cissp考试复习资料1009
1 取款机首要的安全考虑是 :
电子设备的物理安全网络可用性网络延迟
2 问企业要通过其网络边界保护IM通讯,问对于企业来说最大的顾虑/问题是什么:A IM客户端使用随机端口 B 运行某些IM客户端无需管理员权限 C选项是允许im在不同的供应商之间通讯 D某些IM不需要安装即可运行
3连续安全监控计划如何降低风险Information Security Continuous Monitoring (ISCM/SCM)选项基本都不记得了,你们网上找一下,好像是美国政府的某个东西
4 使用正式安全测试报告的结构和格式的主要好处是什么
a 对高层如何如何 b对高管如何如何 c 对技术团队如何如何 d 对技术团队如何如何抱歉实在不记得了,完全懵逼
5 建立医疗保健设施主要的安全考虑是什么
a 安全,容量,合规
b 通风好,能源足够
c 大平层,便于移动办公
d 加固存储区域,适当通风,安全的收货区域
6 序列号预测可能是哪种攻击
a 拒绝服务
b 中间人
c 忘了
d 身份盗用
7 CTPED的前提是什么
a 良好环境可以改善建筑周边犯罪率
b 改进的物理安全可以改变访问此设施人员的行为,从而降低犯罪率
8 -1某组织指派安全专家应对淹没攻击:
1 以下哪种伙伴关系有助于快速缓解淹没攻击:
a 和线路提供商
b 和银行
3 和供应商
4 和用户
8-2 关于淹没攻击,潜在的威胁是什么?
就记得一个,我选的,攻击的组织者可能勒索钱财
8-3 安全专家需要关注的重点是什么?
就记得一个,我选的,防止僵尸网络的持续破坏
这个就是考APT了吧!
9还有关于USB传输的问题,习题上那个翻译非常有问题
原题是:
某企业管理层关注数据安全的问题,并有4个需求:
9-1 要求传输到USB设备上的数据的安全
英语的关键字是 transported data secure
所以我选了使用加密的虚拟磁盘
那是有保密性要求
9-2 还有个需求是如何保护数据完整性
我选了定期进行VALIDATION
其他选项大概是定期把磁带送到供应商处,设定备份周期
10还有问安全工程中哪个是对于系统安全要求的反馈源
我选了系统架构,还有的选项是CONOPS(好像是运维概念)
11软件工程中, Software Assurance主要致力于干啥
选项是提供一致的安全需求列表
指派安全人员进行安全需求评估
亲自评估什么需要保护,什么人需要保护,需要保护多久
还有两个选项不记得了
12 安全模型和网络,云考了很多
比如某个模式下数据丢失是谁的责任,数据泄漏引起的财务损失是谁的责任法律基本没考
13 妈蛋Ipsec考了大概10题,各种问法 AH ESP 隧道模式传输模式
14链路加密和端到端加密考了,原题
15问一个有多个角色的联网信息系统,要实现可靠的访问控制,第一步要做什么 A 用户配置文件 B ACL C 用于访问矩阵 D 基于角色的访问控制矩阵16一直纠结的那个陷门,不是要搞什么合成交易,
而是要在生产系统里插入虚构但是可以识别的交易
所以我选了只能在开发环境使用
因为在生产环境使用陷门和插入虚假交易都是不允许的,尤其是后者
17对硬件加密模块最有效的攻击是:
功耗中间人还有两个忘了
18取款机首要的安全考虑是
电子设备的物理安全网络可用性网络延迟
做题方法:
一,可能正确的答案:
选择适当的控制措施
根据实际情况选择措施
基线
门槛
工作方法
二,可能不正确的答案:
所有
没有
必须
Only 只有
三,答案的三种类别:
1、预防性的
2、探测性的
3、事后的
尽量选预防的,尽量不要选事后性的
葵花宝典 CISSP真题录
1.状态检测防火墙什么时候实施规则变更备份?B A 防火墙变更之前 B 防火墙变更之后 C 作为完全备份的一部分 D 作为增量备份的一部分 2.哪项违反了CEI? B A 隐瞒之前的犯罪记录行为 B CISSP从业者从事不道德行为 3.FTP的风险?B A 没有目标认证 B 明文传输 4.L2TP是为了通过什么协议实现? A A PPP B PCP 5.VOIP在语音通信过程当中,弱点? B A 没有目标认证 B 没有源认证 6.(1) 假如:T为IDS控制成本费用200000美元 E为每年恢复数据节省费用50000美元 R是为实施控制措施之前的每年恢复费用100000美元 问:实际投资回报为: A -50000 B -100000 C 100000 D 150000 A (投资回报就是控制前-控制后, 投资回报负值就是省了多少,正值就是赚了多少) (2) 问年度预期损失ALE怎么计算: B A (R+E)/T B(R-E)+T C (R-T)*E D T/(R-E) 7.ipsec隧道模式下的端到端加密,ip包头 B A 加密,数据不加密 B和数据一起加密 C 不加密,数据加密 8.实施一个安全计划,最重要的是:B
A 获取安全计划所需的资源 B 与高层管理者访谈 9.安全要求属于: B A. ST安全目标 B. PP C . TOE 10.TOE属于 A A CC B 可信计算机 11.公司进行信息安全评估,打算把所有应用程序维护外包,问对服务提供商什么是最重要的? C A BIA B 风险管理 C SLA 12.公司运维外包服务,问什么时候跟服务提供商确定安全要求? A A 合同谈判 B 合同定义 1.外部审计师违反了公司安全要求,问惩罚判定来源: C A 公司安全要求 B 外部审计公司要求 C 双方协议 2.公司实施一个纵深防御政策,问由内到外的层次设计?A? A 边界场地出入口办公区计算机机房 B 围墙场地出入口计算机机房办公区域 3.802.1 b具有什么功能? 共享密钥 4.SSL协议双向认证,部分使用,除了客户端验证服务器,还有? A A 服务器对客户端自我验证 B 客户端对服务器自我验证 5.可重复使用是在CMMI的哪个阶段?第二个 A、不可预测 B、可重复 C、可定义 D、可管理 E、可优化
