2024年CISSP考试高频知识点总结：

安全和风险管理

- 风险评估与管理：强调“范围”在风险评估分析中的重要性，以及“持续”监控和测量风险，需要掌握风险评估方法、风险矩阵等。风险评估概念、风险分析公式如暴露因子、单次损失期望值等。

- 业务连续性：业务连续性和灾难恢复的要求。新增外部依赖在业务连续性要求中的内容，要了解外部合作伙伴如供应商等对业务连续性的影响。

- 新兴技术风险：将加密货币、AI、区块链等纳入“定期内容审查”，需熟悉这些技术带来的安全风险。

- 安全治理：信息安全治理的基本原则、安全政策制定等。

- 职业道德：(ISC)²职业道德规范。

资产安全

- 数据管理：信息资产的分类分级、数据所有权确定。

- 隐私保护：隐私保护措施、数据隐私法规等。

安全架构与工程

- 安全设计原则：强调最小化编码基础，利用微服务实现更精简架构，需掌握安全设计原则及微服务安全等。

- 安全框架：新增安全访问服务边缘（SASE）框架，要了解其结合网络安全概念和广域网在云服务中的应用。

- 工业控制系统：“运营技术”被添加到工业控制系统子域，需了解相关设备安全知识。

- 安全模型：如Bell-LaPadula模型、Biba模型等的原理。

- 加密技术：对称加密、非对称加密、哈希函数等算法的原理和应用。

- 系统安全：数据库安全、软件和系统漏洞等。

通信与网络安全

- 新兴网络技术：5G网络的安全特性、架构以及可能面临的安全威胁等；软件定义网络（SDN）的安全机制、控制器安全等。

- 网络安全防护：网络访问控制技术、防火墙技术、VPN技术等的原理和应用；网络安全协议如SSLTLS等的工作原理和应用场景。

- 网络架构：安全的网络架构设计、多层协议的安全影响。

- 网络攻击：常见网络攻击手段如DDoS、SQL注入等及防御策略。

- 通信安全：安全通信渠道的建立和维护。

身份和访问管理

- 身份认证技术：多因素身份认证的原理和应用，如密码、令牌、生物识别等多种因素结合的认证方式；单点登录（SSO）的原理、实现方式和安全风险。

- 访问控制模型：基于角色的访问控制（RBAC）、基于属性的访问控制（ABAC）、强制访问控制（MAC）、自主访问控制（DAC）等模型的原理、特点和应用场景。

- 身份管理：身份管理的实施、身份即服务（IDaaS）。

安全评估和测试

- 评估测试方法：渗透测试的流程、方法和工具，包括黑盒测试、白盒测试、灰盒测试等；漏洞扫描工具的使用和漏洞评估方法。

- 安全审计：安全审计的流程、方法和工具，审计日志的分析和应用。

安全运营

- 事件响应：事件响应的流程和方法，包括事件检测、分析、遏制、根除和恢复等阶段的工作；应急响应预案的制定和演练。

- 安全监控：监控工具的使用和监控数据的分析，如入侵检测系统（IDS）、入侵防御系统（IPS）等。

- 事件响应：事件响应流程、应急响应预案。

- 资源保护：通过配置管理进行资源供应和保护。

- 变更管理：变更和配置管理流程、补丁管理。

软件开发安全

- 安全开发生命周期：将安全融入软件开发生命周期（SDLC）的各个阶段，如需求分析、设计、编码、测试、部署和维护等。

- 安全编码：安全编码规范和最佳实践，如避免SQL注入、跨站脚本攻击（XSS）等常见安全漏洞的编码方法。

- SDLC：将安全融入软件开发生命周期的各个阶段。

- 代码安全：安全编码规范、代码漏洞管理。

- 软件保护：软件保护机制、软件安全评估。

本公众号各类文章仅供学习交流之用！