原創(chuàng)2024-04-15小艾老師

CISSP信息安全專家認(rèn)證知識體系考證須知證書含金量培訓(xùn)大綱 3分鐘小視頻我要提問

CISSP認(rèn)證是信息安全領(lǐng)域的權(quán)威認(rèn)證，由國際信息系統(tǒng)安全認(rèn)證協(xié)會(ISC)2提供。它評估個人在信息安全領(lǐng)域的知識和技能，包括安全管理、安全架構(gòu)、安全工程、安全運營等方面。獲得CISSP認(rèn)證可以證明持證人具備專業(yè)的信息安全知識和能力。

中文名CISSP信息安全專家認(rèn)證
英文名Certified Information Security Systems Professional
英文簡稱CISSP
頒證機構(gòu)(ISC)2（國際信息系統(tǒng)安全認(rèn)證協(xié)會）
證書類別信息安全
同類認(rèn)證CISM、CRISC、CISA

現(xiàn)在，咱們的工作和生活越來越離不開互聯(lián)網(wǎng)了。雖然能享受網(wǎng)絡(luò)帶來的各種便利，但咱們也在網(wǎng)上留下了大量個人信息和私密數(shù)據(jù)。比如說，用手機上的APP吧，幾乎都會要求填個人信息，或者收集微信、微博賬號之類的。再比如說，網(wǎng)買點東西，個人信息可能就留存在電商企業(yè)、快遞公司的系統(tǒng)里了。要是這些互聯(lián)網(wǎng)平臺不能保護好個人信息，那大規(guī)模的信息泄露就很難避免了。

所以說，信息安全工作，真的非常重要！信息安全工作，要說復(fù)雜吧，確實挺復(fù)雜；要說簡單吧，也簡單，其實就兩件事：防“黑客”，還有防“內(nèi)鬼”（涵蓋了80%以上）。

下面，小艾老師就來跟大家具體聊一下。

01

先說說黑客吧，黑客到底是什么樣的一群人呢？在電影里，他們總是扮演著帶著一副面具、穿著黑色連帽衫，坐在隱蔽的角落里敲擊鍵盤，然后屏幕上快速滾動著一串串的代碼、一串串的神秘符號……然后快速進入系統(tǒng)獲取數(shù)據(jù)信息，或者獲得很多設(shè)備的掌控權(quán)，讓它們?yōu)槟愎ぷ鳎喼本褪恰吧瘛币粯拥拇嬖凇?/p>

那在現(xiàn)實生活里，黑客究竟是怎樣的存在呢？

黑客是指具有高超技術(shù)能力的計算機專家，他們能夠以非常獨特的方式進入計算機系統(tǒng)，發(fā)現(xiàn)其中的漏洞，然后突破計算機系統(tǒng)或網(wǎng)絡(luò)的安全措施，來達到他們的目的。

黑客通常是為了惡意目的，當(dāng)然也有一些白帽黑客，會以負(fù)責(zé)任的方式使用其技能來發(fā)現(xiàn)和修復(fù)系統(tǒng)漏洞，幫助保護計算機系統(tǒng)和網(wǎng)絡(luò)。

我們接觸黑客，防止黑客攻擊，這就需要具備厲害的安全技術(shù)。得掌握加密、認(rèn)證、防火墻、備份恢復(fù)、漏洞管理、網(wǎng)絡(luò)監(jiān)控等等傳統(tǒng)技術(shù)，還得跟上時代，學(xué)習(xí)很多日新月異的新技術(shù)并掌握其原理。

