CISSP = Certified Information Systems Security Professional(注册信息系统安全专家),由 ISC²(国际信息系统安全认证联盟)颁发。
它被视为信息安全领域含金量最高的认证之一,覆盖安全管理和技术的方方面面,是安全从业者的"黄金标准"。
如果把信息安全比作医学,CISSP 就是"全科医师执照"——你不需要精通每个细节,但你得对安全的所有领域都有一英里宽、一英寸深的理解。
整个信息安全的最底层逻辑就是保护三样东西——这就是 CIA 三元组:
| 属性 | 含义 | 被破坏时 |
|---|---|---|
| 机密性 C | 信息不被未授权的人看到 | 数据泄露(如拖库) |
| 完整性 I | 信息不被未授权地修改 | 网页篡改、数据被改 |
| 可用性 A | 信息在需要时可以正常使用 | 系统瘫痪、勒索软件 |
机密性=你的日记锁起来,别人看不了。完整性=你的日记没被人偷偷改过。可用性=你想看日记的时候,日记还在、能打开。
与 CIA 对立的是 DAD(Disclosure 泄露 · Alteration 篡改 · Destruction 破坏)。考试中常考"某事件破坏了 CIA 的哪个属性"。
讲师举了三个真实世界的安全事件,分别对应 CIA 三个属性被破坏:
| 事件 | 发生了什么 | 破坏了? |
|---|---|---|
| 🔴 香奈儿被攻击 | 黑客冒充 IT 人员(社会工程),渗透 Salesforce CRM 系统,窃取客户数据 | 机密性 C |
| 🟡 网站被篡改 | 黑客入侵后篡改网站页面内容(Hack the Back 可查到被黑网站列表) | 完整性 I |
| 🔵 捷豹路虎被勒索 | 勒索软件攻击导致全球停产,供应链受到严重打击 | 可用性 A |
泄露→C(数据被偷走了)、篡改→I(数据被改了)、瘫痪→A(系统用不了了)。考试遇到安全场景,先想"数据是被偷、被改、还是不能用了"。
| 攻击 | 原理 | 防御 |
|---|---|---|
| 中间人 MitM | 攻击者夹在通信双方中间,窃听或篡改数据 | 端到端加密(TLS)、证书验证 |
| 社会工程 | 利用人性弱点(信任、恐惧)骗取信息 | 安全意识培训 |
| 重放攻击 | 截获合法通信后重新发送 | 时间戳、一次性令牌 |
| 51% 攻击 | 控制区块链超过半数算力,篡改交易 | 提高网络算力分散度 |
| 双花攻击 | 同一笔加密货币花两次 | 等待足够多的区块确认 |
讲师花了一段时间讲区块链,因为 CISSP 考试近年新增了相关内容。核心要点:
区块链就像一本全村人都有复印件的账本。你要改其中一页,全村人手里的复印件都得跟着改——这几乎不可能。但如果你买通了村里超过一半的人(51%攻击),就能伪造记录了。
| # | 知识域 | 核心内容 |
|---|---|---|
| D1 | 安全与风险管理 | CIA、治理、合规、风险评估、职业道德 |
| D2 | 资产安全 | 数据分类分级、角色职责、数据生命周期 |
| D3 | 安全架构与工程 | 安全模型、密码学、物理安全 |
| D4 | 通信与网络安全 | OSI 模型、协议、网络攻击与防御 |
| D5 | 身份与访问管理 | 认证、授权、SSO、访问控制模型 |
| D6 | 安全评估与测试 | 渗透测试、审计、漏洞扫描 |
| D7 | 安全运营 | 事件响应、灾难恢复、日志管理 |
| D8 | 软件开发安全 | SDLC、恶意代码、应用安全 |
想象你要建一座安全的城堡:D1 是制定规则和法律,D2 是管好仓库里的宝贝,D3 是设计坚固的城墙和密室,D4 是保护进出城堡的道路,D5 是门卫验身份,D6 是请人来测试城堡能不能被攻破,D7 是日常巡逻和出事了怎么办,D8 是确保城堡里造的工具(软件)没有后门。
讲师强烈推荐的学习方法:
用自己的话把知识讲出来——如果你能用大白话给别人讲明白一个概念,说明你真的掌握了。如果讲不清楚,说明你还没理解透。