CISSP 认证在 IT 行业的需求量很大。 它通常面向有兴趣了解更多信息安全知识的 IT 专业人员。 以下是准备 CISSP 考试所需了解的所有信息,包括费用和要求,以及练习题。
CISSP 考试要求
候选人必须在 (ISC)2 CISSP CBK 域中的两个或更多个域中具有至少五年的直接全职安全专业工作经验,或者
在 CISSP CBK 的 10 个领域中的两个或更多领域的四年直接全职安全专业工作经验,加上四年制大学学位或 (ISC)2 批准列表的认证,或者
如果您缺乏经验,您仍然可以通过 CISSP 考试成为 (ISC)2 的准会员。 您将有六年的时间来获得成为 CISSP 所需的经验。
应该注意的是,只有一年的经验豁免可用于教育。 此外,拥有 (ISC)2 授权列表上的额外证书可让您免除一年的专业经验要求。 有效经验包括作为从业者、审计员、顾问、调查员或教育工作者开展的信息系统安全相关工作,这些工作需要并涉及直接应用信息安全专业知识。 五年的经验必须相当于实际的全职信息安全工作(不仅仅是五年期间的信息安全职责); 然而,这个标准是累积的,可以在相当长的一段时间内累积。
八个 CISSP CBK 域
CISSP 分为八个主题或领域,称为“共同知识体系 CBK”。 这些是域:
- 风险与安全管理
- 资产保护
- 安全架构和工程
- 网络和通信安全
- 身份和访问管理
- 安全评估与测试
- 安全操作
- 软件开发安全
CISSP 的专业经验包括但不限于:
- 需要特殊教育或智力成就的工作,通常包括通识教育或大学学位。
- 需要习惯性地回忆与从事类似工作的其他人共享的知识库的工作。
- 项目管理和/或监督其他员工。
- 在对自己进行最少监督的情况下监督他人的工作。
- 需要运用判断力、管理决策和自由裁量权的工作。
- 需要使用道德判断(相对于道德行为)的就业。
- 口头交流和创意写作。
- 指导、教导、指导和培训他人。
- 开发与研究。
- 控制和机制的规范和选择(即识别和认证技术)(不包括这些控制的单纯操作)。
适当职位的示例包括 CISO、主管、经理、主管、分析师、密码学家、网络架构师、信息保障工程师、讲师、教授、讲师、调查员、计算机科学家、项目经理、主管等。
通过 CISSP 考试后,考生的证书必须得到另一位信誉良好的 CISSP 的认可。 背书人确认候选人关于专业经验的声明。 如果您无法找到有资格的个人作为背书人,(ISC)2 将代表您这样做。
为什么要参加 CISSP 考试?
在您决定开始您的 CISSP 认证之旅后,确保您取得成功。 多次进行 CISSP 练习测试是 CISSP 学习指南中经过验证的 7 个步骤之一,可以完全准备 CISSP 认证考试。 参加 CISSP 模拟考试可以让您发现自己的缺点和优势。 在 CISSP 实践考试的帮助下,您将能够确定您需要更多关注 CISSP 主题的哪个领域。 如果您在 CISSP 实践考试中的得分没有超过 70%,我们强烈建议您注册并完成全面的 CISSP 认证培训计划。
CISSP 练习题
本节中的 CISSP 练习题涵盖了 CISSP 认证考试中包含的八个领域中每个领域的主要概念。 CISSP 练习题包括答案和原理,可帮助您更好地理解该主题。 这些示例 CISSP 问题将帮助您熟悉 CISSP 考试问题。 它们还将使您能够加强学习并为即将到来的真正的 CISSP 考试做准备。
问题#1
“状态机模型”安全模型要求系统必须在其所有状态(启动、功能和关闭)中受到保护,否则系统不安全。 此要求需要对安全事件做出响应,以便进一步的妥协不会成功。 这种响应方法是什么安全概念的示例?
