信息系统安全认证专家(CISSP)是信息安全市场全球公认的认证。作为资深网络空间安全教育专家——张妤老师,仍然推荐CISSP作为最好的全面性了解网络安全专业知识的认证考试,没有之一。而对于广大群众想跨入这道门槛,CISSP无疑是最好的敲门砖之一。
当然,许多人更加喜欢一开始入门,就学习实操性强的红蓝攻防领域,因为更有立即刺激的成就感。但是如果想在该行业再更深入,走得更远。CISSP所提供的全面性知识仍是最好的奠基石。
老生常谈的,理论与实践结合才是真理。CISSP仅仅是开始,从网络安全全产业链的角度由浅入深,一步一脚印的进入网络安全空间知识的宇宙深处。
CISSP马上在2021年进行重大改版,为了帮助考生更好的学习,下面对新旧版的CISSP考纲做了一个对比。
生效时间:
2021版大纲生效时间: 2021年5月1日。也就是明年5月1日后的考试全部采用新大纲内容。
教材:
原有教材作废,采用新版教材
题库:
全面更新。
知识域:
不变,仍为八大领域。
新旧考纲对比一览图:
2021年新考纲VS2018年旧考纲
CAT考试形式(仅英语) | 线性考试形式(中文) | |||
知识域 | 2021年新考纲平均权重(CAT 形式) | 2018年旧考纲平均权重(CAT 形式) | 2021年新考纲平均权重(线性形式) | 2018年旧考纲平均权重线性形式) |
1.安全与风险管理 | 15% | 15% | 15% | 15% |
2.资产安全 | 10% | 10% | 10% | 10% |
3.安全架构与工程 | 13% | 13% | 13% | 13% |
4.通讯与网络安全 | 13% | 14% | 13% | 14% |
5.身份和访问管理(IAM) | 13% | 13% | 13% | 13% |
6.安全评估与测试 | 12% | 12% | 12% | 12% |
7.安全运营 | 13% | 13% | 13% | 13% |
8.软件开发安全 | 11% | 10% | 11% | 10% |
总计: | 100% | 100% | 100% | 100% |
通过分数 | 700分通过,总分1000分 | |||
考试时间 | 3小时,100-150道题。多项选择和高级创新项目 | 6小时,250道题。多项选择和高级创新项目 | ||
考试地点 | (ISC)2授权的PPC和PVTC Select Pearson VUE检测中心 |
新增考点分析:
1、从各域的比例分来看,将通信与网络安全这个章节降1个百分点,开发安全增加1个百分点。
2、中国的考生一般都是选择母语中文考试,因此考试时间和题目量仍是:6小时,250道题,题型没有变化。
3、重大变化分析:
2021新版CISSP新增了许多最新涌现的网络安全技术,而已经被逐渐淘汰的技术将剔除。当然由于网络安全是以风险为导向,部分容易被忽略的技术风险点例如VOIP等仍作为考察点,但是新考纲做了明确范围要求。
新增(含旧版出现但未重点考核)考核点:
资产安全领域:
寿命终止(EOL),支持终止(EOS)数字版权管理(DRM),数据防泄漏(DLP),云访问安全代理(CASB)
安全架构与工程领域:
零信任、隐私设计、信任但要验证、内存保护、可信平台模块(TPM)、工业控制系统(ICS)、SaaS、IaaS、PaaS、物联网(IoT)、微服务(HPC)、容器、无服务器、嵌入式系统、高性能计算(HPC)系统、边缘计算系统、虚拟化、量子算法、微定义、Li-Fi、Zigbee,5G、及时(JIT)、基于风险的访问控制、OpenID Connect(OIDC)/开放授权(Oauth)、安全声明标记语言(SAML)、泄密攻击模拟、合规检查、威胁源、威胁狩猎、用户和实体行为分析(UEBA)、自动化、机器学习和人工智能(AI)基础工具
软件开发安全:
DevOps,DevSecOps、集成开发环境(IDE)、持续集成和持续交付(CI / CD)、安全编排,自动化和响应(SOAR)、软件配置管理(SCM)、代码库、静态应用程序安全测试(SAST),动态应用安全测试(DAST))、软件定义的安全性。
名师点评:
网络空间安全教育专家——张妤老师,结合当前国内外网络空间安全整体行业发展趋势,对CISSP的知识点做了详细的分析。认为:
1、整体行业发展趋势:
依据IDC、Gartner等全球权威咨询机构持续对2018~2021年度IT技术发展所做的统计和预测。AI、区块链、边缘计算、数字隐私、超级自动化、网络空间安全融合等热点技术的出现、网络安全技术也随之出现翻天覆地的变化。因为安全需要落地应用到具体IT环境当中。
2、CISSP学习重点:
开发安全:这将是本次改版的重中之重。这反映了未来安全领域的重点——安全从运维,前移到开发阶段。从产品的源头开始,就需要控制安全。颇有些得开发安全者,得安全天下的态势。强烈建议备考人员花更多精力在这个领域进行提升。
安全架构:这部分的改版,重点结合了IT技术发展的热点。例如:零信任、边缘计算等。帮助CISSP备考人员关注、了解未来安全技术发展趋势。让备考人员能对未来有更好的判断力。这也是体现来(ISC)2为什么能够几十年以来一直在网络安全认证领域具有权威性的原因。考生这部分内容需要进行广泛性补充知识。
数据安全:因为所有信息资产数字之后,原有现实社会的法律法规可能不再适用于虚拟的网络社会。如何保证建立新的法治秩序,CISSP提出了重点需要关注,但不仅是网络安全领域能够解决的问题。该部分虽有增加内容,但不属于难点。
网络安全:该部分内容本是旧版CISSP最重要的内容。新版比例下降,原因是因为云计算之后,每家企业的运维安全难度已经降低。并且普遍性存在漏洞问题等也随着安全漏洞扫描工具等普及,大部分的风险已经可控。因此CISSP将这部分内容比例下降。符合商业环境趋势。考生需要减少这部分学习精力投入。
3、强烈鼓励程序员来加入到网络安全行业。那您将会实现快速C位出道。
最后:建立机构化知识体系,持续深入学习。考证,仅仅是开始。