CISSP备考中文详解超详细的中文备考资料资料下载.pdf
《CISSP备考中文详解超详细的中文备考资料资料下载.pdf》由会员分享,可在线阅读,更多相关《CISSP备考中文详解超详细的中文备考资料资料下载.pdf(60页珍藏版)》请在冰豆网上搜索。
考生应该先了解一下CISSP考试的10个CBK的组成和内容,根据自己的情况将掌握得较好、较差的CBK分别列到表里,并以此为根据安排各CBK复习的优先度。
考生还需要根据自己空闲时间的多少,合理的进行分配,比如,如果有半年的准备时间的话,每天保证1到1个半小时复习即可,如果准备的时间较短,可以斟酌增加每天复习的时长。
进行复习制定好复习计划之后,考生便可每天按照计划好的优先度和时间安排进行复习。
复习中有2个要点,其一复习贵在坚持,持续的复习可以保持考生对CISSP知识的掌握程度,三天打鱼,两天晒网只不过是在浪费时间;
其二复习不可偏颇,考生应该对自己掌握较好的章节也进行全面复习,CISSP考试的广度往往出乎过分自信的考生意料之外。
如何巩固复习效果在CISSP考试的复习过程中做些模拟题是必须的,但因为CISSP考试出题相当灵活,如果考生想靠猜题、押题来通过CISSP考试,恐怕只会换来一个失败的结果。
J0ker的建议是,CISSP考试说到底是考察考生的能力和经验,如果考生有条件的话,对掌握不好,平时也没有机会接触的内容自己做个模拟环境来实践一下,比如TelecommunicationandNetworksecurity、OperationalSecurity等CBK,都可以自己实验一下。
另外,考生可以精选1到2个模拟题库,时不时对自己的复习情况进行检查,做错的题目应该记录起来,重新对涉及到的CBK内容进行复习。
CISSP考试复习中可以用到的资源:
复习书籍目前市面上CISSP考试复习的书籍不少,内容虽然大同小异,但写作风格写作水平是大不相同,有的追求语言生动易懂,有的则比较详细枯燥。
考生如何选择适合自己的CISSP复习材料?
J0ker觉得选择的标准应该由考生自身的语言水平、信息安全从业经验等来决定,在语言水平差不多的情况下,如果考生的从业经验较多,但对概念的把握上仍有欠缺,可以选择CISSPofficialguide解释概念较为详细的材料;
如果考生平时主要从事咨询或管理类的工作,具体技术方面的经验不足,则可以选择CISSPAllinOne3rd或者Preguide2nd这样的材料,它们生动的描述会使技术方面的难题变得容易理解;
还可以准备一本ExamCram的CISSP小书,出差或旅行时可以随手翻阅。
在线资源在准备CISSP考试时,考生同样有丰富的在线资源可以选择,不过首选的依然是(ISC)2的官方网站,考生可以从上面得到最新的考试通知、考试资源等,(ISC)2官方所提供的ResourceGuide也包含了许多对CISSP考试很有用的在线资源、参考资料等。
另外,国外的ccure.org也有不少的在线资源可供选择,比如电子杂志、论坛、免费的在线视频等。
模拟题库模拟题库在CISSP考试的复习中可以起到查漏补缺的作用,也可以帮助考生熟悉CISSP考试的难度和出题方式,不过选择模拟题库也不是题越多越好,关键还是要看模拟题库的题量是否适中,出题的难度和问法是否和真实考试接近。
J0ker认为,Ccure.org上所提供的CISSP在线测试题库(1000题)和Acutaltest提供的CISSP模拟题库都比较好用,Ccure.org的题较浅但覆盖知识点也较全,Acutaltest的题的问法更接近真实的CISSP考试。
J0ker当时主要用的就是Acutaltest的题库,尽管在真实CISSP考试中找不到和Acutaltest题库相同的题目,但Acutaltest题贴近真实考题的特点使J0ker在考试能得以提高不小作答的速度和准确率。
Wheretoask如果考生在复习CISSP知识的过程中遇到问题,可以选择论坛等在线途径向CISSP们请教,国外较好的是Ccure.org的论坛,因为在ccure.org的论坛上回答一定数量的问题可以得到CPE的奖励,CISSP们通常会比较乐意回答论坛上的问题。
中文方面的资源可以选择国内的的论坛,上面同样有许多热心的CISSP会回答考生各方面问题,不仅仅是CISSP知识点,还包括CISSP考试的方方面面。
J0ker也欢迎大家来询问CISSP方面的问题,J0ker会尽自己一份微薄之力为大家的CISSP历程提供尽可能多的帮助:
)2.复习信息安全管理复习信息安全管理在51CTO安全频道特别策划的CISSP的成长之路系列的上一篇文章复习流程和资源里,J0ker给大家介绍了一般的复习流程和对复习比较有帮助的资源。
从本文开始,J0ker将带大家进入CISSP考试的正式复习过程:
2007年(ISC)2修改过CISSP考试的各CBK名称和内容,虽然新内容绝大部分和原来的CISSPCBK相同,但还是增加了一些新内容。