CISSP认证考试(法律、法规、调查与合规)-试卷1
CISSP认证考试(法律、法规、调查与合规)-试卷1 (总分:62.00,做题时间:90分钟) 1.Cyberlaw categorizes computer-related crime into three categories. Which of the following is an example of a crime in which the use of a computer would be categorized as incidental? (分数: 2.00) A.Carrying out a buffer overflow to take control of a system B.The electronic distribution of child pornography √ C.Attacking financial systems to steal funds D.Capturing passwords as they are sent to the authentication server 解析:解析:B正确。美国已经制定了法律来打击3种类型的犯罪:计算机辅助犯罪、针对计算机的犯罪和附带计算机犯罪。如果某种犯罪属于“附带计算机犯罪”的范畴,这意味着计算机仅以一种次要的方式参与进来,但它的参与微不足道。儿童色情物品的数字发行便是一种“附带计算机犯罪”的例子。真正的犯罪是获取和共享儿童色情图片或图形。这些图片既可以存储在一个文件服务器上,也可以存放在某人桌子上的物理文件中。所以,如果某种犯罪属于这种犯罪类型,并非是一个计算机攻击另外一个计算机。虽然计算机未遭受攻击,但是它却以某种方式被人使用。因此,计算机成为与犯罪有关的额外的证据来源。A 不正确。因为利用缓冲区溢出达到控制系统的目的便是一种针对计算机的犯罪。针对计算机的犯罪是指专门针对计算机(和它的主人)的攻击。其他针对计算机犯罪的例子还有:分布式拒绝服务攻击(distributed denial-of-service attack)、安装旨在造成瘫痪的恶意软件、安装具有恶意目的的rootkits和嗅探器。C 不正确。因为攻击金融系统以偷取资金是一种计算机辅助犯罪。计算机辅助犯罪是指将计算机作为开展犯罪活动的工具。计算机辅助犯罪的例子还有:通过攻击军事系统获取军事情报资料和通过攻击重要的国家基础设施系统从事信息战活动。 D不正确。因为在密码被发送到验证服务器时截获它们是一个针对计算机犯罪的例子。“计算机辅助犯罪”和“针对计算机的犯罪”这两个类别通常容易被混淆,因为从直觉上来看,任何攻击都属于这两类。而区分它们的一种方法就是:针对计算机的犯罪没有计算机就不可能实现,而计算机辅助犯罪在没有计算机的情况下仍然可行。因此,针对计算机的犯罪在计算机普及使用之前不存在(也不可能存在)。换句话说,在过去的好时光里,你不能对你的邻居进行缓冲区溢出攻击,也不能在你敌人的系统上安装恶意软件。这些犯罪都需要用到计算机。 2.Which organization has been developed to deal with economic, social, and governance issues, and with how sensitive data is transported over borders? (分数:2.00) A.European Union B.Council of Europe C.Safe Harbor https://www.360docs.net/doc/d410449825.html,anisation for Economic Co-operation and Development √ 解析:解析:D正确。跨国家边境传输数据的国际组织必须了解和遵循经济合作与发展组织(Organisation for Economic Co-operation and Development,OECD)准则。因为关于私人数据的定义以及如何保护私人数据,大多数国家都有不同的法律条款,因此,国际贸易变得更加错综复杂并给国家经济带米了负面影响。OECD是一个国际化组织,它旨在帮助不同国家和政府共同应对全球化经济所面临的经济、社会和管理挑战。正因为如此,OECD提出了不同国家应该遵循行为指南,从而确保数据得到保护,以及各国都遵循相同的一套规则。这套规则之一便是主体应该能够找出一个组织是否拥有它们自己的私人信息,如果有的话,这信息是什么,从而纠正错误数据并对要求这样做的否定请求提出质疑。A不正确。因为欧盟(European Union)不是一个处理经济、社会和治理问题的组织,而是一个处理敏感数据保护问题的组织。欧盟的隐私原则是:必须在收集数据时具体说明收集原因:数据不能用作其他目的:不应该收集不必要的数据;数据应该只保留到完成既定任务为止:只有需要完成既定任务的人才应该拥有数据的访问权:任何负责安全地存储数据的人都不应该允许数据的无意“泄露”。 B不正确。因为欧洲理事会(Council of Europe)负责创建网络犯罪公约(Conventionfor Cybercrime)。欧洲理事会的网络犯罪公约试图创建一个应对网络犯罪的国际标准。实际上,它是第一个试图通过协调国家法律、提高侦查技术和国际合作寻求处理计算机犯罪的国际化条约。这个公约的目标包括为被告的管辖权和引渡创建一个框架。例如,只有当事故在两个司法管辖区都
对一次通过CISSP考试的建议
对一次通过C I S S P考试的 建议 Prepared on 22 November 2020
