对信息安全领域所有相关主题精炼整理后得到的标准化的知识体系
关于 CBK Common Body of Knowledge(公共知识体系)
信息安全与风险管理(Information Security and Risk Management)
安全结构与设计(Security Architecture and Design)
访问控制(Access Control)
应用安全(Application Security)
操作安全(Operations Security)
物理与环境安全(Physical and Environment Security)
密码学(Cryptography)
电信与网络安全(Telecommunications, and Network,Security)
业务连续性与灾难恢复(Business Continuity and Disaster Recovery)
法律、符合性与调查(Law, Compliance and Investigations)
详解如下:
1. 信息安全与风险管理
信息安全的基本概念和 CIA 三原则、信息安全管理的过程模型,信息安全计划、风险管理概念,风险管理过程、信息资产、威胁、弱点、残留风险的概念及相互关系、定量和定性 风险评估方法及实施过程,风险消减策略和考虑因素、配置管理、变更管理、应急计划等风险管理相关活动、数据分类、安全方针、标准、指南和程序、角色和责任,人员安全, 安全意识和培训等。
2. 电信与网络安全
开放系统互连参考模型、网络通信基础,物理连接技术与特性,网络拓扑,信号传输类型、 典型的网络通信协议,TCP/IP;局域网技术:传输方式,介质访问控制方式,实现方式,设备;广域网技术:链路类型,广域网交换,协议,设备;远程访问安全与管理;网络通信安全技术:数据传输保护,边界防护,IDS,可用性保证;无线技术及安全;各种网络攻击手段与对策等。
3. 访问控制
什么是访问控制?访问控制的要素和各类访问控制措施;身份识别与认证技术:口令、一 次性口令、生物识别、SSO 等;访问控制技术和方法:MAC、DAC、基于角色 AC 等;访问控制管理:集中式与分散式;访问控制佳实践:预防为主,防止信息泄漏,管理,跟踪审计,小特权和职责分离;典型的访问控制威胁:口令攻击,拒绝服务,欺骗攻击,渗透测试等。
4. 应用安全
软件应用环境:分布式和集中式系统,典型威胁,各类应用控制;数据库和数据仓库的安全性;基于知识的系统:专家系统和神经网络;系统开发控制:系统开发生命周期,在系 统开发生命周期内考虑到安全措施,软件开发过程模型,软件开发方法;软件保护机制和佳实践等。
5. 密码学
密码学基本概念、目标、发展历史、技术和方法、应用领域;对称密码学简介、分类,DES等典型算法介绍;非对称密码学基本原理,RSA、ECC 等典型算法介绍;对称密码学和非对称密码学对照比较;消息验证,数字签名;密码学应用:PKI,电子邮件安全,网络安全,电子商务,消息隐藏;密钥管理:密钥生成、交换、撤销、恢复等,密钥托管;密码学相关攻击手段等。
6 安全模型和设计
计算机体系结构:计算机硬件软件构成,开放系统与封闭系统;保护机制的概念和各种类型;安全模型:BLP、BIBA、Clark Wilson 等;系统运行的安全模式;系统评测:认证和认可,各类测评标准;安全体系结构面临的威胁:隐蔽通道,后门,异步攻击等。
7. 操作安全
操作安全 OPSEC 的定义,需要考虑的因素;控制措施的各种分类方式;操作安全佳实践和管理原则:DueCare,小特权,分离职责等;日常管理和系统操作事务:配置管理,事件管理,问题管理,变更管理,防病毒管理,介质管理,可信设施管理,可信恢复等
审计与监视:审计目标、概念、工具和技术等。
8. 业务连续性与灾难恢复
基本概念:什么是 BCP 和 DRP?其相互关系,为什么需要 BCP?;做好准备工作:目标,范围,责任,资源,计划,支持;业务影响分析 BIA:基本概念和实施过程;确定恢复策略:关键活动,预算计划和考虑因素;开发计划:内容和格式;实施计划:备用站点,签署协议,人员培训;测试计划:测试目的,测试计划,测试方法;维护计划等。
9. 法律、符合性和调查