J0ker手上只有比较老的CISSPOfficialGuide和CISSPAllinOne3rd(J0ker准备考试时也是用这两本资料,对增加新内容的考试还可以应付),所以在本系列文章中依然沿用(ISC)2修改前的CBK名称和内容,J0ker会按照CISSPOfficialGuide的内容安排给大家介绍一下复习中的心得和要点,限于J0ker自己水平和各人的情况不同可能有所不足,请大家原谅。
CISSP复习的第一章InformationSecurityManagement安全行业有句行话,“三分技术,七分管理”,意为安全技术应该从属于管理。
不少安全厂商在推销自己的产品时,常常只顾鼓吹说自己的产品有多好,却没有向客户说明产品是否适用于目标企业的实际环境。
CISSP需要明白,安全技术也好,安全产品也好,都是必须从属于安全管理,只能因管理而技术,从安全技术和产品的使用去推导安全管理应该怎么做,就是本末倒置了。
因此CISSPCBK中引入了InformationSecurityManagement这一概念,假如把企业的信息安全计划比作一艘船,信息安全管理就如同灯塔,指挥着船往哪里走,怎么走,如果舵手(CISSP)不按照灯塔(InformationSecurityManagement)的指示走,船就很可能触礁沉没(安全项目失败,或达不到想要的效果)信息安全管理,或者说所有的信息安全项目,都是围绕着实现信息资产的A-I-C三角而设计和实施的。
所谓的A-I-C三角,也即信息资产的三个重要属性:
Availability,可用性,保证信息资产对授权的用户随时可用;
Integrity,完整性,保证信息资产不受有意或无意的未授权修改;
Confidentiality,保密性,保证信息资产不受未经授权的访问。
A-I-C三角也是贯穿整个CISSPCBK内容的宗旨。
因此,对一个组织实体来说,信息安全管理的内容就是识别信息资产的类型价值,并通过开发、记录和实施安全策略(Policies)、标准(Standards)、流程(Procedures)和指导(Guidelines)来确保信息资产的A-I-C属性。
在这个过程中,需要对信息资产进行识别和分级、识别可能威胁信息资产的威胁、并对可能存在的漏洞进行评估,我们可以使用数据分级(Dataclassification)、安全意识教育(SecurityAwarenessTraining)、风险评估(RiskAssessment)和风险分析(RiskAnalysis)这些工具来完成。
J0ker将在接下去的文章里面再给大家详细解释上面提到的各个名词。
在CISSPCBK中还可以看到一个和信息安全管理相似的名词风险管理(RiskManagement),信息安全管理是从管理流程的角度实现信息资产的保护,而风险管理则是从风险防范的角度出发,将风险对信息资产的损害降到最低。
风险管理是识别、评估、控制和最小化风险或未确定因素对信息资产的损害的过程,它包括整体安全评估(OverallSecurityReviews)、风险分析(RiskAnalysis)、防御方案的选择和评估(EvaluationandSelectionofSafeguard)、效能分析(Cost/BenefitAnalysis)、管理决策(ManagementDecision)、防御方案部署(SafeguardImplementation)和效能评估(EffectivenessReviews)等步骤。
A-I-C三角是贯穿CISSPCBK的宗旨,这也是我们在CISSP复习中遇到的第一个重点,如何把抽象的A-I-C概念,转化成具体的知识?
J0ker打算用实际应用中的例子说明一下:
Availability,是确保信息资产对授权用户随时可用的能力,在实际应用中,我们可以把有可能损害可用性的威胁分成2类:
1、DenialofService拒绝服务2、会造成数据处理所需设备损失的自然灾害(火灾、水灾、地震等)或人为因素(恐怖袭击等)拒绝服务通常指因为用户或入侵者的原因导致某个数据服务无法向其用户提供服务的故障,比如计算资源的耗尽导致的计算机锁死、存储器资源的耗尽导致的文件读写失败、网络资源耗尽导致的网站无法访问等,但拒绝服务通常不会物理损坏数据服务所依靠的设备,进行释放资源之类的相关处理便可恢复正常。
而自然灾害和人为因素则是物理损坏,只能重新购置部署设备才能使数据服务恢复正常。
我们可以制定业务持续性计划(ContingencyPlanning),并通过物理(PhysicalControl,物理安全及设备备份)、技术(TechnicalControl,设备冗余、数据备份及访问控制)和管理(AdministrativeControl,各种策略流程等管理措施)手段来保证可用性。
Integrity,是
升级会员 