对一次通过CISSP考试的建议 通过多年教授“国际注册信息系统安全专家(CISCP)”课程经验后,总结出一些CISSP的考试方法,并相信这些方法是能让您一次通过CISSP考试的有效方法。 有效方法 关于教材的学习: 仔细阅读《(ISC)2 CISSP官方学习指南(第7版)》,每一个章节都要熟读,重点是加强理解。整本CISSP复习指南至少阅读两遍以上,这样能加深内容的印象,对考试才有帮助。 如果自身条件及时间允许的话,可以接受培训。有导师的指导,您能正确理解整体的知识架构、重点和难点、考试技巧、以及学习方法和技巧。 关于做题练习: 练习模拟考试题(可选择《CISSP官方习题集》),认真的去做每一道题,在做题的同时你可以检验出自己在哪方面存在不足,并且可以及时解决问题,直到你达到90%的正确率。 我建议你用在阅读《CISSP学习指南上》的时间为35-45%,15-20%的时间去接受培训,另外35-40%用于模拟考试,这样安排不仅能让你掌握CISSP的知识要点,在时间安排上也比较合理。 如何去考试 认真地对待考试是非常重要的,如果真觉得自己没有准备好,千万不要去尝试,除非您的资金很充足。
考试时要认真的思考每一个问题,像信息安全专家一样,站在企业信息安全保障体系实践下思考问题,选择一个最恰当的答案。 由此您也应该能明白,为什么要去理解《(ISC)2 CISSP官方学习指南(第7版)》中的每一种概念、实践方法和技术。 失败的原因是什么呢 以我的经验,对于大多数具有技术背景的备考者来说,在理解管理方面存在一定的困难,他们往往趋向于技术的思考,这可能是导致失败的一个原因。您面对有一些题的时候,必须像一个信息安全管理者一样去思考问题,并且要学会看到全局。 另一方面,一些有管理背景的备考者在管理方面可能会比较有经验,但是可能会发现在技术问题上有所欠缺。这一类备考者需要了解技术的概念和实践方法,还有更核心的是为什么会有这些技术。 最后就是一些比较有实践经验的备考者,他们尝试运用自己的概念和技术来解答问题,但这是不可靠的。我建议您考虑和接受(ISC)2的思路、方法和技术,因为这些是被国际公认的、现实的和标准化的。(并且大家也是要为拿到认证) 准备材料。 现在市场上会有很多书籍及考试材料,在您不了解的情况下,可以直接选择这些材料来学习,但你应该坚持选择(ISC)2官方的材料,因为官方的材料更权威,知识点更可靠,也更贴近考试内容。 推荐资料:《(ISC)2 CISSP官方学习指南(第7版)》、《(ISC)2 CISSP官方习题集》。 当然了,备考过程中您不用心、不认真,再好的方法也没用。我相信所有备考者,都可以结合自身的情况,运用以上方法取得好成绩。
CISSP最新10位高分考生经验谈
(一)2015年圣诞通过CISSP考试备考经历 2015年的圣诞节在上海黄浦区汉口路亚洲大厦17层奋战了6个小时,最后十分钟才结束检查,交卷,到前台拿考试结果。我连包都没带,把羽绒服脱下来,手机、钱包等物品放在羽绒服里。穿上羽绒服,接过考试结果,瞥了一眼,PASS,虽然内心一阵狂喜,还是非常淡定地穿好衣服走人。电梯下到一楼,用手机拍了一张照,发到朋友圈,考了六小时烤糊了,呵呵。 我应该是2013年的10月份左右参加的培训,当时有些稀里糊涂。培训前一个月把教材寄给我,结果被我丢在一边,没理会。就这么去参加培训了,全脱产5天培训,其中两天是周末,张老师上,余下来三天是另一位老师。依稀记得当时课堂上做题似乎也是错的多对的少,一起培训的大多是银行的人,他们都是要求考过了才给报销考试费,而我是直接培训加考试直接报销了。大部分人在参加培训前已经把All in One这本书看了一遍了,那时候印刷版是第五版,电子版有英文第六版。两位老师都反复强调All in One的重要性,一定要多看几遍这个书,光听培训是不行的。考试的题目比较活,做这些模拟题有点用,但不要抱太大希望。备考无捷径,只有苦读备考圣经--All in One。 老师还说培训完抓紧复习,争取一两个月内拿下考试,否则时间一拖越往后越没信心。而我正好是一个反面典型,一拖就拖了两年。而这两年其实也没好好复习,也就把第五版的All in One看了一遍,第六版的英文教材也就看了前面两三章。因为一直没有做好准备,所以考试的事情一拖再拖,今年下半年时,我下定决心不能再拖了。选了2015年的最后一次考试,也就是12月25日圣诞节的这一天。敲定考试后,本来应该好好复习了,发现也没法好好复习,平时回到家里陪陪女儿,一下子时间就过去了。周末想好好看看书,还是不行。就连那次考前串讲,都是在iPad上断断续续地听的,倒不是因为工作忙,而是送我女儿去写字,呵呵。因为是我坚持送女儿去写字,于是我太太坚决不送。结婚有了小孩后这个时间真是不够用。 回想起来,那几天的培训收获还是挺大的,光看书内容太多,理不出头绪,抓不着重点。 听完培训之后再看书,就容易多了,我是在前面两三章折腾时间特别长。 做那个串讲教材时,我也是一做就错,心里哇凉哇凉的啊。可是离考试只有一多星期了,只能硬着头皮上。我太太看我这个复习的样子,还说你这样子也能过。 想想自己能过,可能有如下几方面的原因: 1、培训的确给力,框架建立起来了。 2、工作经验,毕竟在这一块混了多年。 个人感觉考试题目没有串讲教材那么难,没有多选题,有排序和连线,但加起来的新题型也就4道,而且两道还是单选。 新内容比较少,比如WS-Security、SAML、OAuth2,似乎有一道题考到了云。隐私信息有好几道。 感觉这个考试覆盖面很广,但是深度不大,真好对我这种浅尝辄止人胃口。 (二)拖延症迟来的2015年11月20日考试汇报 ---------------------------------------------------
CISSP官方认证考试指南第7版中文版大纲
