原創(chuàng)2024-04-15小艾老師

CISSP信息安全專(zhuān)家認(rèn)證知識(shí)體系考證須知證書(shū)含金量培訓(xùn)大綱 3分鐘小視頻我要提問(wèn)

CISSP認(rèn)證是信息安全領(lǐng)域的權(quán)威認(rèn)證，由國(guó)際信息系統(tǒng)安全認(rèn)證協(xié)會(huì)(ISC)2提供。它評(píng)估個(gè)人在信息安全領(lǐng)域的知識(shí)和技能，包括安全管理、安全架構(gòu)、安全工程、安全運(yùn)營(yíng)等方面。獲得CISSP認(rèn)證可以證明持證人具備專(zhuān)業(yè)的信息安全知識(shí)和能力。

中文名CISSP信息安全專(zhuān)家認(rèn)證
英文名Certified Information Security Systems Professional
英文簡(jiǎn)稱(chēng)CISSP
頒證機(jī)構(gòu)(ISC)2（國(guó)際信息系統(tǒng)安全認(rèn)證協(xié)會(huì)）
證書(shū)類(lèi)別信息安全
同類(lèi)認(rèn)證CISM、CRISC、CISA

現(xiàn)在，咱們的工作和生活越來(lái)越離不開(kāi)互聯(lián)網(wǎng)了。雖然能享受網(wǎng)絡(luò)帶來(lái)的各種便利，但咱們也在網(wǎng)上留下了大量個(gè)人信息和私密數(shù)據(jù)。比如說(shuō)，用手機(jī)上的APP吧，幾乎都會(huì)要求填個(gè)人信息，或者收集微信、微博賬號(hào)之類(lèi)的。再比如說(shuō)，網(wǎng)買(mǎi)點(diǎn)東西，個(gè)人信息可能就留存在電商企業(yè)、快遞公司的系統(tǒng)里了。要是這些互聯(lián)網(wǎng)平臺(tái)不能保護(hù)好個(gè)人信息，那大規(guī)模的信息泄露就很難避免了。

所以說(shuō)，信息安全工作，真的非常重要！信息安全工作，要說(shuō)復(fù)雜吧，確實(shí)挺復(fù)雜；要說(shuō)簡(jiǎn)單吧，也簡(jiǎn)單，其實(shí)就兩件事：防“黑客”，還有防“內(nèi)鬼”（涵蓋了80%以上）。

下面，小艾老師就來(lái)跟大家具體聊一下。

01

先說(shuō)說(shuō)黑客吧，黑客到底是什么樣的一群人呢？在電影里，他們總是扮演著帶著一副面具、穿著黑色連帽衫，坐在隱蔽的角落里敲擊鍵盤(pán)，然后屏幕上快速滾動(dòng)著一串串的代碼、一串串的神秘符號(hào)……然后快速進(jìn)入系統(tǒng)獲取數(shù)據(jù)信息，或者獲得很多設(shè)備的掌控權(quán)，讓它們?yōu)槟愎ぷ?，?jiǎn)直就是“神”一樣的存在。

那在現(xiàn)實(shí)生活里，黑客究竟是怎樣的存在呢？

黑客是指具有高超技術(shù)能力的計(jì)算機(jī)專(zhuān)家，他們能夠以非常獨(dú)特的方式進(jìn)入計(jì)算機(jī)系統(tǒng)，發(fā)現(xiàn)其中的漏洞，然后突破計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)的安全措施，來(lái)達(dá)到他們的目的。

黑客通常是為了惡意目的，當(dāng)然也有一些白帽黑客，會(huì)以負(fù)責(zé)任的方式使用其技能來(lái)發(fā)現(xiàn)和修復(fù)系統(tǒng)漏洞，幫助保護(hù)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)。