A。 开放式设计
b. 封闭设计
C。 可信恢复
d. 最低权限
答案:C
Trusted Recovery 是高安全性系统所必需的,它允许系统以安全的方式终止其进程。 如果系统崩溃,它必须以安全模式重新启动,在这种模式下系统策略不会进一步受到损害。 开放设计原则指出,机制的安全性不应依赖于其设计或实现的保密性。 在面向对象编程中,开闭原则指出“软件实体(类、模块、函数等)应该对扩展开放,但对修改关闭”; 也就是说,这样的实体可以允许在不修改其源代码的情况下扩展其行为。 最小权限是将用户、帐户和计算进程的访问权限限制为仅执行常规合法活动绝对需要的那些资源的概念和实践。
问题#2
Heartbleed 病毒最近破坏了 OpenSSL,因为 OpenSSL 的版本容易受到内存内容读取尝试的攻击,最终导致包括服务提供商私钥在内的受保护信息的暴露。 许多从业者认为开放式设计优于封闭式设计。 允许开放式设计提供更高安全性通常需要考虑什么?
A。 同行评审
b. 默默无闻的安全
C。 设计的复杂性
d. 可信层次结构
答案:A
开放式设计通常被认为比封闭式设计更好,因为开放性允许社区中的其他人进行审查。 这个想法是,如果其他人可以访问代码,他们将帮助检查和审查代码,并最终改进代码。 不幸的是,OpenSSL 并非如此。 如果代码没有经过审查,它也可能是一个封闭源代码。 此外,最终代码的质量决定了安全性,远比它是开放还是封闭更重要。 通过默默无闻的安全性与同行评审和开放式设计相反,也可以称为设计的复杂性。 分层信任模型就像一棵倒置的树结构,根是信任的起点。 该模型的所有节点都必须信任根 CA 并保留根 CA 的公钥证书。
问题#3
使用私钥时,一个安全问题是用户的私钥可能会丢失。 为了减轻这种风险,从业者可以选择能够备份和恢复他的密钥的密钥恢复代理。 授予单个人恢复用户私钥的能力会增加不可否认性风险,因为另一方拥有密钥访问权限。 可以实施哪种原则选择来减轻这种风险?
A。 职责分离
b. 最小权限原则
C。 双控
d. 需要知道
答案:C
双重控制是一项安全原则,要求多方参与可能具有严重安全隐患的任务。 在这种情况下,最好至少有两名网络管理员在场,然后才能恢复私钥。 双重控制的子集称为 M of N 控制。 M 和 N 是变量,但此控制需要总共 N 个管理员中的 M 个在场才能恢复密钥。 职责分离是指需要多个人来完成一项敏感任务的概念。 最小特权原则 (PoLP) 指的是一种信息安全概念,在该概念中,用户被授予执行其工作职能所需的最低级别的访问或权限。 需要知道的原则是访问受保护的数据必须是执行用户工作职能所必需的
问题#4
在哪个 BCP 开发阶段,高级管理层必须承诺支持、资助和协助 BCP 的创建?
A。 计划启动
b. 规划
C。 执行
d. 发展
答案:A
传统上,项目启动是高级管理层承诺支持项目的阶段。 通常在这个阶段,管理层会提供一份项目章程,这是一份正式的书面文件,其中正式授权项目,选择并任命项目经理,管理层承诺提供支持。 管理层的 BCP 支持必须贯穿整个开发过程,包括审查和反馈以及 BCP 成功所需的资源。
问题#5
减轻攻击者获得网络访问权限并使用协议分析器捕获和查看(嗅探)未加密流量的风险的最主动(和最小努力)的方法是什么?
