CISSP考试必备指导笔记

目录

目录........................................................................................................................................................................................1

First CISSP 简要介绍............................................................................................................................................................2

The Second 为什么要获得 CISSP 认证................................................................................................................................4

Third 怎样获得 CISSP 认证..................................................................................................................................................5

Fourth 怎样获得 CISSP 认证................................................................................................................................................8

Fifth 怎样获得 CISSP 认证.................................................................................................................................................10

Sixth 复习流程及资源.........................................................................................................................................................12

Thirteenth 安全架构和设计之安全模型............................................................................................................................28

Fourteenth 系统架构和设计之保护机制............................................................................................................................32

Fifteenth 系统架构和设计之安全标准...............................................................................................................................36

Sixteenth 复习访问控制......................................................................................................................................................41

Seventeenth 复习访问控制.................................................................................................................................................42

Eighteenth 详述网络威胁类型............................................................................................................................................45

Nineteenth 详述安全威胁控制手段...................................................................................................................................49

Twentieth 讲解身份验证过程.............................................................................................................................................53

（二十一）：用户持有凭证..............................................................................................................................................55

二十二）：用户的生物特征..............................................................................................................................................57

编者序言：网络圈中的工程师大概都知道思科的 CCIE 认证。如果有谁说自己没听过 CCIE，那就好象在说自己是外星人一样。

同样，在信息安全圈中，也有权威的国际认证，那就是 CISSP“Certified Information System Security Professional”（信息系统

安全认证专家）。

　　关于《怎样成为一名 CISSP》的初衷

　　本文作者 J0ker 是在安全圈中混迹多年的安全专家，他将自己求学 CISSP 的亲身经历整理成《CISSP 的成长之路》系列文

章，用 J0ker 的话说，出文章的目的最主要是想把自己的经验与广大网友分享，同时也纪念自己从业以来的一些经历。J0ker 的

话很精练，之前在 51CTO.com 安全频道推出了自己的很多文章，现在安全频道的每周信息安全要闻回顾栏目就是他主持的，

我想 J0ker 出《CISSP 的成长之路》系列，也是对他自己的另一种鞭策。

　　《CISSP 的成长之路》将由 15 到 20 篇文章组成。其中详细的介绍了 CISSP 的相关知识、认证备考经过和心得，另外

J0ker 还会从 CISSP 的角度，向大家简单介绍信息安全的组成。希望《CISSP 的成长之路》能给大家都带来帮助。最后引用一

　　SSCP（SystemSecurityCertificatedPractitioner）认证系统安全实践者

　　CAP（CertificationandAccreditationProfessional）认证和评估专家

　　CISSP(CertificatedInformationSystemSecurityProfessional) 认证信息系统安全专家

CISSP 的升级版本 CISSP-ISSAP(InformationSystemSecurityArchitectureProfessional) 信息系统安全架构专家