CISSP第七版大纲 1.安全何风险管理 1.1.安全基本原则 1.1.1.可用性 1.1. 2.完整性 1.1.3.机密性 1.1.4.平衡安全 1.2.安全定义 1.3.控制类型 1.4.安全框架 1.4.1.ISO/IEC27001系列 1.4. 2.企业安全架构开发 1.4.3.安全控制开发 1.4.4.流程管理开发 1.4.5.功能与安全性 1.5.计算机犯罪法的难题 1.6.网络犯罪的复杂性 1.6.1.电子资产 1.6. 2.攻击的演变 1.6.3.国际问题 1.6.4.法律的类型 1.7.知识产权法 1.7.1.商业秘密 1.7. 2.版权 1.7.3.商标 1.7.4.专利 1.7.5.知识产权的内部保护
1.7.6.软件盗版 1.8.隐私 1.8.1.对隐私法不断增长的需求 1.8. 2.法律、指令和法规 1.8.3.员工隐私问题 1.9.数据泄露 1.9.1.美国的数据泄露相关法律 1.9. 2.其他国家有关数据泄露的法律1.10.策略、标准、基线、指南和过程1.10.1.安全策略 1.10. 2.标准 1.10.3.基线 1.10.4.指南 1.10.5.措施 1.10.6.实施 1.11.风险管理 1.11.1.全面的风险管理 1.11. 2.信息系统风险管理策略 1.11.3.风险管理团队 1.11.4.风险管理过程 1.1 2.威胁建模 1.1 2.1.脆弱性 1.1 2.2.威胁 1.1 2. 3.攻击 1.1 2.4.消减分析 1.13.风险评估和分析 1.13.1.风险分析团队 1.13. 2.信息和资产的价值 1.13.3.构成价值的成本
Cissp考试心得与教材指导.doc
Cissp考试心得与教材指导 前两天接到ISC2给我发来的邮件,当看到邮件中祝贺的字样时, 我知道,我的CISSP考过了。一直悬着的心也终于能够放下了。 去年10月份我在CISSP考试之前,我曾经答应过zsustar,不管结果怎么样,我都会把我备考CISSP的- ?些经验和体会写下来,与正在备考或者准备参加CISSP的朋友们分享,可当时收到成绩单的时候,看到我离分数线之差27分,我一点心情都没有了。250道题,我只要能多答对4-5道题,结果就不会是这样了。 胜利和失败永远只有-线之隔,想要成功,就只能做好充分的准备。在短暂的修整后,我报名参加了12月的CISSP考试。认真总结了第一次考试失败的经验和教训,我又开始重新准备CISSP 考试。考完别人问我考得怎么样,我说:感觉比上次好一点,但不知道结果会不会好一点。现在,我终于可以松-口气。结果,的确比上一次好一点。 CISSP认证不同于其它的认证。我和朋友曾经讨论过CISSP考试与CCIE-security到底有什么不同,我记得我的回答是:CISSP包含了信息安全所涉及的方方面面,包括物理安全、系统安全、操作安全、人员安全等等,而CCIE-security只考虑如何实现网络安全,而且,注重的是如何具体的实现一个安全的网络。因此, 虽然CCIE的考试难度更大一点,但是,CISSP更全面一些。如果你是
一个工程师,想提高自己的在网络安全方面的技术水平, CCIE的认证更加实用一些;CISSP更适合于一个企业内信息部门的主管。 我在公司里主要从事技术支持工作,在工作的过程中,对网络安全、系统安全、风险评估、安全标准、业务连续性计划等内容都有一定程度的接触。当我第一次接触到CISSP的时候,我觉得这个认证就好像是为我量身定做的一样,因此,我决定把这个认证考下来。事实证明,我的工作经验对我能够通过考试也有很大的帮助。 关于教材的选择 关于教材的选择,大家仁者见仁,智者见智,我只对我看过的那些资料谈一下我个人的看法。 The CISSP Prep Guide (2nd Edition) Ronald L. Krutz和Russell DeanVines写的这本书实际上就是大家常说的Prep Guide o据说还有一个Gold Edition,但我一直没有找到英文原版(我在china-pub ±买到了中文版,译者:盛思源、成功),我手上只有第二版的英文原版,因此,不知道这两个版本之间究竟有什么区别。这本书的最大特点就是考试的针对性特别强,很
CISSP认证考试指南2017
国际注册信息系统安全专家 CISSP认证考试指南
关于(ISC)2 ?国际信息系统安全认证协会(International Information Systems Security Certification Consortium) 成立于1989年,总部设在美国弗罗里达州Palm Harbor,在伦敦、香港、东京、北京等地设有办事处,是一个独立的、全球性的、非盈利的组织。 致力于: ?维护信息系统安全领域的通用知识体系 ?为信息系统安全专业人士和从业者提供认证 ?从事认证考试的培训和对认证考试进行的管理 ?通过连续教育培训,对有资格的认证候选人的授权工作进行管理.?(ISC)2同时也向公众提供信息安全方面的教育和咨询服务。
关于(ISC)2 ?(ISC)2是信息安全领域的顶级认证机构之一,到现在已经给超过120个国家的数万名安全专家授予了相关认证。(ISC)2目前提供如下认证: CISSP(Certified Information System Security Professional) 认证信息系统安全专家 SSCP(System Security Certificated Practitioner)认证系统安全实践者 CAP(Certification and Accreditation Professional)认证和评估专家 CSSLP(Certified Secure Software Lifecycle Professional )安全软件生命周期 认证专家
