2021新版CISSP考试大纲解析
2021-02-23 10:26:16 Author: www.freebuf.com(查看原文) 阅读量:92 收藏

信息系统安全认证专家(CISSP)是信息安全市场全球公认的认证。作为资深网络空间安全教育专家——张妤老师,仍然推荐CISSP作为最好的全面性了解网络安全专业知识的认证考试,没有之一。而对于广大群众想跨入这道门槛,CISSP无疑是最好的敲门砖之一。

当然,许多人更加喜欢一开始入门,就学习实操性强的红蓝攻防领域,因为更有立即刺激的成就感。但是如果想在该行业再更深入,走得更远。CISSP所提供的全面性知识仍是最好的奠基石。

老生常谈的,理论与实践结合才是真理。CISSP仅仅是开始,从网络安全全产业链的角度由浅入深,一步一脚印的进入网络安全空间知识的宇宙深处。

CISSP马上在2021年进行重大改版,为了帮助考生更好的学习,下面对新旧版的CISSP考纲做了一个对比。

生效时间:

2021版大纲生效时间: 2021年5月1日。也就是明年5月1日后的考试全部采用新大纲内容。

教材:

原有教材作废,采用新版教材

题库:

全面更新。

知识域:

不变,仍为八大领域。

新旧考纲对比一览图:

2021年新考纲VS2018年旧考纲

CAT考试形式(仅英语)

线性考试形式(中文)

知识域

2021年新考纲平均权重(CAT 形式)

2018年旧考纲平均权重(CAT 形式)

2021年新考纲平均权重(线性形式)

2018年旧考纲平均权重线性形式)

1.安全与风险管理

15%

15%

15%

15%

2.资产安全

10%

10%

10%

10%

3.安全架构与工程

13%

13%

13%

13%

4.通讯与网络安全

13

14%

13

14%

5.身份和访问管理(IAM)

13%

13%

13%

13%

6.安全评估与测试

12%

12%

12%

12%

7.安全运营

13%

13%

13%

13%

8.软件开发安全

11

10%

11

10%

总计:

100%

100%

100%

100%

通过分数

700分通过,总分1000分

考试时间

3小时,100-150道题。多项选择和高级创新项目

6小时,250道题。多项选择和高级创新项目

考试地点

(ISC)2授权的PPC和PVTC Select Pearson VUE检测中心

新增考点分析:

1、从各域的比例分来看,将通信与网络安全这个章节降1个百分点,开发安全增加1个百分点。

2、中国的考生一般都是选择母语中文考试,因此考试时间和题目量仍是:6小时,250道题,题型没有变化。

3、重大变化分析:

2021新版CISSP新增了许多最新涌现的网络安全技术,而已经被逐渐淘汰的技术将剔除。当然由于网络安全是以风险为导向,部分容易被忽略的技术风险点例如VOIP等仍作为考察点,但是新考纲做了明确范围要求。

新增(含旧版出现但未重点考核)考核点:

资产安全领域:

寿命终止(EOL),支持终止(EOS)数字版权管理(DRM),数据防泄漏(DLP),云访问安全代理(CASB)

安全架构与工程领域:

零信任、隐私设计、信任但要验证、内存保护、可信平台模块(TPM)、工业控制系统(ICS)、SaaS、IaaS、PaaS、物联网(IoT)、微服务(HPC)、容器、无服务器、嵌入式系统、高性能计算(HPC)系统、边缘计算系统、虚拟化、量子算法、微定义、Li-Fi、Zigbee,5G、及时(JIT)、基于风险的访问控制、OpenID Connect(OIDC)/开放授权(Oauth)、安全声明标记语言(SAML)、泄密攻击模拟、合规检查、威胁源、威胁狩猎、用户和实体行为分析(UEBA)、自动化、机器学习和人工智能(AI)基础工具

软件开发安全:

DevOps,DevSecOps、集成开发环境(IDE)、持续集成和持续交付(CI / CD)、安全编排,自动化和响应(SOAR)、软件配置管理(SCM)、代码库、静态应用程序安全测试(SAST),动态应用安全测试(DAST))、软件定义的安全性。

名师点评:

网络空间安全教育专家——张妤老师,结合当前国内外网络空间安全整体行业发展趋势,对CISSP的知识点做了详细的分析。认为:

1、整体行业发展趋势:

依据IDC、Gartner等全球权威咨询机构持续对2018~2021年度IT技术发展所做的统计和预测。AI、区块链、边缘计算、数字隐私、超级自动化、网络空间安全融合等热点技术的出现、网络安全技术也随之出现翻天覆地的变化。因为安全需要落地应用到具体IT环境当中。

2、CISSP学习重点:

开发安全:这将是本次改版的重中之重。这反映了未来安全领域的重点——安全从运维,前移到开发阶段。从产品的源头开始,就需要控制安全。颇有些得开发安全者,得安全天下的态势。强烈建议备考人员花更多精力在这个领域进行提升。

安全架构:这部分的改版,重点结合了IT技术发展的热点。例如:零信任、边缘计算等。帮助CISSP备考人员关注、了解未来安全技术发展趋势。让备考人员能对未来有更好的判断力。这也是体现来(ISC)2为什么能够几十年以来一直在网络安全认证领域具有权威性的原因。考生这部分内容需要进行广泛性补充知识。

数据安全:因为所有信息资产数字之后,原有现实社会的法律法规可能不再适用于虚拟的网络社会。如何保证建立新的法治秩序,CISSP提出了重点需要关注,但不仅是网络安全领域能够解决的问题。该部分虽有增加内容,但不属于难点。

网络安全:该部分内容本是旧版CISSP最重要的内容。新版比例下降,原因是因为云计算之后,每家企业的运维安全难度已经降低。并且普遍性存在漏洞问题等也随着安全漏洞扫描工具等普及,大部分的风险已经可控。因此CISSP将这部分内容比例下降。符合商业环境趋势。考生需要减少这部分学习精力投入。

3、强烈鼓励程序员来加入到网络安全行业。那您将会实现快速C位出道。

最后:建立机构化知识体系,持续深入学习。考证,仅仅是开始。

2021CISSP新考纲解析


文章来源: https://www.freebuf.com/articles/neopoints/264064.html
如有侵权请联系:admin#unsafe.sh