我們需要學(xué)習(xí)很多的知識，比如：

計算機網(wǎng)絡(luò)基礎(chǔ)：了解計算機網(wǎng)絡(luò)的基本原理、協(xié)議和架構(gòu)，包括IP地址、子網(wǎng)掩碼、路由等相關(guān)知識。
操作系統(tǒng)和編程：熟悉常見操作系統(tǒng)（如Windows、Linux）的安全特性和配置，并具備一定的編程能力，例如Python、C或者Java等語言。
網(wǎng)絡(luò)安全原理：學(xué)習(xí)網(wǎng)絡(luò)攻擊和防御技術(shù)的基本概念，包括密碼學(xué)、身份認(rèn)證、訪問控制、漏洞分析等。
系統(tǒng)安全：了解操作系統(tǒng)的安全機制、安全策略和系統(tǒng)漏洞的利用與修復(fù)方法，學(xué)習(xí)應(yīng)用程序開發(fā)中的常見安全問題。
數(shù)據(jù)庫安全：掌握數(shù)據(jù)庫的安全管理和保護技術(shù)，包括數(shù)據(jù)加密、權(quán)限控制、漏洞掃描和數(shù)據(jù)庫審計等。
網(wǎng)絡(luò)攻防技術(shù)：學(xué)習(xí)黑客攻擊的原理和常見手法，并了解相應(yīng)的防御策略，包括入侵檢測與防御、防火墻配置等。
信息安全管理：了解信息安全管理體系、風(fēng)險評估和合規(guī)性要求，包括制定安全策略、培訓(xùn)員工、應(yīng)急響應(yīng)等。
逆向工程：學(xué)習(xí)逆向工程技術(shù)，包括惡意軟件分析、漏洞挖掘和代碼審計等，以便更好地理解攻擊者的行為和思路。
網(wǎng)絡(luò)取證：了解數(shù)字取證的基本原理和方法，學(xué)習(xí)如何收集、分析和保護數(shù)字證據(jù)，以支持調(diào)查和法律訴訟。
社會工程學(xué)：研究人類心理學(xué)和社交工具的使用，了解社會工程學(xué)在網(wǎng)絡(luò)安全中的作用和防范方法。

這是一個廣泛而復(fù)雜的領(lǐng)域，想要有所成就，必需耗費大量時間和精力去學(xué)習(xí)、去實踐。當(dāng)然，也不是完全沒有“捷徑”，有許多專業(yè)證書就可以幫助你快速提升技能和知識，比如CISSP。

02

CISSP全稱Certified Information Systems Security Professional，即(ISC)2注冊信息系統(tǒng)安全專家，是目前全球范圍內(nèi)_權(quán)威、_專業(yè)、_系統(tǒng)的信息安全認(rèn)證。

CISSP 的知識體系框架，我們叫它CBK，它有8個知識域，里面包含的那些議題，跟信息安全領(lǐng)域的所有原理都有關(guān)系。這套體系，相當(dāng)完整，也相當(dāng)實用。

安全與風(fēng)險管理（Security and Risk Management）：這個知識域涵蓋了建立和維護信息安全管理框架和政策，制定風(fēng)險管理策略等內(nèi)容。通過適當(dāng)?shù)娘L(fēng)險評估和管理措施，可以識別和減輕黑客攻擊的潛在風(fēng)險。
資產(chǎn)安全（Asset Security）：這個知識域關(guān)注如何保護信息資產(chǎn)，包括敏感數(shù)據(jù)、設(shè)備和系統(tǒng)。了解資產(chǎn)分類和安全控制的原則，可以幫助我們實施適當(dāng)?shù)募夹g(shù)和物理安全措施來防御黑客的攻擊。
安全架構(gòu)與工程（Security Architecture and Engineering）：這個知識域涵蓋了設(shè)計安全架構(gòu)和安全控制的原則和方法。通過構(gòu)建安全的網(wǎng)絡(luò)架構(gòu)、實施訪問控制和身份認(rèn)證等措施，可以有效地防范黑客的入侵。
通信和網(wǎng)絡(luò)安全（Communication and Network Security）：這個知識域關(guān)注保護網(wǎng)絡(luò)和通信系統(tǒng)的安全。了解網(wǎng)絡(luò)協(xié)議、加密技術(shù)和網(wǎng)絡(luò)設(shè)備的安全配置，可以幫助我們預(yù)防黑客對網(wǎng)絡(luò)和通信的攻擊。
身份和訪問管理（Identity and Access Management）：這個知識域涵蓋了身份驗證、授權(quán)和訪問控制的原則和實踐。通過實施強大的身份驗證和訪問控制策略，可以防止未經(jīng)授權(quán)的訪問和黑客入侵。
安全評估和測試（Security Assessment and Testing）：這個知識域關(guān)注評估和測試安全控制的有效性。通過進行安全評估、漏洞掃描和滲透測試等活動，可以幫助我們發(fā)現(xiàn)并修復(fù)系統(tǒng)中存在的安全漏洞，從而防范黑客的攻擊。
安全操作（Security Operations）：這個知識域涵蓋了安全監(jiān)控、事件響應(yīng)和取證等方面。通過建立有效的安全監(jiān)控和事件響應(yīng)機制，可以及時發(fā)現(xiàn)和應(yīng)對黑客的攻擊，并收集相關(guān)的取證信息。
軟件開發(fā)安全（Software Development Security）：這個知識域關(guān)注在軟件開發(fā)生命周期中構(gòu)建安全的應(yīng)用程序。通過實施安全的編碼實踐、進行代碼審查和應(yīng)用程序測試，可以減少黑客利用軟件漏洞進行攻擊的機會。

