CISSP 零基础入口
先把最底层的词讲清楚:认证、授权、风险、控制、证书、令牌、协议、加密、日志、恢复。看懂这些,再去看缩写库和技术名词库,脑子里会有位置。
知道题干、场景、最佳答案和控制是什么意思。
分清坏事伤到的是保密、正确、可用,还是风险大小。
再进入认证、授权、证书、令牌、协议、日志和恢复。
没有匹配到内容,换一个关键词试试。
做题入口
题干就是题目讲的故事和最后问你的那句话。
CISSP 很多题不是考背词,而是把知识点藏进一个小场景里。先读懂题干,才知道它到底问身份、风险、通信、恢复还是合规。
题目说员工离职后还能下载客户名单。先别急着看选项,先翻译题干:不该访问的人还在访问敏感数据。
看到长题,先看最后一句问什么,再回头找题干里的动作、对象和限制条件。
不要把题干里的每个技术词都当重点。真正重点通常在最后一句问题和场景里的坏事。
做题入口
场景就是这个知识点发生在现实里的哪一类事情中。
没有场景,术语只是名字;有了场景,才知道它在题里扮演什么角色。
同样是“证书”,放在网站登录里可能是 TLS;放在员工身份里可能是 PKI;放在证书失效里可能是 CRL 或 OCSP。
题目出现登录、传输、恢复、审批、审计、支付卡、医疗数据,先把场景分出来。
不要只看词长得像。不同场景下,同一个词会指向不同答案。
做题入口
最佳答案不是“也有点对”的答案,而是在这个场景里最合适、最先做、最符合管理原则的答案。
CISSP 常把多个看起来都对的选项放在一起,考你能不能选最稳的那个。
系统出事后,选项里有“通知客户”“恢复备份”“先做影响评估”“买新设备”。题目问第一步时,通常先分析和确认,不是先买工具。
看到 BEST、FIRST、MOST appropriate,先想优先级和原则,不要选看起来最猛的工具。
不要把“技术上能做”当成“考试最佳”。最佳答案常常更偏流程、风险、责任和业务。
做题入口
控制就是降低风险的办法。
安全不是只知道哪里会坏,还要知道用什么办法让坏事更少发生、早点发现、或者发生后能恢复。
门禁、加密、备份、日志、培训、审批、职责分离,都是不同类型的控制。
题目问 safeguard、countermeasure、control,通常在问“用什么办法降低风险”。
控制不一定是技术工具。政策、流程、培训、审计也可以是控制。
做题入口
预防性控制是在坏事发生前尽量拦住它。
有些风险最好不要等发生后再处理,先挡住更便宜也更安全。
门禁、防火墙、最小权限、MFA、输入校验,都是先拦一拦。
题目问 prevent、avoid、stop before it happens,先想预防性控制。
预防性控制不是事后报警。报警更像检测性控制。
做题入口
检测性控制是在坏事发生时或发生后发现它。
有些攻击挡不住,但至少要能看见,否则连出事都不知道。
日志、IDS、监控告警、审计记录,都是发现异常的眼睛。
题目问 detect、monitor、alert、audit,先想检测性控制。
检测性控制通常不负责直接修复,它先告诉你哪里不对。
做题入口
纠正性控制是在坏事发生后把状态拉回来。
安全不可能保证永远不出事,所以必须准备恢复和修正。
从备份恢复、重装系统、打补丁、隔离主机、恢复账号,都是纠正动作。
题目问 recover、restore、correct、fix after incident,先想纠正性控制。
纠正性控制不是预防坏事发生,而是发生后减少损失、恢复正常。
安全目标
机密性就是不该看的人不能看。
很多安全事故的核心是秘密被不该知道的人知道了。
客户名单被离职员工下载,病历被无关人员看到,工资表被公开。
题目出现 disclosure、eavesdropping、unauthorized viewing、数据泄露,先想机密性。
机密性不是数据有没有被改。被改坏是完整性问题。
安全目标
完整性就是内容没有被乱改,仍然可信。
系统能打开不代表数据可信。内容被改坏,业务判断也会跟着错。
订单金额从 1000 被改成 10,药品剂量被改错,日志被篡改。
题目出现 tampering、modification、altered data、篡改,先想完整性。
完整性不是能不能访问。打不开是可用性问题。
安全目标
可用性就是需要时能用。
系统再保密、再正确,如果关键时刻打不开,业务也会停。
医院系统宕机、支付系统打不开、DDoS 让网站无法访问。
题目出现 outage、downtime、DoS、unavailable、打不开,先想可用性。
可用性不是资料被偷看。资料被偷看是机密性问题。
安全目标
真实性就是人、系统或消息来源是真的。
如果来源是假的,后面授权、交易、通信都可能建立在假身份上。
邮件看起来像老板发的,其实是攻击者伪造的。
题目问 authenticity、source verification、spoofing,先想真实性。
