考试环境一般都是可以的,这次考试和我同一时间的好多都是考GMAT的学生,考试中心给我单独安排了一个单间,还送了耳塞,考试环境很安静,很nice。
最后,不要怕,不过是一个考试而已。套用到实际工作中去,很多题不知道怎么选,我就想象放到我们公司我会怎么做。
祝大家都能够通过CISSP考试,我的一些复习材料(考试机构的复习题、中英文教材,思维导图)放在百度云盘:
- 0 文章数
- 0 关注者