03

除了外面的“黑客”，平臺內(nèi)部的“內(nèi)鬼”也是導(dǎo)致個人信息和數(shù)據(jù)泄露的一個重要原因。這幾年，“內(nèi)鬼”事件可沒少曝光。就說前不久吧，江蘇常州警方破了個特大侵犯公民信息的案子，48 個“內(nèi)鬼”來自銀行、衛(wèi)生、教育、社保、快遞、保險、網(wǎng)購、汽修等好多行業(yè)。買賣的信息有個人征信、車輛信息、開房住宿、收貨地址等好幾十種實時信息。

有個銀行原信貸部副經(jīng)理就是“內(nèi)鬼”，他利用職務(wù)便利，把單位信息系統(tǒng)里 3000 多個客戶的征信信息，以一條 30 塊的價格給賣了，這里面有姓名、身份證號、家庭住址、工作單位啥的。

在信息都往平臺聚集的互聯(lián)網(wǎng)大數(shù)據(jù)時代，僅僅依靠防黑客技術(shù)是遠(yuǎn)遠(yuǎn)不夠的，我們還需要關(guān)注內(nèi)部的安全風(fēng)險。平臺想要防住自己系統(tǒng)里的“內(nèi)鬼”，這就需要有安全內(nèi)控體系和審計監(jiān)督機制啦！

CISA（信息系統(tǒng)審計師）和CRISC（風(fēng)險與信息系統(tǒng)控制認(rèn)證）是兩個與內(nèi)部安全控制相關(guān)的重要認(rèn)證。通過學(xué)習(xí)CISA和CRISC的內(nèi)容，我們可以了解企業(yè)內(nèi)部控制的原理和方法，學(xué)習(xí)如何建立有效的安全策略、風(fēng)險管理和監(jiān)督機制，以及如何進行安全審計，發(fā)現(xiàn)和糾正內(nèi)部安全漏洞。

CISA ：注冊信息系統(tǒng)審計師，是信息系統(tǒng)審計領(lǐng)域的專業(yè)認(rèn)證。適合信息系統(tǒng)審計師、信息安全專業(yè)人員、企業(yè)管理層、內(nèi)部審計人員、咨詢顧問和 IT 從業(yè)者等對信息系統(tǒng)審計和風(fēng)險管理有興趣的人。它的知識體系要點包括信息系統(tǒng)的審計流程、風(fēng)險評估與管理、信息技術(shù)治理、信息系統(tǒng)的安全與控制等。
CRISC：風(fēng)險與信息系統(tǒng)控制認(rèn)證。CRISC認(rèn)證注重信息系統(tǒng)風(fēng)險管理和控制，適合那些希望在信息安全風(fēng)險管理領(lǐng)域發(fā)展的人士。其知識體系涵蓋風(fēng)險識別、評估與應(yīng)對，信息系統(tǒng)控制的設(shè)計與實施，以及業(yè)務(wù)連續(xù)性管理等方面。

結(jié)束語

如果個人信息保護不好，我們每個人可能都會變成透明人，成為受害者。個人信息大規(guī)模泄露頻發(fā)，主要是因為互聯(lián)網(wǎng)平臺企業(yè)沒盡責(zé)，對內(nèi)對外的防護做得不到位。

所以說，信息安全工作，真的很重要！

如果你想系統(tǒng)地、完整地去學(xué)習(xí)信息安全領(lǐng)域相關(guān)知識和技術(shù)，小艾老師推薦大家參加：

1、CISSP信息安全專家認(rèn)證

2、CISA信息系統(tǒng)審計師認(rèn)證

3、CRISC風(fēng)險與信息系統(tǒng)控制認(rèn)證

贊