真实性偏“是不是本人/真来源”;不可否认性偏“做过以后赖不掉”。
安全目标
不可否认性就是做过以后不能赖账。
有些业务需要事后拿出证据证明某个人确实批准、发送或签署过。
某人批准付款后说不是自己点的,系统要能拿出签名和日志证据。
题目出现 non-repudiation、cannot deny、proof of origin,先想不可否认性。
不可否认性不是单纯保密。它更关心证据和责任。
风险基础
资产就是值得保护的东西。
风险分析要先知道保护什么,否则控制措施会乱花钱。
客户数据、服务器、源代码、办公楼、品牌信誉、业务流程都可以是资产。
题目问 asset value、critical asset、data owner,先找被保护对象。
资产不一定是硬件。数据、声誉、流程也可能是资产。
风险基础
威胁就是可能造成坏事的来源或事件。
知道威胁是什么,才能选对控制措施。
攻击者、火灾、断电、员工误操作、恶意软件、洪水都可能是威胁。
题目问 threat、threat actor、natural threat,先找“谁或什么会造成坏事”。
威胁不是弱点。弱点是漏洞;威胁是可能利用弱点的东西。
风险基础
漏洞就是容易被利用的弱点。
威胁要造成损失,通常需要利用某个弱点。
没打补丁、弱密码、门没锁、员工没培训、输入没有校验。
题目问 vulnerability、weakness、unpatched,先想漏洞。
漏洞不是攻击者。攻击者是威胁源;漏洞是被利用的弱点。
风险基础
风险就是坏事发生并造成损失的可能性。
安全管理不是追求零风险,而是知道哪些风险最值得先处理。
数据库有漏洞,攻击者可能利用它偷走客户数据,造成罚款和声誉损失。
题目问 risk、likelihood、impact、mitigation,先找威胁、漏洞和影响。
风险不是单个漏洞,也不是单个威胁。风险通常是威胁利用漏洞造成影响。
风险基础
影响就是坏事发生后损失有多大。
同样的漏洞,影响大小不同,处理优先级也不同。
测试服务器宕机影响小;支付系统宕机影响大。
题目问 impact、business impact、loss,先想影响。
影响不是发生概率。概率是可能性;影响是损失大小。
风险基础
可能性就是坏事有多容易发生。
风险大小通常同时看影响和可能性。
一个漏洞在公网暴露,可能性比只在隔离实验室里高。
题目问 likelihood、probability、frequency,先想可能性。
可能性高不一定影响大;影响大也不一定经常发生。
身份与访问
身份就是系统里“你是谁”的记录。
没有身份,系统无法区分用户、设备、服务和责任。
员工账号、设备证书、服务账号、客户 ID 都是身份的一种表现。
题目出现 identity、account、user lifecycle,先想身份管理。
身份不是权限。身份说明你是谁,权限说明你能做什么。
身份与访问
认证就是证明你是谁。
系统不能只听用户自称是谁,需要证据来确认身份。
输入密码、刷指纹、插智能卡、用验证码,都是在证明身份。
题目问 authentication、login、MFA、password,先想认证。
认证不是授权。认证通过只说明你是真的,不代表你什么都能做。
身份与访问
授权就是决定你能做什么。
一个人身份是真的,也不代表他能访问所有资源。
客服能看客户联系方式,但不能改财务报表。
题目问 authorization、permission、access rights、role,先想授权。
授权发生在认证之后。先证明你是谁,再决定你能做什么。
身份与访问
记账和审计就是记录谁在什么时候做了什么。
出事后需要追溯责任,也需要证明控制是否真的执行过。
管理员删除账号、用户下载文件、系统拒绝登录,都可以写进日志。
题目问 accountability、audit trail、logging,先想记录和追责。
审计不是阻止动作本身,它更多是留下证据。
身份与访问
凭据就是用来证明身份的东西。
认证需要证据,凭据就是这个证据。
密码、证书、令牌、智能卡、一次性验证码都可以是凭据。
题目出现 credential、password、token、certificate,先想凭据。
凭据不是身份本身。身份是账号或主体,凭据是证明它的材料。
身份与访问
令牌就是一张临时通行凭证。
系统不想每次都让你重新输入密码,于是用令牌代表一段时间内的访问资格。
网页登录后拿到 session token,第三方应用拿到 OAuth access token。
题目出现 token、access token、bearer token,先想临时访问凭证。
令牌被偷也可能被冒用,所以令牌需要过期时间、范围和保护。
身份与访问
票据是 Kerberos 里用来换取服务访问的一种通行凭证。
