CISSP备考中文详解超详细的中文备考资料资料下载.pdf

1、考生应该先了解一下 CISSP 考试的 10 个 CBK 的组成和内容，根据自己的情况将掌握得较好、较差的 CBK 分别列到表里，并以此为根据安排各 CBK 复习的优先度。考生还需要根据自己空闲时间的多少，合理的进行分配，比如，如果有半年的准备时间的话，每天保证 1 到 1 个半小时复习即可，如果准备的时间较短，可以斟酌增加每天复习的时长。进行复习 制定好复习计划之后，考生便可每天按照计划好的优先度和时间安排进行复习。复习中有 2 个要点，其一复习贵在坚持，持续的复习可以保持考生对 CISSP 知识的掌握程度，三天打鱼，两天晒网只不过是在浪费时间；其二复习不可偏颇，考生应该对自己掌握较好的章节

2、也进行全面复习，CISSP 考试的广度往往出乎过分自信的考生意料之外。如何巩固复习效果 在 CISSP 考试的复习过程中做些模拟题是必须的，但因为 CISSP 考试出题相当灵活，如果考生想靠猜题、押题来通过 CISSP 考试，恐怕只会换来一个失败的结果。J0ker 的建议是，CISSP 考试说到底是考察考生的能力和经验，如果考生有条件的话，对掌握不好，平时也没有机会接触的内容自己做个模拟环境来实践一下，比如 Telecommunication and Network security、Operational Security 等 CBK，都可以自己实验一下。另外，考生可以精选 1 到 2 个模

3、拟题库，时不时对自己的复习情况进行检查，做错的题目应该记录起来，重新对涉及到的 CBK 内容进行复习。CISSP 考试复习中可以用到的资源：复习书籍 目前市面上 CISSP 考试复习的书籍不少，内容虽然大同小异，但写作风格写作水平是大不相同，有的追求语言生动易懂，有的则比较详细枯燥。考生如何选择适合自己的 CISSP 复习材料？J0ker 觉得选择的标准应该由考生自身的语言水平、信息安全从业经验等来决定，在语言水平差不多的情况下，如果考生的从业经验较多，但对概念的把握上仍有欠缺，可以选择 CISSP official guide 解释概念较为详细的材料；如果考生平时主要从事咨询或管理类的工作，

4、具体技术方面的经验不足，则可以选择CISSP All in One 3rd 或者 Pre guide 2nd 这样的材料，它们生动的描述会使技术方面的难题变得容易理解；还可以准备一本 Exam Cram 的 CISSP 小书，出差或旅行时可以随手翻阅。在线资源 在准备 CISSP 考试时，考生同样有丰富的在线资源可以选择，不过首选的依然是（ISC）2 的官方网站，考生可以从上面得到最新的考试通知、考试资源等，（ISC）2 官方所提供的 Resource Guide 也包含了许多对 CISSP 考试很有用的在线资源、参考资料等。另外，国外的 ccure.org 也有不少的在线资源可供选择，比如电

5、子杂志、论坛、免费的在线视频等。模拟题库 模拟题库在 CISSP 考试的复习中可以起到查漏补缺的作用，也可以帮助考生熟悉 CISSP 考试的难度和出题方式，不过选择模拟题库也不是题越多越好，关键还是要看模拟题库的题量是否适中，出题的难度和问法是否和真实考试接近。J0ker 认为，Ccure.org 上所提供的 CISSP 在线测试题库（1000 题）和 Acutaltest 提供的 CISSP 模拟题库都比较好用，Ccure.org 的题较浅但覆盖知识点也较全，Acutaltest 的题的问法更接近真实的 CISSP 考试。J0ker 当时主要用的就是 Acutaltest 的题库，尽管在真实

6、 CISSP 考试中找不到和 Acutaltest 题库相同的题目，但 Acutaltest 题贴近真实考题的特点使 J0ker 在考试能得以提高不小作答的速度和准确率。Where to ask 如果考生在复习 CISSP 知识的过程中遇到问题，可以选择论坛等在线途径向 CISSP 们请教，国外较好的是 Ccure.org 的论坛，因为在 ccure.org 的论坛上回答一定数量的问题可以得到 CPE 的奖励，CISSP 们通常会比较乐意回答论坛上的问题。中文方面的资源可以选择国内的 的论坛，上面同样有许多热心的 CISSP 会回答考生各方面问题，不仅仅是 CISSP 知识点，还包括 CISS

7、P 考试的方方面面。J0ker 也欢迎大家来询问 CISSP 方面的问题，J0ker 会尽自己一份微薄之力为大家的 CISSP 历程提供尽可能多的帮助:）2.复习信息安全管理复习信息安全管理 在 51CTO 安全频道特别策划的 CISSP 的成长之路系列的上一篇文章复习流程和资源里，J0ker 给大家介绍了一般的复习流程和对复习比较有帮助的资源。从本文开始，J0ker 将带大家进入 CISSP 考试的正式复习过程：2007 年（ISC）2 修改过 CISSP 考试的各 CBK 名称和内容，虽然新内容绝大部分和原来的 CISSPCBK 相同，但还是增加了一些新内容。J0ker 手上只有比较老的