我們接觸黑客，防止黑客攻擊，這就需要具備厲害的安全技術(shù)。得掌握加密、認(rèn)證、防火墻、備份恢復(fù)、漏洞管理、網(wǎng)絡(luò)監(jiān)控等等傳統(tǒng)技術(shù)，還得跟上時(shí)代，學(xué)習(xí)很多日新月異的新技術(shù)并掌握其原理。

我們需要學(xué)習(xí)很多的知識(shí)，比如：

計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)：了解計(jì)算機(jī)網(wǎng)絡(luò)的基本原理、協(xié)議和架構(gòu)，包括IP地址、子網(wǎng)掩碼、路由等相關(guān)知識(shí)。
操作系統(tǒng)和編程：熟悉常見(jiàn)操作系統(tǒng)（如Windows、Linux）的安全特性和配置，并具備一定的編程能力，例如Python、C或者Java等語(yǔ)言。
網(wǎng)絡(luò)安全原理：學(xué)習(xí)網(wǎng)絡(luò)攻擊和防御技術(shù)的基本概念，包括密碼學(xué)、身份認(rèn)證、訪問(wèn)控制、漏洞分析等。
系統(tǒng)安全：了解操作系統(tǒng)的安全機(jī)制、安全策略和系統(tǒng)漏洞的利用與修復(fù)方法，學(xué)習(xí)應(yīng)用程序開(kāi)發(fā)中的常見(jiàn)安全問(wèn)題。
數(shù)據(jù)庫(kù)安全：掌握數(shù)據(jù)庫(kù)的安全管理和保護(hù)技術(shù)，包括數(shù)據(jù)加密、權(quán)限控制、漏洞掃描和數(shù)據(jù)庫(kù)審計(jì)等。
網(wǎng)絡(luò)攻防技術(shù)：學(xué)習(xí)黑客攻擊的原理和常見(jiàn)手法，并了解相應(yīng)的防御策略，包括入侵檢測(cè)與防御、防火墻配置等。
信息安全管理：了解信息安全管理體系、風(fēng)險(xiǎn)評(píng)估和合規(guī)性要求，包括制定安全策略、培訓(xùn)員工、應(yīng)急響應(yīng)等。
逆向工程：學(xué)習(xí)逆向工程技術(shù)，包括惡意軟件分析、漏洞挖掘和代碼審計(jì)等，以便更好地理解攻擊者的行為和思路。
網(wǎng)絡(luò)取證：了解數(shù)字取證的基本原理和方法，學(xué)習(xí)如何收集、分析和保護(hù)數(shù)字證據(jù)，以支持調(diào)查和法律訴訟。
社會(huì)工程學(xué)：研究人類(lèi)心理學(xué)和社交工具的使用，了解社會(huì)工程學(xué)在網(wǎng)絡(luò)安全中的作用和防范方法。

這是一個(gè)廣泛而復(fù)雜的領(lǐng)域，想要有所成就，必需耗費(fèi)大量時(shí)間和精力去學(xué)習(xí)、去實(shí)踐。當(dāng)然，也不是完全沒(méi)有“捷徑”，有許多專(zhuān)業(yè)證書(shū)就可以幫助你快速提升技能和知識(shí)，比如CISSP。

02

CISSP全稱(chēng)Certified Information Systems Security Professional，即(ISC)2注冊(cè)信息系統(tǒng)安全專(zhuān)家，是目前全球范圍內(nèi)_權(quán)威、_專(zhuān)業(yè)、_系統(tǒng)的信息安全認(rèn)證。

CISSP 的知識(shí)體系框架，我們叫它CBK，它有8個(gè)知識(shí)域，里面包含的那些議題，跟信息安全領(lǐng)域的所有原理都有關(guān)系。這套體系，相當(dāng)完整，也相當(dāng)實(shí)用。