关于我们 ?“汇哲科技”由北京汇哲信安科技有限公司、上海汇哲信息科技有限公司等多个独立公司所组成。(简称“汇哲科技”或“SPISEC”)。长年致力于IT治理,信息安全,IT审计,IT服务管理,业务连续性,项目管理,领先理念等方面实践培训与研究,始终以培养国内信息安全专业人才、组织中国信息安全人交流为发展目标。 ?作为领先的专业培训服务机构,汇哲一直致力于推广信息安全理论和实践,为学员提供“学习国际知识、拓宽职业道路、融入专业社区、持续提升能力”服务。
CISSP_十分全面的介绍
First CISSP简要介绍 编者序言:网络圈中的工程师大概都知道思科的CCIE认证。如果有谁说自己没听过CCIE,那就好象在说自己是外星人一样。同样,在信息安全圈中,也有权威的国际认证,那就是CISSP“Certified Information System Security Professional”(信息系统安全认证专家)。 关于《怎样成为一名CISSP》的初衷 本文作者J0ker是在安全圈中混迹多年的安全专家,他将自己求学CISSP的亲身经历整理成《CISSP的成长之路》系列文章,用J0ker的话说,出文章的目的最主要是想把自己的经验与广大网友分享,同时也纪念自己从业以来的一些经历。J0ker 的话很精练,之前在https://www.360docs.net/doc/d410449825.html,安全频道推出了自己的很多文章,现在安全频道的每周信息安全要闻回顾栏目就是他主持的,我想J0ker出《CISSP的成长之路》系列,也是对他自己的另一种鞭策。 《CISSP的成长之路》将由15到20篇文章组成。其中详细的介绍了CISSP的相关知识、认证备考经过和心得,另外J0 ker还会从CISSP的角度,向大家简单介绍信息安全的组成。希望《CISSP的成长之路》能给大家都带来帮助。最后引用一句J0ker常说的话:你们的支持就是我不断努力向前的动力:) 正文 作为《CISSP的成长之路》系列的第一篇文章,J0ker打算先简要向读者介绍一下CISSP的背景知识,下面我们先来看C ISSP认证的颁发机构(ISC)2: (ISC)2是信息安全领域的顶级认证机构之一,成立于1989年,到现在已经给超过120个国家的五万多名安全专家授予了相关认证。(ISC)2目前提供如下6种认证: SSCP(SystemSecurityCertificatedPractitioner)认证系统安全实践者 CAP(CertificationandAccreditationProfessional)认证和评估专家 CISSP(CertificatedInformationSystemSecurityProfessional) 认证信息系统安全专家 CISSP的升级版本CISSP-ISSAP(InformationSystemSecurityArchitectureProfessional) 信息系统安全架构专家CISSP-ISSMP(InformationSystemSecurityManagementProfessional)信息系统安全管理专家 CISSP-ISSEP(InformationSystemSecurityEngineeringProfessional)信息系统安全工程专家 (ISC)2同时也向公众提供信息安全方面的教育和咨询服务。(ISC)2的官方网站是https://www.360docs.net/doc/d410449825.html, (ISC)2提供的6种认证中,知名度最高和持有者人数最多的是CISSP。截至2007年4月底,全球共有48598名CISS P,其中人数最多的是美国,现有30385名,中国大陆有371名。因为CISSP的升级版本ISSAP和ISSMP要求考试的报名者
cissp_studyguide中文版
Certified Information System Security Professional CISSP证书 公共知识体系学习指南
目录
如何使用本学习指南 本指南针对那些对由CISSP认证感兴趣的安全实践人员开发。它分为三个部分,第一部分是介绍,本解释了CBK,它是CISSP认证考试的基础。此外,CBK也是对由(ISC)2TM提供的CBK复习研讨会(CKB Review Seminar)的基础,也是对想在谈论CISSP证书考试之前正式研究CBK的个体的基础。 第二部分包括十个CBK领域。第一领域包含一个概要和主要知识范畴。 第三部分提供来发展证书考试的参考目录。根据技术和方法的变化,此参考化同时,此参考的且并不试图包揽一切。本部分的目的提供参考类型的例子,它们也许对CISS 证书考试的准备工作有帮助,并且它不是由(ISC)2TM或它的执行委员会直接或间接发行这些参考的。
公共知识体系(CBK) 一般而言职业是特征化的,部分上讲,通过该职业的从业由一种人员共享的,的知识主体他们在工作中应用刻划。它通常是抽象的和稳定的。它独立于必要的技能,工作,行为或技术。CBK语言会专业人员之间的交流。这样一个CBK的存在是必要的,但并不足以证明有资格的专业人员。 CBK委员会由(ISC)2TM执行董事会,对定期为信息安全专业的知识体系进行更新。委员会成员从相关领域中最有经验的和知名的领军人物中选取。委员会鉴定该知识体的边界和主题领域。在决定CBK中应包含什么内容时,决定CBK包含什么委员会的依据是依赖于知识的深度和广度以及中委员对知识的期望。就是,如果委员们认同其它安全专业人员的信息安全领域的某些知识,同时并不认为这些知识不在此领域内,则这些知识就确定为CBK的一部分。但是,如果通常一些特殊的知识认为不在信息安全专业内,则它的知识不包含在CBK内。 当前版本的CBK已更新,由于美国政府的法律和政策删除了一些特殊的参考,增加了国际标准的参考。CBK被组织成十个领域和多个子领域。本学习指南有对CBK中的领域的一节每一,用来帮助应试者准备CISSP认证考试。这十个领域是: 1.访问控制系统和方法 2.电信和网络安全 3.安全管理准则 4.应用和系统开发安全 5.密码学 6.安全体系结构和模型 7.操作安全 8.业务连续性计划(BCP)和空难性恢复计划(DRP) 9.法律,调查研究和道德规范 10.物理安全