A。 实施禁止使用数据包分析器/嗅探器的策略。 经常监视网络。
b. 定期扫描网络以确定是否连接了未经授权的设备。 如果检测到这些设备,立即断开连接,并向管理层报告违规情况
C。 提供安全措施,例如在企业交换机上禁用端口和 mac 过滤,以防止未经授权的设备连接到网络。 实施软件限制策略以防止在系统上安装未经授权的软件。
d. 在网络上的所有系统上安装反间谍软件。
答案:C
为了显着降低网络风险,我们必须实施安全措施来限制外部设备与我们网络的连接。 此外,我们关心安装在主机上的监控软件,因此我们希望限制安装此类软件的能力。 此外,我们希望确保满足其他基本安全要求,例如使用强密码、系统锁定策略、物理安全等。
请记住:主动设备是防止攻击,而不是响应攻击。 网络扫描通常会检测到这些设备,但很少会阻止它们。 政策描述了随后可以实施的高层企业意图。 安装反间谍软件是一种检测/纠正控制,而不是主动/预防性控制。
CISSP 考试的费用是多少?
CISSP认证费用分为三部分,如下:
课程费用从 300 美元到 3200 美元不等。
考试费用为 699 美元。
准备所需时间(隐性成本):50 至 70 小时
CISSP 认证比当今可用的其他一些信息安全认证更具技术性和深度。 仅举几例,它涉及风险管理、资产安全管理、访问管理、安全工程、安全测试和网络安全。
因此,您有望在获得 CISSP 后被聘为安全顾问、安全审计员、安全顾问或安全系统工程师。 作为 CISSP,您将创建政策和流程来保护工作中的信息安全网络。 您会将保护资产免受外部威胁所需的流程集成到 IT 网络中。
事实上,CISSP 对 IT 专业人员来说是一项有价值且令人兴奋的认证。 一旦您拥有它,您将确信您已经赢得了成功信息安全管理所需的信誉和认可。 结果,您将能够在工作中发展并赚取更多的钱。
但是,认证不是免费的。 “工作费用”这个词可能不是最合适的。 您将投资于可以为您提供新的和改善的工作前景的东西。
CISSP 考试费用综合概览
CISSP 认证费用:课程费用
让我们从课程费用开始,它包含在 CISSP 价格中。
获得 CISSP 认证的第一步是注册 CISSP 认证课程。 自学对于通过 CISSP 考试既不建议也不有效,因此您必须完成课程。
与许多其他 IT 认证相比,CISSP 课程内容是独一无二的。 它涵盖了在日常 IT 运营中很少讨论或处理的主题。
因此,您必须参加全面的 CISSP 认证课程。 也就是说,课程应全面涵盖指定的所有主题。 您还应该可以访问练习材料,例如 CISSP 练习测试和其他有用的信息,以帮助您准备考试。
CISSP 认证课程的费用因国家/地区而异,在某些情况下,因城市而异。 即使您搜索您所在地区的 CISSP 课程价格,您也会发现许多培训提供商的价格范围各不相同。
我们调查了一些国家的 CISSP 认证课程的费用,调查结果如下所示。 下表比较了不同国家 CISSP 课程费用的高低。
课堂 CISSP 课程
- 美国和加拿大:2000 美元 – 2800 美元
- 巴基斯坦/印度:300 美元 – 600 美元
- 欧盟:2600 美元 – 3200 美元
- 沙特阿拉伯/阿拉伯联合酋长国:800 美元 – 1300 美元
- 澳大利亚和新西兰:2000 美元 – 2600 美元
如果您想在课堂环境中学习,您所在地区有多家 CISSP 培训机构。 他们可能会定期提供 CISSP 培训,有些还可能提供专门的一对一教育。
您可以与他们讨论您的备选方案并选择最适合您的方案。 不幸的是,基于课堂的 CISSP 培训非常昂贵。 这种形式的培训比在线直播和自定进度的在线学习选项昂贵得多。 因此,此类培训可能会提高您的 CISSP 考试总费用。
在线自主学习