Kerberos 不想让密码到处传,所以用票据证明用户已经通过认证。
用户先向 KDC 拿 TGT,再用 TGT 换访问具体服务的票。
题目出现 Kerberos、KDC、TGT、TGS、ticket,先想票据。
票据不是普通网页 token。它是 Kerberos 体系里的专门凭证。
身份与访问
证书就是网络世界里绑定身份和公钥的身份证明。
你需要知道这个网站或用户的公钥到底是不是它本人的。
浏览器访问 HTTPS 网站时,会检查网站证书是否可信。
题目出现 certificate、CA、PKI、trust chain,先想证书。
证书不是密钥本身,它把身份和公钥绑定起来。
身份与访问
会话就是登录后一段持续的交互关系。
系统需要记住你已经登录过,不必每点一次页面都重新认证。
你登录网站后,一段时间内继续操作不用反复输密码。
题目出现 session、session timeout、cookie,先想会话。
会话不是永久身份。会话应该会过期,也可能需要重新认证。
密码与通信
协议就是双方按同一套步骤说话。
通信双方如果没有共同规则,就不知道先说什么、怎么验证、怎么保护数据。
浏览器和网站按 HTTP/TLS 规则通信;客户端和认证服务器按 Kerberos 流程换票。
题目问 protocol、handshake、negotiation,先想双方按流程交互。
协议不是单个软件,也不一定等于加密。协议可能包含认证、协商、传输和错误处理。
密码与通信
加密就是把内容变成别人看不懂的样子。
数据在存储或传输时可能被别人看到,加密用来保护机密性。
HTTPS 让路上的人看不懂网页内容;磁盘加密让丢失的电脑不容易泄露文件。
题目出现 encryption、confidentiality、ciphertext,先想加密。
加密不等于哈希。加密通常可以解密;哈希通常不能还原。
密码与通信
哈希就是把内容压成一个固定长度的指纹。
只要内容改一点,哈希通常就会变,用来检查完整性。
下载文件后比对哈希值,确认文件有没有被改过。
题目出现 hash、digest、integrity check,先想哈希。
哈希不是加密。哈希主要验证有没有变,不是为了把内容藏起来再还原。
密码与通信
数字签名就是用密码学方式证明内容来自谁,并且没被改。
电子文件也需要像纸质签名一样证明来源和完整性。
软件发布者给安装包签名,用户可以验证它确实来自发布者且没被篡改。
题目出现 digital signature、non-repudiation、integrity、origin,先想数字签名。
签名不是为了隐藏内容。隐藏内容靠加密,签名更关注来源和完整性。
密码与通信
密钥就是加密、解密或签名验证时用的秘密材料。
算法通常是公开的,真正需要保护的是密钥。
同样的加密算法,用不同密钥会得到不同结果。
题目问 key management、key rotation、secret key,先想密钥管理。
不要把密钥和密码完全等同。密码是人记的秘密,密钥是密码学操作用的材料。
密码与通信
公钥可以给别人,私钥必须自己保管。
公钥密码让双方不用提前共享同一个秘密,也能做加密、签名和身份验证。
网站把公钥放在证书里给浏览器看,私钥留在服务器自己手里。
题目出现 public key、private key、asymmetric、PKI,先想公私钥。
公钥不是秘密;私钥才是必须保护的核心。
密码与通信
安全通道就是让通信路上不容易被偷看或篡改的保护路径。
数据从一端到另一端,中间会经过很多设备和网络,需要保护传输过程。
HTTPS、VPN、TLS 隧道都可以理解成不同形式的安全通道。
题目出现 secure channel、in transit、tunnel,先想传输保护。
安全通道保护路上,不代表两端系统本身一定安全。
网络与运营
网络流量就是网络里正在移动的数据。
很多网络题本质是看数据从哪里来、到哪里去、经过哪一层、该被允许还是拦住。
用户访问网站、数据库同步、VPN 连接、恶意扫描,都是流量在移动。
题目出现 traffic、packet、source、destination,先画流量路径。
不要只看设备名。先看流量方向和目标,再决定防火墙、代理、VPN 或分段。
网络与运营
端口就是一台机器上不同服务的入口编号。
网络通信要知道找哪台机器,也要知道找这台机器上的哪个服务。
HTTP 常见 80,HTTPS 常见 443,SSH 常见 22。
题目出现 port、service、TCP/UDP,先想服务入口。
端口不是物理插口。这里说的是网络服务入口编号。
网络与运营
日志就是系统记录下来的发生过的事情。
没有日志,出事后很难知道发生了什么、谁做了什么、什么时候开始异常。
登录失败、文件下载、管理员改配置、防火墙拒绝连接,都可以写入日志。
