CISSP一次通过指南(文末附福利) .pdf

CISSP⼀次通过指南（⽂末附福利）

2017年12⽉19⽇，在上海黄浦区汉⼝路亚洲⼤厦17层通过了CISSP认证考试，拖拉了⼀年，终于成绩还算令⼈满意，为攒⼈品将⾃⼰⼀年

多的复习⼼得和⼤家分享，希望能够帮到需要考证的朋友。

先简单介绍下本⼈专业背景吧，本科和硕⼠专业都是，算得上科班出⽣，只是学校⾥的课程没学扎实，基础⼀般，毕业后在某⼤型⾦融机

构做安全，渗透、漏扫、SOC建设⼤概做了4年，⽇常的⼯作和安全技术还是结合得⽐较紧密，平时也混迹在各⼤src，打打ctf，动⼿能⼒还

⾏，是⼴⼤安全从业⼈员中的普通⼀员。

CISSP英⽂全称：“CertifiedInformationSystemsSecurityProfessional”，中⽂全称：“(ISC)²注册信息专家”，由(ISC)²组织和管理，是⽬前

全球范围内最权威，最专业，最系统的信息安全认证。

CISSP的含⾦量和认可度还是很⾼的，考试费⽤也不菲，599⼑，涉及的内容⾮常⼴泛，号称安全界的“百科全书”，不过虽然涉及的范围

⼴，但很多都是点到为⽌，“⼀英⾥宽，⼀英⼨深”，这是CISSP最⼤的特点。

为什么考CISSP？⽤我们领导的话说，可以迅速建⽴起个⼈对安全体系的知识框架，认证+读⾏业标准是最有效的⽅法。

决定了考CISSP之后就要尽快的解决战⽃，拖的时间越长越对⽣活有影响，最好在半年内完成复习和考试，本⼈这次因为种种原因，拖了⼀

年，深刻感受到战线过长的痛苦。

我的复习材料：AllinOne的第六版中⽂版+OSG官⽅学习指南中⽂版+官⽅习题英⽂版

Allinone前前后后看了3遍，OSG看了2遍，这两本教材内容基本差不太多，allinone讲的⽐较细，⽐较啰嗦，OSG和考纲结合得⽐较紧，

内容也⽐较紧凑，建议⼤家直接看OSG即可，但务必要多读⼏遍，对书中的知识点都要弄懂。

CISSP现在必威体育精装版的考纲包括8个CBK：

•安全与风险管理(安全、风险、合规、法律、法规、业务连续性)

•资产安全(保护资产的安全性)

•安全⼯程(安全⼯程与管理)

•通信与(设计和保护⽹络安全)

•⾝份与访问管理(访问控制和⾝份管理)

•安全评估与测试(设计、执⾏和分析安全测试)

•安全运营(基本概念、调查、事件管理、灾难恢复)

•软件开发安全(理解、应⽤、和实施)

之所以称之为安全界的“百科全书”，是因为上述8个领域基本涵盖了安全⼯作中的所有⽅⾯，个⼈在安全评估与测试、安全运营这两个领域有

⼀些实际的经验，其他的领域接触得还不深，所以在复习的时候，针对不熟悉的领域花更多的时间去理解，不懂的多去百度，有的时候百度

讲的⽐教材⾥更清楚。⼀定要做笔记，不然书中很多看完就忘了，做笔记可以加深印象。如果有钱，还可以去报辅导班，让辅导⽼师给你先

拎⼀下复习⼤纲。

书看完之后可能没有什么感觉，⼀定要做题，仅仅做书中每个章节的习题是不够的，allinone的习题⽐较难，OSG的习题⽐较简单，建议⼤

家还是做官⽅的习题集，毕竟是官⽅出的习题，应该是和考试最接近的材料了，不过现在只有英⽂版的，对于英语⼀般的朋友可能做起来⽐

较吃⼒，加之之前看的中⽂版，很多专有术语都得和英⽂对上，我在做题的时候也是⽐较痛苦。官⽅习题⾥⾯很多题⽬是把官⽅教材⾥的某

句话的内容扣掉，让你选择，所以做题加看书能够起到很到的看书效果。

由于CISSP设计的内容⼗分⼴泛，篇幅原因，本⽂⽆法对书中所有细节进⾏描述，这⾥挑⼀些常考的内容进⾏分享：

1、安全的主要⽬的和⽬标就是CIA三要素/三元组（必考）

①机密性（Confidentiality）：机密性是指因为⼯作需要⽽访问敏感资源。机密性通常通过最⼩权限原则来实现。安全架构师使⽤数据分类、

访问控制和加密来确保资源的机密性。

②完整性（Integrity)：完整性包括两个⽅⾯，⼀是确保信息被正确处理且不被未授权的⼈修改，⼆是保护⽹络上传输的信息。完整性控制包

括事务控制、数字签名等。

③可⽤性（Availability）：可⽤性确保资源可⽤、系统正常运⾏。可⽤性的防护措施多种多样，诸如集群、发电机、备份和热站等。影响可

⽤性的威胁包括⾃然的、⼈为的灾难，还有拒绝服务攻击等。

2、定量风险分析（必考）

⽤货币形式表⽰每个资产和威胁。虽然，纯粹的、精准的定量分析是不可能的，但还是能⽤的。下⾯是定量风险分析的六个主要步骤或阶

段：

①出资产清单并分配资产价值，即AV（assetvalue）；

②研究⽣成每个资产所有可能威胁的列表。为每个威胁计算暴露因⼦EF