8、CISSP Official Guide 和 CISSPAllin One3rd（J0ker 准备考试时也是用这两本资料，对增加新内容的考试还可以应付），所以在本系列文章中依然沿用（ISC）2 修改前的 CBK 名称和内容，J0ker 会按照 CISSP Official Guide 的内容安排给大家介绍一下复习中的心得和要点，限于 J0ker 自己水平和各人的情况不同可能有所不足，请大家原谅。CISSP 复习的第一章 Information Security Management 安全行业有句行话，“三分技术，七分管理”，意为安全技术应该从属于管理。不少安全厂商在推销自己的产品时，常常只顾鼓

9、吹说自己的产品有多好，却没有向客户说明产品是否适用于目标企业的实际环境。CISSP 需要明白，安全技术也好，安全产品也好，都是必须从属于安全管理，只能因管理而技术，从安全技术和产品的使用去推导安全管理应该怎么做，就是本末倒置了。因此 CISSP CBK 中引入了 Information Security Management 这一概念，假如把企业的信息安全计划比作一艘船，信息安全管理就如同灯塔，指挥着船往哪里走，怎么走，如果舵手（CISSP）不按照灯塔（Information Security Management）的指示走，船就很可能触礁沉没（安全项目失败，或达不到想要的效果）信息安全管理，

10、或者说所有的信息安全项目，都是围绕着实现信息资产的 A-I-C 三角而设计和实施的。所谓的 A-I-C 三角，也即信息资产的三个重要属性：Availability，可用性，保证信息资产对授权的用户随时可用；Integrity，完整性，保证信息资产不受有意或无意的未授权修改；Confidentiality，保密性，保证信息资产不受未经授权的访问。A-I-C 三角也是贯穿整个 CISSPCBK 内容的宗旨。因此，对一个组织实体来说，信息安全管理的内容就是识别信息资产的类型价值，并通过开发、记录和实施安全策略（Policies）、标准（Standards）、流程（Procedures）和指导（Gui

11、delines）来确保信息资产的 A-I-C 属性。在这个过程中，需要对信息资产进行识别和分级、识别可能威胁信息资产的威胁、并对可能存在的漏洞进行评估，我们可以使用数据分级（Dataclassification）、安全意识教育（Security Awareness Training）、风险评估（Risk Assessment）和风险分析（Risk Analysis）这些工具来完成。J0ker 将在接下去的文章里面再给大家详细解释上面提到的各个名词。在 CISSP CBK 中还可以看到一个和信息安全管理相似的名词风险管理（Risk Management），信息安全管理是从管理流程的角度实现信息资

12、产的保护，而风险管理则是从风险防范的角度出发，将风险对信息资产的损害降到最低。风险管理是识别、评估、控制和最小化风险或未确定因素对信息资产的损害的过程，它包括整体安全评估（Overall Security Reviews）、风险分析（Risk Analysis）、防御方案的选择和评估（Evaluationand Selectionof Safeguard）、效能分析（Cost/Benefit Analysis）、管理决策（Management Decision）、防御方案部署（Safeguard Implementation）和效能评估（Effectiveness Reviews）等步骤。A-

13、I-C 三角是贯穿 CISSP CBK 的宗旨，这也是我们在 CISSP 复习中遇到的第一个重点，如何把抽象的 A-I-C 概念，转化成具体的知识？J0ker 打算用实际应用中的例子说明一下：Availability，是确保信息资产对授权用户随时可用的能力，在实际应用中，我们可以把有可能损害可用性的威胁分成 2 类：1、Denial of Service 拒绝服务 2、会造成数据处理所需设备损失的自然灾害（火灾、水灾、地震等）或人为因素（恐怖袭击等）拒绝服务通常指因为用户或入侵者的原因导致某个数据服务无法向其用户提供服务的故障，比如计算资源的耗尽导致的计算机锁死、存储器资源的耗尽导致的文件读写失败、网络资源耗尽导致的网站无法访问等，但拒绝服务通常不会物理损坏数据服务所依靠的设备，进行释放资源之类的相关处理便可恢复正常。而自然灾害和人为因素则是物理损坏，只能重新购置部署设备才能使数据服务恢复正常。我们可以制定业务持续性计划（Contingency Planning），并通过物理（Physical Control，物理安全及设备备份）、技术（Technical Control，设备冗余、数据备份及访问控制）和管理（Administrative Control，各种策略流程等管理措施）手段来保证可用性。Integrity，是