安全與風(fēng)險(xiǎn)管理（Security and Risk Management）：這個(gè)知識(shí)域涵蓋了建立和維護(hù)信息安全管理框架和政策，制定風(fēng)險(xiǎn)管理策略等內(nèi)容。通過(guò)適當(dāng)?shù)娘L(fēng)險(xiǎn)評(píng)估和管理措施，可以識(shí)別和減輕黑客攻擊的潛在風(fēng)險(xiǎn)。
資產(chǎn)安全（Asset Security）：這個(gè)知識(shí)域關(guān)注如何保護(hù)信息資產(chǎn)，包括敏感數(shù)據(jù)、設(shè)備和系統(tǒng)。了解資產(chǎn)分類(lèi)和安全控制的原則，可以幫助我們實(shí)施適當(dāng)?shù)募夹g(shù)和物理安全措施來(lái)防御黑客的攻擊。
安全架構(gòu)與工程（Security Architecture and Engineering）：這個(gè)知識(shí)域涵蓋了設(shè)計(jì)安全架構(gòu)和安全控制的原則和方法。通過(guò)構(gòu)建安全的網(wǎng)絡(luò)架構(gòu)、實(shí)施訪問(wèn)控制和身份認(rèn)證等措施，可以有效地防范黑客的入侵。
通信和網(wǎng)絡(luò)安全（Communication and Network Security）：這個(gè)知識(shí)域關(guān)注保護(hù)網(wǎng)絡(luò)和通信系統(tǒng)的安全。了解網(wǎng)絡(luò)協(xié)議、加密技術(shù)和網(wǎng)絡(luò)設(shè)備的安全配置，可以幫助我們預(yù)防黑客對(duì)網(wǎng)絡(luò)和通信的攻擊。
身份和訪問(wèn)管理（Identity and Access Management）：這個(gè)知識(shí)域涵蓋了身份驗(yàn)證、授權(quán)和訪問(wèn)控制的原則和實(shí)踐。通過(guò)實(shí)施強(qiáng)大的身份驗(yàn)證和訪問(wèn)控制策略，可以防止未經(jīng)授權(quán)的訪問(wèn)和黑客入侵。
安全評(píng)估和測(cè)試（Security Assessment and Testing）：這個(gè)知識(shí)域關(guān)注評(píng)估和測(cè)試安全控制的有效性。通過(guò)進(jìn)行安全評(píng)估、漏洞掃描和滲透測(cè)試等活動(dòng)，可以幫助我們發(fā)現(xiàn)并修復(fù)系統(tǒng)中存在的安全漏洞，從而防范黑客的攻擊。
安全操作（Security Operations）：這個(gè)知識(shí)域涵蓋了安全監(jiān)控、事件響應(yīng)和取證等方面。通過(guò)建立有效的安全監(jiān)控和事件響應(yīng)機(jī)制，可以及時(shí)發(fā)現(xiàn)和應(yīng)對(duì)黑客的攻擊，并收集相關(guān)的取證信息。
軟件開(kāi)發(fā)安全（Software Development Security）：這個(gè)知識(shí)域關(guān)注在軟件開(kāi)發(fā)生命周期中構(gòu)建安全的應(yīng)用程序。通過(guò)實(shí)施安全的編碼實(shí)踐、進(jìn)行代碼審查和應(yīng)用程序測(cè)試，可以減少黑客利用軟件漏洞進(jìn)行攻擊的機(jī)會(huì)。

03

除了外面的“黑客”，平臺(tái)內(nèi)部的“內(nèi)鬼”也是導(dǎo)致個(gè)人信息和數(shù)據(jù)泄露的一個(gè)重要原因。這幾年，“內(nèi)鬼”事件可沒(méi)少曝光。就說(shuō)前不久吧，江蘇常州警方破了個(gè)特大侵犯公民信息的案子，48 個(gè)“內(nèi)鬼”來(lái)自銀行、衛(wèi)生、教育、社保、快遞、保險(xiǎn)、網(wǎng)購(gòu)、汽修等好多行業(yè)。買(mǎi)賣(mài)的信息有個(gè)人征信、車(chē)輛信息、開(kāi)房住宿、收貨地址等好幾十種實(shí)時(shí)信息。