　　CISSP-ISSMP（InformationSystemSecurityManagementProfessional）信息系统安全管理专家

　　CISSP-ISSEP（InformationSystemSecurityEngineeringProfessional）信息系统安全工程专家

　　（ISC）2 同时也向公众提供信息安全方面的教育和咨询服务。(ISC)2 的官方网站是 http://www.isc2.org

　　（ISC）2 提供的 6 种认证中，知名度最高和持有者人数最多的是 CISSP。截至 2007 年 4 月底，全球共有 48598 名

CISSP，其中人数最多的是美国，现有 30385 名，中国大陆有 371 名。因为 CISSP 的升级版本 ISSAP 和 ISSMP 要求考试的报

名者必须是 CISSP，而且有一定的相关领域工作经验要求，所以在国内除了香港 18 名台湾 4 名持有者之外，大陆还没有持有

　　1、AccessControl 访问控制

　　2、ApplicationSecurity 应用安全（包括开发）

　　3、BusinessContinuityandDisasterRecoveryPlanning 业务持续性和灾难恢复计划

　　4、Cryptography 信息加密

5、InformationSecurityandRiskManagement 信息安全和风险管理

6、Legal、Regulation、ComplianceandInvestigation 法律、法规、调查

　　7、OperationsSecurity 操作安全

　　8、Physical（Environment）Security 物理（环境）安全

　　9、SecurityArchitectureandDesign 安全架构和设计

　　10、TelecommunicationandNetworkSecurity 通讯和网络安全

考生要留出大概半个小时的时间把答案填到答卷上，事实上考生用来完成每道题的时间只有一分钟左右。CISSP 考试也不是光

靠死记硬背复习资料就能解决的，大部分题目都是给出现实中的一个场景，让考生分析后再选出正确的答案，有些迷惑性比较

强的题目不是 4 选 1，而只能凭感觉在 2 个相似答案中选其一。

　　每次 CISSP 考试的通过率都不算低，但还是有大概一半的考生无法通过考试。他们并不是说个人能力有问题，很大程度上

还是因为 CISSP 考试考察的范围太广。尽管如此，J0ker 依然相信，即使他们没有通过 CISSP 的考试，但通过学习 CISSP 的

课程，他们对信息安全的知识水平和整体把握能力都会有一个较大的提升，这将成为他们安全从业经历中一份不可多得的宝贵

The Second 为什么要获得 CISSP 认证

J0ker 简单介绍了 CISSP 及认证机构（ISC）2 的背景。相对于知道 CISSP 或者（ISC）2 这两个抽象的概念，读者肯定对为什

么要获得 CISSP 认证、获得 CISSP 有什么好处和 CISSP 主要从事什么工作这样的问题更感兴趣，J0ker 将在本文中结合自己

的经历给读者解答一下。

　　第一个问题，为什么要获得 CISSP 呢？

　　信息安全是一个相对的概念，在安全威胁很低的情况下，安全专家通常是被人们所遗忘的对象。但随着信息技术的发展，

一份力量。此外，获得 CISSP 认证还有其他的好处，比如：

　　1、 适应市场中越来越热的对信息安全人才的需求

　　2、 增加对信息安全的知识和概念的理解

　　3、 为当前的工作增加信息安全的理念

　　4、 在日益激烈的职场竞争中增强自身优势

　　5、 在薪水增长和职务提升上更有优势

　　J0ker 是 2004 年听朋友（国内最早的 CISSP 之一）说起 CISSP 是国际上最权威的信息安全认证，也觉得应该要提升一下

自己的层次，所以就开始注意上这个认证，但因为种种原因，一直到今年才考。之前一直认为 CISSP 只是单纯的技术认证，但

接触上之后才发现，CISSP 其实是涵盖了信息安全的各个方面，着重突出了信息安全是由技术和管理构成的整体这一观点，

的整体安全和管理高于技术两个观点有了深刻的体会。学习 CISSP，本身就是一个对学习者安全知识体系进行完善的过程，相

信其他 CISSP 或学习过 CISSP 的读者也有相似的体会。

具体执行工作，头衔一般就是 Security Administrator、Security Analyst 或 Security Engineer。随着工作经验的增加，CISSP

会渐渐脱离具体的技术工作，转而从事更偏重管理、处于企业中层的工作，比如安全产品开发团队或安全服务团队的领导、安

　　最后说说大家最感兴趣的 CISSP 薪水问题，因为国内 CISSP 薪水的总体情况 J0ker 也不是很了解，在此就借用（ISC）2

2006 年度的官方报告来说一下，CISSP 薪水水平的分布成金字塔型，职务越高薪水越高，人数也越少。还是以美国为例，

2006 年 CISSP 的平均年收入为：

　　IT Administrator： $45000-$55000

　　Information Security Administrator：$75000

　　Security Analyst/Engineer：$80000

　　Manager， Information Security :　$100000

　　CISO, CSO ：$150000 及以上

另外，国内和国外相同的一点是，拿到 CISSP 认证之后通常待遇都会有所提升。

Third 怎样获得 CISSP 认证