我的CISSP Review

CISSP认证的内容号称“一英里宽,一英寸深”,我在2024年年末通过了(改版后CAT考试形式的)CISSP考试,这次CISSP之旅确实是比较奇妙的体验:

  • 报名的时候书还没看完,抱着“再不报又要下个季度,逼自己一把”的想法上了车
  • 考前两天晚上都复习到凌晨一两点,和大学期末前差不多的临阵磨枪,但是也只磨了两天
  • 考场上对着题目左思右想,纠结好久心一横,点击【下一题】,心想这都什么破题目背的都没考
  • 考场上感觉今天可能要翻车了,如果做到150道还没通过怎么办,结果刚100道就通过了,一道没多做

很难说针对这个考试我实际备考了多久,因为我实际的学习就只包括:

  • 通读了第9版OSG,划重点,做课后题并对答案(这一部分题只作为熟悉概念用,考试前没有再复习)
  • 用汤季洪老师的免费答题系统分domain做了所有官方习题,整理了部分错题到语雀(建议只选取有价值的,不要不分好坏全收集起来,最后也不一定看)

非常感谢汤老师提供的资源:【免费】CISSP官方习题集第4版

  • 考前两天复习了一遍上面官方习题的所有错题,这时候对知识点的理解已经加深了很多

也很难说我的考试里面有多少运气成分,基于我的复习时间,我估计是有一些的。我其实有点同意我们leader说的,以我现在的工作经验考CISSP还有一些早,对有一些内容还没法理解太深入。所以也是从学习领会而非通过考试的角度,我希望能够记录下一些知识点,以供后面翻阅和回顾。

CISSP考点拾遗

CPTED

CPTED (Crime prevention through environmental design) 是我在看OSG教材时第一个让我感觉耳目一新,眼前一亮的东西。它并不是一种实际的安全防护措施,但是却巧妙地通过布置环境,降低了区域发生犯罪的可能性,包括“提供长椅和桌子,鼓励人们坐下来四处看看;它们提供了自动监视功能”这样的措施建议让人拍案叫绝。

AUP

AUP的重点其实就是对个人/员工实施一定的安全教育和控制,以实现企业安全管理者的风险转移,通俗点说就是完成了甩锅(从领导的角度讲),当员工经过了AUP培训并签名确认后,再违背AUP的规定内容就可以有一个追责的依据。

MTD RTO RPO

BCP的目标就是确保RTO小于MTD。

BCP文档化

BCP文档化非常的重要,也是甩锅神器,试想一下:分析出一个重大风险,老板因为投入资源过大而选择接受风险,但未使其文档化并签字确认,那么风险一旦真正发生,你必然要背锅,为什么当时你没有好好劝我?

版权 商标 专利 商业秘密

版权的保护时间为创造者离世后的70年。

商标的保护时间为无限期,但需每10年申请延续。商标不保护软件。

专利的保护时间为20年。这项发明必须是新的,必须有用,不能是显而易见的。

GDPR

GDPR绝对是CISSP内容的一个重中之重,它监管的范围涵盖收集或处理欧盟居民数据的任何实体,不管位置上是不是位于欧盟。

从我个人的理解角度讲,GDPR法规的核心其实是给予了用户“遗忘权”,允许人们要求公司在不再需要时删除他们的信息。

数据销毁方法

直接看 CISSP考点拾遗——介质净化CISSP考点拾遗——介质净化之加密擦除

柯克霍夫原则

密码学上的柯克霍夫原则(Kerckhoffs’s principle,也称为柯克霍夫假说、公理、或定律)系由奥古斯特·柯克霍夫在19世纪提出:即使密码系统的任何细节已为人悉知,只要密匙(key,又称密钥或密钥)未泄漏,它也应是安全的。 信息论的发明者克劳德·香农则改成说:“敌人了解系统”,这样的说法则称为香农箴言。 它和传统上使用隐密的设计、实现、或其他等等来提供加密的隐晦式安全想法相对。

失效安全

在物理世界语境下,失效打开与失效保障是同义词,失效关闭与失效安全是同义词。

当语境从物理世界切换到数字世界时,失效保障的定义会发生变化。

边缘计算 (Edge Computing) 和雾计算 (Fog Computing)

边缘计算是在数据生成的边缘设备或靠近数据源的位置执行数据处理和计算的一种架构 ,可以降低延迟,典型的示例是CDN。

雾计算使用边缘设备收集和处理数据后,将加工后的数据传输回中心位置进行处理。

  • 边缘计算适用于单一设备或小型网络中需要快速响应和处理的任务。
  • 雾计算适用于复杂分布式场景,强调多个层级的协同和资源的高效利用。

移动设备的部署策略

自带设备 (Bring Your Own Device,BYOD)

该策略允许员工自带个人移动设备工作,可提高员工士气和工作满意度,但会增加组织的安全风险,可能涉及采集设备上员工的个人信息。

公司所有、个人使用 (Corporate Owned, Personally Enabled. COPE)

该策略是组织购买设备并提供给员工,组织可以控制移动设备符合安全镇路要求,也可能涉及采集设备上员工的个人信息。

自选设备 (Choose Your Own Device, CYOD)

该策略为用户提供了一个经批准的设备列表,用户可以从中选择要使用的设备。如果是员工自己买,则是 BYOD 变体,该策咯通常会导致员工不太爽;如果是公司买,则是 COPE变体。

NIST的非常规密码建议

NIST针对密码的建议是比较违背直觉,或者说违背我们习以为常的密码安全策略的。但是细看感觉非常有道理,直击痛点。主要就是密码不应该过期,以及长度比特殊字符更重要:

增量备份和差异备份

差异备份的概念我刚开始理解错了,到第二遍做题的时候才发现,差异备份指的是只复制最近一次完整备份之后有变化的数据。所以还是完整+增量的备份方式最快、占空间最小。

敏捷软件开发

越来越同意敏捷开发的原则,尤其是和日本客户打交道多了以后。

其他

  • 多因素身份认证的Type123,视网膜泄露PHI
  • FRR(错误拒绝率)、FAR(错误接受率)相等的点是CER或者ERR
  • Kerberos认证流程、KDC存在单点
  • 冷站点、热站点、温站点
  • 数据中心的温度应保持在15-32摄氏度,湿度应保持在20%-80%
  • 湿管、干管、预响应系统、密集洒水系统
文章目录
  1. 1. CPTED
  2. 2. AUP
  3. 3. MTD RTO RPO
  4. 4. BCP文档化
  5. 5. 版权 商标 专利 商业秘密
  6. 6. GDPR
  7. 7. 数据销毁方法
  8. 8. 柯克霍夫原则
  9. 9. 失效安全
  10. 10. 边缘计算 (Edge Computing) 和雾计算 (Fog Computing)
  11. 11. 移动设备的部署策略
  12. 12. NIST的非常规密码建议
  13. 13. 增量备份和差异备份
  14. 14. 敏捷软件开发
  15. 15. 其他
|