CISSP 考试心得
出来拿到监考MM打印出来的PASS的通知单时,悬着的心终于落下了。 最早知道CISSP是在2011年,那个时候还只有英文考试。本文的英文水平比较烂,从小到大英语一直不好,可能有恐惧症吧。一直没有参加英文考试的勇气。2012年知道了CISA,那个时候貌似以已经有CISA的中文考试了,也想学习些信息系统审计的东西。就计划考一下,不过那一年一直比较忙,也没有时间准备。到了2013年终于有了些时间,报了个培训班,参加了6月份的考试。侥幸过了。同年CISSP也推出了中文机考,给我这种英文比较烂的人带来的福音。本来考完CISA后,准备在10.1之前把CISSP也考了,但是下半年出差太频繁,就在网上下载了AIO第五版的中文教材,在宾馆没事的时候就看几页,前后加起来看了有三遍吧。不知不觉就快到年底了,后来觉得这个事情不能再拖了。11月底抽了几天时间回上海参加5天的培训。然后就报名2014年一月低,在阴历年到来之前赶紧把这个事情落实了。那个时候离开时大概还有两个月的时间,又把AIO中文第五版的电子版看了两遍,纸质书看了一遍。我基本上就是看书来着,一遍又一遍的看,不过每次看都比上次看有更深的理解了。题目基本上没怎么做,汇哲给的shonharris编写的习题集,做了两章就做不下去了,一个是都是英文必须用金山词霸查,做完一个得一两个小时,太熬人。二个是这位猛女编写的习题个人觉得实在不怎么样。很多都是AIO教材上的一些图,扣几个空下来让填空。而且很多题目都涉及美国的法律法规什么的,实际的考试中也基本不会考到。火来索性不做了。国盟上的每日一题,大概做了不到100道吧,反正碰到原题的几率不大,主要是要掌握住知识点。 至于要不要参加培训,只能仁者见仁智者见智了。我CISA和CISSP都参加培训了。毕竟花钱不少美刀参加考试,肯定想一次性过么,个人觉得培训还是能帮着把一些知识点帮你理顺,复习的时候更有针对性吧。 说一下去考试的情况吧,我选择的考点是天钥桥路路腾飞广场。进去后需要身份证和一张签了名的信用卡,然后是采集掌纹,所有的东西都不得带入考场。去的时候带了两罐红牛,进考场前喝了一罐,中间休息的时候又喝了一罐(中间休息的时候也算时间的)。里面考MAIT的人挺多的,一人一格的,不过考CISSP的是个小单间,一面只有一台电脑,怪爽的。噪音不咋大,基本上不用带耳塞的。盯着电脑屏幕时间长了,眼镜都花了,建议做了大概150道题的时候,出来休息一下,缓解一下眼睛。对了,提前到的话,如果有空机的话可以提前考试的。把题目做完大概用了四个小时。然后把标记30道左右的题,检查了一下。大多数都没有改,就改了不到5个。有些也拿不准还是相信第一印象吧。最后还有20分钟的时候提交了试卷。怀着忐忑的心情走出了考场,好歹是过来。下面的事情就该准备英文简历和请人背书的事情了。不太会写,基本上算记流水账吧,希望对即将参见CISSP考试的人有帮助。
CISSP 考生复习经验分享汇总
总是看别人的心得,终于可以自己写一次啦.本人毕业后一直从事信息安全工作, 5年外企工作经验,下面说一下我的学习计划供大家参考. 2016.02.18到2016.04.28,第一遍all in one 6th,我直接看的英文,课后题正确率60%左右. 2016.4.29到2016.7.17(5.20到6月20有事完全没看),第二遍all in one 6th,课后题正确率80%左右.然后就高兴的找preguide的review question来做,发现正确率很低,有的知识点在all in one里面没见到,所以决定看preguide. 2016.7.18到2016.9.10(中间孩子生病耽误了10几天), preguide只看了这一遍, review question在做第二遍的时候正确率大概75%左右. 2016.9.11到2016.10.12,找了很多各章节的题目,包括以前老一点的题目,如果遇到不是很清楚的就去找看相应的章节.做题速度也明显提升,基本3个小时能答完250道的速度. 因为白天工作是项目赶进度的时候,没有时间看,晚上和周末要陪孩子.我基本都是早上在路上看书,晚上9点多孩子睡着了再看,有效时间每天差不多保证2小时(当然也有哄着孩子睡觉自己睡过去的时候). 考试的时候是理解题多一些, 但也不全是情景题.不会直接考概念,都会转个弯问,答案里面基本有两个一看就是错的,但剩下的两个就看你怎么理解了.有图形题和配对题. 对我来说看书和做题都很重要, 必须对大部分的知识点都有概念了再做题,查缺补漏.如果能看下去CBK,可以直接看CBK, all in one还是10个域的知识点, CBK虽然少了两个域,但内容上却增加了,其他章节整合了.我是看不下去CBK,内容太散了,和我一样的同学可以看all in one,再看一遍pre-guide 7th,补充下知识点就可以了. 要报考了才知道没英文考试了,好在是中英对照的,考试的时候可以直接忽略中文,不然那个翻译会很影响你的判断.我前150道题完全没状态,速度也慢.出去喝水上厕所又在外面站了会才回去,后面正确率和速度都上来了,但5个小时过去了,只剩下1个小时检查,把标记的检查了一遍,从头检查到170道的时候时间到了,检查的时候改了很多,因为之前的150道完全没状态. 出去考试人员打印出两张纸,一看是恭喜我就跑出去玩啦……….