题目出现 log、audit trail、evidence、SIEM,先想日志。
日志不是自动等于安全。日志还要被收集、保护、分析和保留。
网络与运营
告警就是系统发现异常后提醒你。
日志很多,人不可能逐条盯着看,告警帮你把可疑情况提出来。
短时间多次登录失败、恶意流量命中规则、服务器 CPU 异常飙升。
题目出现 alert、alarm、IDS、SIEM,先想告警。
告警不是一定代表真实攻击。它可能误报,需要分析确认。
网络与运营
事件就是需要安全团队关注和处理的安全相关事情。
不是每条日志都是事件,事件通常意味着可能影响安全或业务。
恶意软件感染、账号被盗、数据泄露、异常登录,都可能成为安全事件。
题目出现 incident、security event、triage,先想事件管理。
事件不一定已经造成损失;事故通常影响更明确、更严重。
网络与运营
响应就是发现事件后按步骤处理。
安全事件发生时,如果没有步骤,团队容易乱、证据容易丢、影响会扩大。
确认事件、隔离主机、保留证据、清除恶意代码、恢复系统、复盘改进。
题目出现 incident response、containment、eradication、recovery,先想响应流程。
响应不是单纯修机器。它包含确认、遏制、取证、恢复和复盘。
业务与治理
业务连续性就是出事时业务尽量不断。
技术系统可能会坏,但客户服务、订单、支付和沟通不能完全停摆。
主系统宕机后,客服先用临时流程接单,财务先用备用方式收款。
题目出现 business continuity、critical function、alternate process,先想业务连续性。
业务连续性不等于灾难恢复。连续性偏业务动作,灾难恢复偏 IT 系统恢复。
业务与治理
灾难恢复就是灾后把 IT 系统恢复起来。
业务要继续,技术系统也要按顺序恢复,不能临时乱试。
恢复服务器、数据库、网络连接、域名、账号和应用。
题目出现 disaster recovery、restore system、alternate site,先想灾难恢复。
灾难恢复不是业务连续性的全部。它是其中偏 IT 恢复的一部分。
业务与治理
备份就是提前保存一份可恢复的数据或系统副本。
数据被删、被改、系统坏掉时,需要有东西可以恢复。
每天晚上把数据库复制到备份存储,勒索软件后从干净备份恢复。
题目出现 backup、restore point、retention,先想备份。
备份不是恢复本身。备份是准备材料,恢复是把它用回来。
业务与治理
恢复就是把系统、数据或业务拉回可用状态。
出事后目标不是只知道原因,还要尽快回到能工作的状态。
从备份还原数据库、切到备用站点、重新启用服务。
题目出现 restore、recover、RTO、RPO,先想恢复目标。
恢复时间看 RTO;恢复到哪个数据点看 RPO。
业务与治理
合规就是按法律、法规、标准或合同要求做事。
组织不只是要安全,还要满足外部规则,否则可能罚款、失去资格或违约。
处理信用卡数据要看 PCI DSS,处理欧盟个人数据要看 GDPR。
题目出现 compliance、regulation、legal requirement,先想合规范围。
合规不等于绝对安全。合规是满足要求,安全还要看实际风险。
业务与治理
框架就是一套组织工作的方法地图。
复杂安全工作需要分步骤、分领域、分责任,而不是凭感觉补漏洞。
NIST CSF 用识别、保护、检测、响应、恢复整理安全工作。
题目出现 framework、governance model、structured approach,先想框架。
框架通常给方向,不一定给每个技术细节的具体配置。
业务与治理
标准就是大家约定或认可的一套要求。
标准让组织之间有共同语言,方便建设、审核和比较。
ISO 27001 是信息安全管理体系相关标准,PCI DSS 是支付卡数据安全标准。
题目出现 standard、ISO、PCI DSS,先想标准要求。
标准不一定是法律。法律有强制管辖,标准可能来自行业或国际组织。
业务与治理
策略就是高层说清楚组织要遵守的大方向。
没有策略,下面的程序、标准和操作都没有统一依据。
公司规定所有敏感数据必须分类、加密、按最小权限访问。
题目出现 policy、management direction、high-level requirement,先想策略。
策略通常不写具体每一步怎么操作。具体步骤更像程序。
业务与治理
程序就是一步一步怎么做。
策略说方向,程序把方向变成可执行动作。
新员工入职时怎么开账号、谁审批、多久完成、记录放哪里。
题目出现 procedure、step-by-step、operational process,先想程序。
程序比策略更具体。策略说要做什么,程序说具体怎么做。