0x00 前言

CISSP很多的知识内容都是目前的我所欠缺并且需要补充的知识，只恨接触的太晚，了解的太少。哪怕是不考证书，这里面的内容也是值得学习。列出书中的大纲。one in all 第九版

0x01 安全和风险管理

• 职业道德
• 安全治理与合规
• 法律法规和监管合规问题
• 人员安全策略
• 风险管理

0x02 资产安全

此领域解释了在整个信息资产生命周期中如何对信息资产实施保护。

• 识别和分类信息和资产
• 建立信息和资产处置要求
• 安全地配置资源
• 管理数据声明周期
• 确定数据安全控制措施和合规要求

0x03 安全架构与工程

此领域解释了面对无数威胁的情况下如何保护信息系统发展的安全。

• 安全设计原则
• 安全模型
• 选择有效的控制措施
• 密码
• 物理安全

0x04 通信与网络安全

此领域解释了，如果保护网络架构、通信技术和网络协议的安全。

• 安全网络架构
• 安全网络组件
• 安全通信信道

0x05 身份和访问管理

此领域涵盖了用户和系统之间，系统和其他系统之间的相互关系。

• 控制对资产的物理和逻辑访问
• 标识和身份验证
• 授权机制
• 身份和访问配置声明周期
• 实施身份验证系统

0x06 安全评估与测试

• 评估和测试战略
• 测试安全控制措施
• 收集安全流程数据
• 分析和报告结果
• 开展和促进审计

0x07 安全运营

此领域涵盖了在日常业务中维护网路安全的活动

• 调查
• 记录和持续检测
• 变更和配置管理
• 事件管理
• 灾难恢复

0x08 软件研发安全

此领域解释了安全原则在获取和研发软件系统中的应用，（这一部分就是包含了所谓的SDL，以及DevSecOps的内容）

• 软件研发生命周期
• 软件研发中的安全控制措施
• 评估软件安全
• 评估所购软件的安全
• 安全编码准则和标准。

补充知识

CISSP

CISSP是Certified Information Systems Security Professional的缩写，是全球信息安全领域最为权威的认证之一，由国际信息系统安全认证联盟（ISC2）颁发。

该认证证明个人在信息安全领域具有广泛的知识、技能和经验，能够有效设计、实施和管理信息安全计划、政策和程序。CISSP认证的主要内容包括信息安全和风险管理、访问控制、加密技术、安全架构和设计、网络安全、物理安全、业务持续性和灾难恢复计划等方面。

获得CISSP认证可以提高个人在信息安全领域的信誉和竞争力，也是许多企业在招聘和聘用信息安全专业人员时的重要参考标准之一。同时，CISSP认证也是许多政府和军事机构、金融机构、电信运营商、互联网企业等重要的信息安全人才证书。

CISSP优势

CISSP（Certified Information Systems Security Professional）是国际上最具权威性的信息安全证书之一，获得CISSP证书可以带来以下优势：

1. 获得全球公认的信息安全证书，证明具有高水平的信息安全专业知识和技能。
2. 提升信息安全专业能力，掌握信息安全领域的最新技术和**实践。
3. 增强职业竞争力，有望获得更高级别、更高薪资的职位。
4. 获得更多的职业机会，CISSP持有者在信息安全领域备受欢迎，能够获得更多的职业机会。

   
   讯享网

5. 建立全球性的信息安全专业网络，与其他CISSP专业人员建立联系，共同推动信息安全事业的发展。

CISSP能学到什么

CISSP（Certified Information Systems Security Professional）是一种国际认可的信息安全职业资格认证，它可以让您学到以下内容：

1. 完整的信息安全体系结构：CISSP将按照完整的信息安全体系结构组织知识，包括安全、风险管理、安全工程、安全运营、软件安全等领域，为您提供全面的安全认知和实践。
2. 安全控制：CISSP将让您了解所有类型的安全控制（如技术控制、物理控制、管理控制等），并帮助您了解如何为企业和组织提供安全性。
3. 风险管理和合规性：CISSP将让您了解企业面临的风险和威胁，并提供一套完整的风险管理框架，帮助您了解风险评估、威胁建模等，同时也让您了解全球各种合规性要求。
4. 业务连续性和灾难恢复：CISSP将让您了解业务连续性计划的工作原理，并提供恢复数据和服务的先进机制，以确保业务连续性。
5. 法律、法规和合规性：CISSP将让您了解全球各种法律、法规和政策要求，以促进合规性和保护数据隐私。

总之，CISSP认证将帮助您掌握全面的信息安全知识，提高您的信息安全能力和就业竞争力，为实现信息安全领域的职业发展带来许多机会。

网络安全

网络安全指保护计算机网络不受未经授权的访问、破坏、窃取或破坏信息的行为。网络安全包括各种措施，包括防火墙、加密技术、数据备份和恢复、安全培训和教育、安全政策和规程等。它涉及到保护企业、组织和个人的关键信息资产，以确保网络安全和保密性。网络安全的重要性越来越突出，因为我们越来越依赖互联网和数字技术来进行日常生活和商业活动，而网络攻击也越来越复杂和频繁。

代码审计

代码审计是一种评估软件安全性的方法，通常是通过检查和分析软件源代码，以发现潜在的安全漏洞和风险。代码审计是一项关键的安全措施，可以帮助开发人员和安全专家查找和纠正代码中的安全漏洞，以加强应用程序的安全性和可靠性。通过代码审计，可以发现诸如注入攻击、跨站脚本攻击、跨站请求伪造和逻辑漏洞等安全漏洞。

漏洞

安全漏洞是指计算机系统、网络、应用程序、设备等安全保护机制存在的缺陷或弱点，可能导致黑客或攻击者通过利用这些漏洞，从而获取系统的控制权或者非法获取系统中的敏感信息，或者对系统进行破坏和拒绝服务攻击。安全漏洞是计算机安全领域中的一个重要问题，需要不断地对其进行识别、修复和预防。

cve

CVE编号是一个用于标识漏洞的唯一标识符。CVE全称是“通用漏洞披露”，是一个国际性的漏洞编号系统。CVE编号由CVE组织分配，用于唯一标识一个漏洞，以便于在不同的安全产品、厂商、研究机构中进行跨平台的协调和共享漏洞信息。CVE编号通常以“CVE-年份-序号”的格式命名，例如“CVE-2021-12345”。

网络安全的重要程度

网络安全是当今社会中不可忽视的重要问题之一。随着网络技术的不断发展，我们的个人信息、敏感数据和财务信息等都会被储存在电脑、手机或云端等网络设备中，这些信息如果没有得到安全保护，就很容易被黑客攻击盗取或者破坏，导致很大的损失。

除了个人信息的安全保护，网络安全对于银行、企业、政府等组织机构也非常重要。这些机构处理着大量的数据和信息，如果网络安全没有得到保障，那么这些数据和信息就很容易受到攻击和恶意破坏，引发经济损失和社会动荡，对社会的稳定和发展会产生非常严重的影响。

因此，网络安全不仅仅关系到我们个人的权益，也关系到整个社会的安全和稳定，其重要性是不可忽视的。