CISSP认证术语全表(2017年新版中文考生必备)
1 2016 CISSP Certification Exam Glossary CISSP 认证术语全表 Basic Vocabulary CISSP Certified Information Systems Security Professional CBK Common Body of Knowledge CERT Computer Emergency Response Team (ISC)2 International Information Systems Security Certifications Consortium, Inc. SIG-CS Special Interest Group for Computer Security DPMA Data Processing Management Association ISSA Information Systems Security Association CIPS Canadian Information Processing Society CSI Computer Security Institute CPE Continuing Professional Education FBI Federal Bureau of Investigation PCCIP President Commission on Critical Infrastructure Protection PPD President Decision Directive CIAO Critical Infrastructure Assurance Office ISACs Information Sharing and Analysis Centers MDACs Microsoft Data Access Components CC Common Creteria TCSEC Truested Computer System Evaluation Criteria ITSEC Information Technology Security Evaluation Criteria
CISSP认证成功备考经验谈
1. 选择教材 关于CISSP的教材有很多,我自己在备考时主要参考了all in one,这也是在谷安天下培训时,讲师推荐的参考资料。由于CISSP考试的内容涵盖的范围很广,在准备考试时总要遇到一些没有见过的名词或者术语,这就需要借助其它参考资料如prep guide等。我个人经常使用维基百科https://www.360docs.net/doc/d410449825.html, 来查找一些名词或者术语的解释。另外,经常在网上有很多人找中文的CISSP资料,我个人还是推荐大家一开始就使用英文的资料。因为,一方面,中文的资料比较少而且比较老;另一方面,CISSP的考试目前还没有中文的考试,我们只能选择英文的。使用英文的资料,原汁原味,便于对知识点的完全理解和对实际考题的把握。 2. 复习考试 确定主要的参考资料后,接下来最为关键的就是准备复习考试了。说实话All in one 1000多页的内容,大多数人一看教材的厚度就感觉有点吃不消,更何况这1000多页内容还是英文的。 当我把书通读一遍后,再看第二遍的时候就感觉容易多了。我个人觉得书还是有必要多看的,但是读书不是走过场,要针对自己不熟悉的领域多读多看。要有重点,有目的的看书。 3. 做题 CISSP考试涉及的范围很广,包括了信息安全的各个方面,但是试题的难度并不大。所以备考的关键是要掌握大量的知识点,做题只是用来检验自己当前的备考情况。我个人在备考的时候,每看完一章的内容,都会做一些题来检验自己的读书情况。但是做的题量并不大,比较熟悉的章节一般是25个题,不熟悉的章节一般是50个题左右。 4. 考试 CISSP的考试报名非常方便,可以在(ISC)2 网上报名,用信用卡缴费。参加考试的时候要打印出(ISC)2 的admin letter还要带上身份证。CISSP的考试长达6个小时,既是对知识的考察,又是对体力的考验,所以考前充分的休息以保证充沛的精力参加考试是非常必要的。 在考试后的两周,我收到了考试通过的邮件,同时(ISC)2还要求准备endorsement文件。我分别用email和传真把endorsement文件发给了(ISC)2。(ISC)2的效率很高,两天后就通知我通过了审核,CISSP证书也已经寄出。大概再过2周便收到了(ISC)2寄来的CISSP证书。 通过CISSP考试,并不是学习的结束,而是刚刚开始。我觉得拿到一个证书,只是证明了你具备了这个证书所要求的基本知识,要想在以后的工作中取得成功,还需要我们不断的去学习。我想这也是为什么(ISC)2要求每个CISSP三年要攒够120个CPE的主要原因吧。“路漫漫其修远兮,我将上下而求索”,借此与诸位共勉。
我的两次CISSP考试认证历程
我的两次CISSP考试认证历程 经过一个半月的煎熬等待,终于收到了CISSP考试通过的通知, 之前的努力付出算是有了收获。网上有许多成功考过的心得,但是很少有讲失败经历的,实在惭愧,我经历过一次失败,红着脸给大家分享,希望能够为那些准备或已经奋斗在CISSP考试路上,和我一样迷茫过的同学们提供一些帮助借鉴。 第一次备考: 从去年九月开始打算考CISSP,学习第一本资料是AIO第五版。对于考试学习,我属于学渣级别,看到考试就头大,两个多月后才看完第一遍,每一章花的时间太长 ,看了下一个CBK,忘记上一个CBK。总体感觉是知识点太分散,抓不住考点在哪,英文又蹩脚,把每个CBK后面测试题做了一下,结果惨不忍睹,而CISSP中文测试题资料也不好找,索性硬着头皮开始啃AIO英文第五版,并参加 了十二月份的CISSP培训。 开始总是比较难,走出大学后英文就还给了老师,满篇的单词不识几个,且不说理解,能完整看完一篇都很困难,而一千多页的英文几乎成了我不可跨越的大山。这需要坚持不懈的恒心和毅力,为搞定英文,必要的武器是不能少的:平板和一个好用的词典软件。之后就是每天坚持学习,根据自己学习能力制定学习量,争取每天阅读量能不断递增,从不间断。就这样又花了近三个月时间看完英文版,此时我已经在CISSP考试的路上奋斗了五个多月,希望春节前考过CISSP 计划落空,而我定下目标是六个月内要拿下,只有争取三月初报名考试。 