计算机犯罪的概念定义,犯罪手段,经典案例;计算机相关法律的类型:知识产权保护, 隐私保护,版权保护,进出口限制,计算机犯罪法;计算机道德话题;计算机犯罪调查: 一般概念,对计算机事件的定义,计算机辨析学,证据类型、标准和生命周期等。
10. 物理与环境安全
物理与环境安全存在的问题:识别需要保护的物理资产,物理资产面临的威胁和风险;各种物理与环境安全控制措施:管理、技术和物理控制;场地设施的选择和建设;环境和生 命安全:供电,空调、温度和湿度控制,防火,防水;人员安全考虑;硬件设备的安全。
值得注意的是2011年ISC2 公布将在2012年3月以后更改CISSP考试大纲,通过的更正,其中对于CISSP目前大纲名称有所变更,具体内容无更新变化。
下面我们讲一下谷安天下在CISSP培训中都有何优势:
首先:历史起源长:谷安天下公司自2007年成立以来,就在国内开展CISSP培训教育活动,历经7年时间,谷安在CISSP培训方式上不断创新,授课经验与技巧上也不断完善。目前谷安CISSP培训已经由标准的5天时间课程,演进为CISSP培训经典班和CISSP培训班两种分类,经典班自2014年起,5天变成9天,费用没变,这就让大家的备考准备更胜一筹。
谷安CISSP班的授课是在9天经典班基础之上增加为期三个月的培训与辅导,谷安资深讲师为学员制定科学的学习计划,数名老师全程指导你的备考过程,包含分章节讲解、分章节练习及综合练习等,让学员360度深刻掌握CISSP考试知识点,以不变应万变。争取一次通过考试!万一,次你考试未过,谷安将提供CISSP培训班学员免费参加考试的机会一次,如果第二次考试还不能通过,谷安将同等考试费的金额返还学员。CISSP的班学习,谷安讲师及班主任会付出很多心血,同样学员们也需要付出精力和时间配合,终定会保障学员顺利通过CISSP认证考试。
其次,谷安天下拥有国内早一批CISSP证书持有者,并且谷安公司本身就是从事信息安全与IT风险管理的咨询公司,讲师既是谷安天下一线项目经理、资深顾问,都是一直在信息安全管理一线工作,目前谷安的咨询项目主要定 位在金融、央企、通信等重点行业单位,接触的都是非常具有典型的信息安全高端项目,谷安常年授课老师数位,每位讲师只讲每项课程中的擅长章节,知识领域高度统一,避免了知识的蹩脚,让学员有效的汲取每位讲师擅长的知识领域,达到培训效果。
再次,谷安天下自2013年专门开设了信息安全专业人员持续教育服务,全年的信息安全与IT风险管理相关专题讲座20余场,既能满足CISA认证和CISSP认证所需的CPE持续教育,又能在实际的工作中得以了解业内前瞻的、热点的信息安全综合知识,让您自己在工作生活中不断充电,不断完善。
选择CISSP培训,我们看重的不正是讲师能力和服务能力吗?
还有一点我们想强调,CISSP是国际公认、公平的高信息安全专业资质认证,任何机构都无法通过非正当途径帮助个人取得认证,谷安天下由业内早专业从事信息安全咨询服务与IT风险研究团队组建,是国内家专注于信息安全与IT风险管理领域的服务机构,专业知识源自一线项目,授课理论与实践结合,选择谷安CISSP培训,也必将是您的佳选择!
更多信息安全与IT风险管理培训,诸如CISA、CISSP、CISP、ITIL、COBIT、27001等高端认证详情,请咨询谷安天下010-51626887 4000706887 www.g***
另:双11,谷安网校将开启首届信息安全网购狂欢节
双11这一天,已经演变为一年一度的购物狂欢节。在这一天,商家都会拿出多的优惠“招待”顾客。为此,谷安网校(http://edu.g***/)将为您倾心打造首届信息安全网购狂欢节,陪您渡过24小时的不眠之夜。本次活动安排如下:
1、 从11月11日0:00开始,关注“谷安天下培训”或扫以下二维码即可自动弹出“砸金蛋”界面,让您抽取心动大奖。一等奖20名(价值万元),二等奖300名(价值千元),三等奖1000名(价值百元),抽完为止。
2、 谷安网校从11月11日0:00开始,网校课程精品课程(包含网络渗透与防御、IT审计实务、CISA串讲、CISSP串讲、安全运维等精品课程)3折起,70%的off是我们真诚的大礼,活动于11月11日23:59结束
3、 从即日起,购买谷安CISP、CISSP、CISA、COBIT、prince2等任何一门面授课程,即可获赠谷安网校任意一门在线课程。
让我们一起等待11月11日0:00的到来!