CISSP安全认证备考指南2017

"CISSP葵花宝典2017.pdf" 是一本非官方的CISSP（Certified Information Systems Security Professional）考试辅导资料，它基于2017年的官方指南和其他相关学习材料编译而成。这本书涵盖了CISSP考试的八大知识领域，旨在帮助考生理解和掌握信息安全领域的核心概念和实践。 第一域：安全与风险管理 1. 保密性、完整性和可用性是信息安全的三大基石，考生需要理解它们的含义和应用。 2. 安全治理原则涉及如何在组织中建立和执行安全策略。 3. 合规性要求考生熟悉各种法规和标准，如PCI DSS、HIPAA等，并能将这些规定融入组织的安全实践。 4. 全球化背景下的法律和法规问题，包括不同国家和地区的信息安全法律法规，如欧盟的GDPR。 5. 职业道德是信息安全专业人士必须遵循的行为准则，如尊重隐私、避免利益冲突等。 6. 文档化的安全政策、标准、程序和方针是组织安全管理体系的基础。 7. 业务连续性管理要求考生理解如何规划和实施应对灾难或中断的策略。 8. 人员安全策略涉及员工培训、意识提升和行为规范。 9. 风险管理包括识别、评估、优先级排序和处理风险。 10. 威胁建模用于预测潜在威胁并制定预防措施。 11. 在采购决策中融入安全风险考虑，确保产品和服务的安全性。 第二域：资产安全 1. 资产分类有助于确定保护级别，如敏感性和关键性。 2. 所有权明确，如数据所有者、系统所有者，确保责任落实。 3. 保护个人隐私，遵守相关隐私法规，如CCPA、GDPR。 4. 数据保留策略确保数据在适当的时间内被保留或删除。 5. 数据安全控制措施涵盖静态和动态数据的安全，如加密、访问控制。 6. 处理要求涉及敏感信息的标识、标记、存储和销毁流程。 第三域：安全工程 1. 安全设计原则指导工程实践，如最小权限、故障隔离等。 2. 安全模型的理解，如Bell-LaPadula模型、 Biba模型，帮助构建安全系统。 3. 根据系统安全评估模型选择合适的控制措施和对策。 4. 了解信息系统的安全能力，如存储保护、虚拟化技术、TPM（可信平台模块）等。 5. 评估并缓解安全架构、设计和解决方案中的弱点，以增强系统安全性。 6. 针对Web系统的安全评估，关注OWASP（开放网络应用安全项目）十大安全风险。 7. 移动设备和物联网安全的评估与缓解，考虑无线通信、移动应用安全等问题。 这本书全面覆盖了CISSP考试的知识点，对于准备CISSP认证的考生来说，是一份非常宝贵的参考资料。通过深入学习，考生可以增强对信息安全的理解，提高风险管理能力，并为组织构建更稳固的安全防线。