接下来一个月时间里为避免知识遗漏,又找了一些资料如study guide,prep guide,网友学习笔记等看了看(实际情况是我连AIO知识点都没有吃透),之后再把AIO第六版英文版(当时第六版中文版还没有出来)中相对第五版中不同的知识点看了一遍,将每个CBK后面习题做了一遍,正确率在70%左右,自我感觉是如果是中文题,正确率应该能够在80%以上的,这个错误的主观判断和自己强烈想三月前完成CISSP考试的目标,让我最终决定三月初报名考试。考前两天我把做错的题在看了一遍,匆匆翻了一遍培训讲义,快速过了一遍十个CBK知识点,感觉不是太好,但还是相信运气好点应该能过。 考试当天醒的很早,我预约时间是九点半,为了让自己心里踏实一些,又狂翻了一下知识要点(没有任何效果,反而让自己思维混乱),然后吃了早点,带上几块巧克力一瓶水,以备考试中途休息补充能量。到了考试点后就是一系列身份证,指纹,照相,签名,进出考场掌纹验证,气氛搞得有点紧张(身份证明必须要两个,身份证,社保卡,行用卡,护照均可)。进入考试后开始做的前几题就让我有点忐忑了,都是我不熟悉的领域,和测试题的类型差距也比较大,而旁边考GAT的兄弟键盘敲的哗哗响。没办法,只有静下心来慢慢往后做,感觉题目难度下降,渐渐进入考试节奏,做到150道后精力不太集中,有点犯困,出来补充下能量,闭上眼休息了半小时。回来把剩下题目做完,离考试结束还有四十分钟,然后对没有把握的题再看一遍,还没全部检查完考试时间结束,考完第一感觉就是成绩介于过与不过之间,紧张地在考场外等待宣判。几分钟后一张纸递到眼前:分数680,你很努力但很遗憾,欢迎下次再来!然后下面依次列出了考的好与不好的CBK,令我意外的是其中考的不好的一个CBK是我比较熟悉的一个领域。 心情失落是肯定的,但是生活还的继续,几天的消沉之后,开始思考失败的
01 CISSP认证考试指南复习
第三章信息安全与风险管理 1、脆弱性指的是缺少防护措施或防护措施存在能够被利用的缺陷。 2、威胁是某人或某物有意或无意地利用某种脆弱性并导致资产损失的可能 性。 3、风险是威胁主体利用脆弱性的可能性以及相应的潜在损失。 4、减少脆弱性和/或威胁就可以降低风险。 5、暴露是由于威胁而造成资产损失的实例。 6、对策(也称为防护措施)能够缓解风险。 7、对策可以是应用程序、软件配置、硬件或措施。 8、如果某人行使“适当关注”,那么说明他对自己的行为负责。如果出现安 全入侵,那么他被发现失职和承担的可能性更小。 9、因为网络已经从集中化环境发展成为分布式环境,所以安全管理最近几年 变得更为重要。 10、安全计划的目标是为数据和资源提供机密性、完整性和可用性。 11、战略规划是长期规划,战术规划是中期规划,而操作规划是日常规划。它 们组成了一个远景规划。 12、ISO/IEC27002(以前的ISO17799 Part 1)是一组内容全面的控制措施, 包括信息安全方面的最佳实践,并且为如何制订和维护安全计划提供指导 原则。 13、安全组件可以是技术性的(防火墙、加密以及访问控制列表),也可以是 非技术性的(安全策略、措施以及实施遵从)。 14、资产标识应当涉及有形资产(设施和硬件)和无形资产(企业数据和声誉)。 15、评估项目规模指的是理解和记录项目的范围,必须在进行风险分析之前进 行这种评估。 16、保证是提供特定安全级别的信任程度。 17、CobiT是一个架构,它定义了应该用于正确管理IT并确保IT满足业务需 求的控制措施的目标。 18、CibiT分为4个领域:计划与组织、获取与实现、交付与支持以及监控与 评估。 19、ISO/IEC27001是用于建立、实现、控制和完善信息安全管理系统的标准。 20、安全管理应该由顶向下进行(从高级管理层向下至普通职员)。 21、治理是董事会和执行管理层履行的一组职责和实践,其目标在于提供战略 指导,确保目标得以实现,风险得到适当管理,并验证企业的资源得到合 理利用。 22、一个公司选择的安全模式取决于该公司的业务类型及其关键任务和目标。 23、OECD是一个帮助不同政府展开合作、处理全球经济所面临的经济、社会 和管理挑战的国际性组织。 24、风险可以转移、规避、缓解或接受。 25、公司购买保险就是风险转移的示例。 26、缓解风险的方式包括改善安全措施和实现防护措施。 27、威胁*脆弱性*资产价值=总风险。 28、(威胁*脆弱性*资产价值)*控制间隙=剩余风险。 29、风险分析由下列4个主要目标:确定资产及其价值,识别脆弱性和威胁, 量化潜在威胁的可能性与业务影响,在威胁的影响和对策的成本之间达到
葵花宝典--CISSP真题录.docx
葵花宝典 --CISSP 真题录
1.状态检测防火墙什么时候实施规则变更备份? B A防火墙变更之前 B防火墙变更之后 C作为完全备份的一部分 D作为增量备份的一部分 2.哪项违反了 CEI? B A隐瞒之前的犯罪记录行为 B CISSP从业者从事不道德行为 3.FTP的风险? B A没有目标认证 B明文传输 4.L2TP是为了通过什么协议实现?A A PPP B PCP 5.VOIP在语音通信过程当中,弱点? B A没有目标认证 B没有源认证
6.(1) 假如: T 为 IDS 控制成本费用 200000 美元 E为每年恢复数据节省费用 50000 美元 R是为实施控制措施之前的每年恢复费用 100000 美元 问:实际投资回报为: A-50000 B-100000 C100000 D150000 A ( 投资回报就是控制前 - 控制后 , 投资回报负值就是省了多少,正值就是赚了多少 ) (2)问年度预期损失 ALE怎么计算: B A (R+E)/T B(R-E)+T C(R-T)*E D T/(R-E) 7.ipsec 隧道模式下的端到端加密,ip 包头B
A加密,数据不加密 B和数据一起加密 C不加密,数据加密 8.实施一个安全计划,最重要的是:B A获取安全计划所需的资源 B与高层管理者访谈 9.安全要求属于:B A. ST 安全目标 B.PP C.TOE 10.TOE属于A A CC B可信计算机 11.公司进行信息安全评估,打算把所有应用程序维护外包,问对服务提供商什么是最重要的? C A BIA B风险管理
C SLA 12.公司运维外包服务,问什么时候跟服务提供商确定安全要求? A A合同谈判 B合同定义 1.外部审计师违反了公司安全要求,问惩罚判定来源: C A公司安全要求 B外部审计公司要求 C双方协议 2. 公司实施一个纵深防御政策,问由内到外的层次设计? A ? A 边界场地出入口办公区计算机机房 B 围墙场地出入口计算机机房办公区域 3.802.1 b 具有什么功能? 共享密钥