有個(gè)銀行原信貸部副經(jīng)理就是“內(nèi)鬼”，他利用職務(wù)便利，把單位信息系統(tǒng)里 3000 多個(gè)客戶(hù)的征信信息，以一條 30 塊的價(jià)格給賣(mài)了，這里面有姓名、身份證號(hào)、家庭住址、工作單位啥的。

在信息都往平臺(tái)聚集的互聯(lián)網(wǎng)大數(shù)據(jù)時(shí)代，僅僅依靠防黑客技術(shù)是遠(yuǎn)遠(yuǎn)不夠的，我們還需要關(guān)注內(nèi)部的安全風(fēng)險(xiǎn)。平臺(tái)想要防住自己系統(tǒng)里的“內(nèi)鬼”，這就需要有安全內(nèi)控體系和審計(jì)監(jiān)督機(jī)制啦！

CISA（信息系統(tǒng)審計(jì)師）和CRISC（風(fēng)險(xiǎn)與信息系統(tǒng)控制認(rèn)證）是兩個(gè)與內(nèi)部安全控制相關(guān)的重要認(rèn)證。通過(guò)學(xué)習(xí)CISA和CRISC的內(nèi)容，我們可以了解企業(yè)內(nèi)部控制的原理和方法，學(xué)習(xí)如何建立有效的安全策略、風(fēng)險(xiǎn)管理和監(jiān)督機(jī)制，以及如何進(jìn)行安全審計(jì)，發(fā)現(xiàn)和糾正內(nèi)部安全漏洞。

CISA ：注冊(cè)信息系統(tǒng)審計(jì)師，是信息系統(tǒng)審計(jì)領(lǐng)域的專(zhuān)業(yè)認(rèn)證。適合信息系統(tǒng)審計(jì)師、信息安全專(zhuān)業(yè)人員、企業(yè)管理層、內(nèi)部審計(jì)人員、咨詢(xún)顧問(wèn)和 IT 從業(yè)者等對(duì)信息系統(tǒng)審計(jì)和風(fēng)險(xiǎn)管理有興趣的人。它的知識(shí)體系要點(diǎn)包括信息系統(tǒng)的審計(jì)流程、風(fēng)險(xiǎn)評(píng)估與管理、信息技術(shù)治理、信息系統(tǒng)的安全與控制等。
CRISC：風(fēng)險(xiǎn)與信息系統(tǒng)控制認(rèn)證。CRISC認(rèn)證注重信息系統(tǒng)風(fēng)險(xiǎn)管理和控制，適合那些希望在信息安全風(fēng)險(xiǎn)管理領(lǐng)域發(fā)展的人士。其知識(shí)體系涵蓋風(fēng)險(xiǎn)識(shí)別、評(píng)估與應(yīng)對(duì)，信息系統(tǒng)控制的設(shè)計(jì)與實(shí)施，以及業(yè)務(wù)連續(xù)性管理等方面。

結(jié)束語(yǔ)

如果個(gè)人信息保護(hù)不好，我們每個(gè)人可能都會(huì)變成透明人，成為受害者。個(gè)人信息大規(guī)模泄露頻發(fā)，主要是因?yàn)榛ヂ?lián)網(wǎng)平臺(tái)企業(yè)沒(méi)盡責(zé)，對(duì)內(nèi)對(duì)外的防護(hù)做得不到位。

所以說(shuō)，信息安全工作，真的很重要！

如果你想系統(tǒng)地、完整地去學(xué)習(xí)信息安全領(lǐng)域相關(guān)知識(shí)和技術(shù)，小艾老師推薦大家參加：

1、CISSP信息安全專(zhuān)家認(rèn)證

2、CISA信息系統(tǒng)審計(jì)師認(rèn)證

3、CRISC風(fēng)險(xiǎn)與信息系統(tǒng)控制認(rèn)證

贊