除了课堂培训外,CISSP 课程还可以在线进行自定进度的学习。 对于白天时间有限且工作繁忙的人来说,这是一个不错的选择。 通过自定进度的在线学习,您可以随时观看视频课程。 您也不需要参加培训机构。 我们提供 CISSP 认证培训。
自定进度的在线 CISSP 培训的费用差异很大。 CISSP 课程的费用为 300 美元,但有时也需要 900 美元。
你注意到价格变化了吗? 由于在线自定进度课程比课堂甚至现场在线培训更便宜,因此选择此选项将使 CISSP 认证考试的总体成本更低。 因此,如果您认为这种学习方法非常适合您,那么它也是物有所值的。
在线直播培训
许多教育机构也提供 CISSP 课程。 在现场课程中,您可能是房间里唯一的人,或者您可能有其他学生与您在线。 这将是一个交互式会话,您可以在其中提出问题并得到及时的回复。
在线直播课程的费用也有很大差异。 在线 CISSP 培训课程的费用可能在 600 美元到 1500 美元之间。
CISSP 认证考试费用
考试费用是 CISSP 认证费用的第二部分。 CISSP 考试目前的价格为 699 美元。 此价格将于 1 年 2022 月 699 日更改。此日期后,新的 CISSP 考试费用将从 749 美元增加到 XNUMX 美元。
无论您在哪里申请考试,费用都是一样的。 PearsonVue 是一家获得授权的 ISC2 考试中心,提供所有 ISC2 考试。 要注册您的考试,您可以在线或在您所在地区的特许经营店之一支付 PearsonVUE。
CISSP 认证考试费用:准备时间
为 CISSP 考试学习所花费的时间不包括在 CISSP 认证费用中。 另一方面,你花在备考上的时间会花钱。
时间就是金钱,您可能需要长达 70 小时的时间才能完全学习 CISSP 考试。 IT 专业人员可能需要 50 到 60 个小时来准备考试,但没有丰富 IT 经验的人可能需要 60 到 70 个小时。
完成规划需要多长时间? 这是一个风险! 一切都取决于您每天或每周有多少时间来学习 CISSP 考试。 短则一个月,长则六个月,个人已经完成了准备工作。
其他标准,如以前的工作经验、技能水平和尽快获得认证的愿望,决定了完成课程需要多长时间。
因此,您将花费大量时间来准备 CISSP 考试。 将这段时间视为 CISSP 认证费用的一部分。
CISSP 考试难吗?
这是一个具有挑战性的考试。 尽管 CISSP 的通过率没有公开,但人们普遍认为它们大大低于 50%。
我可以在 3 个月内通过 CISSP 吗?
如果你想在 3 个月内通过 CISSP 考试,你可以选择 Extended Way(3 个月或更长时间,每天 2 小时,重点是周末)。 学习时不要错过任何材料,因为您可能会遗漏一些您以后需要知道的东西。
CISSP 适合初学者吗?
CISSP 不适合初学者。 CISSP 是为在该领域工作了一段时间、目前从事信息安全相关工作并希望了解网络安全领导力和运营的安全专家而创建的。
CISSP有效期是多少年?
CISSP认证有效期为三年。
结论,
CISSP 是全球公认的信息安全认证。 在当今的现代世界中,非常需要对如何保护 IT 资产、应用程序和信息免受攻击有透彻和深入了解的专业人员。 CISSP 是处理信息安全问题的最有资格的专业人员。
在这篇文章中,讨论了 CISSP 认证费用的三个组成部分:CISSP 课程费用、CISSP 考试费用和准备时间。
如果您有获得认证的预期费用,您将为您的未来职业制定明确的财务计划和学习时间表。 最好的祝愿!
相关文章
- 考试转储是 Certbolt Cisco 300-420 ENSLD 的最佳准备工具吗?
- 网络营销公司:最佳最佳公司(更新)
- 如何成为注册管理会计师:详细指南
- 人寿保险清单:您需要在 2023 年获得保险
- GOOGLE 广告认证:详细概述
参考资料
