汇哲科技spisec的个人资料

[问题解答]1月16日国盟CISSP每日一题可信计算基的主要组件是什么？ A.计算机硬件 B.安全子系统 C.操作系统软件 D.引用监控器答案: D 解释: 安全内核由位于TCB内的硬件、软件和固件组件构成，并且实现和实施引用监控器概念。安全内核调解主体和客体之间的所有访问和功能。它是TCB的核心部分，并且是构建可信计算系统的最常见方法。安全内核具有以下3个主要要求：它必须为实施引用监控器概念的进程提供隔离，并且这些进程必须不被篡改。针对每个访问企图，都必须调用安全内核，而且必须保证不回避调用。因此，必须以一种完整而且简单牢靠的方式实现安全内核。它必须足够小，以便能够完整地和全面地对其进行测试和验证。这些就是引用监控器的要求。因此，它们也就是对提供和实施引用监控器概念的组件（即安全内核）的要求。

考CISSP有什么要求？ CISSP – 在 CISSP CBK 规定的八大知识领域之中的两个或以上范畴，拥有至少5年直接从事信息安全领域的全职工作经验。或具备学士学位且拥有4年的近期全职工作经验。拥有(ISC)2 承认及核准的其它证书，可减免1年工作经验要求。

为什么要考CISSP？ CISSP持证人员是确保组织运营环境安全，定义组织安全架构、设计、管理和/或控制措施的信息安全保障专业人士，CISSP持证者堪称名副其实的、可信赖的安全顾问。CISSP 认证将确保信息安全领导者拥有可靠地构建及管理组织的安全态势所必备的广泛知识、技能与经验。CISSP 是信息安全行业首个符合ISO/IEC 17024 国际标准严格要求的认证。如果您打算在信息安全这一当今最为瞩目的行业领域里成就一番事业，获得CISSP认证理应成为您下一个职业目标。

如何能一次性通过CISA考试个人觉得CISA考试真的没有那么高不可攀。通过考试利用的时候这基本书个人觉得通过考试足够了《CISA重点知识点标注讲义2017》；《CISA review manual 2017》中文版；《CISA中文对照题目解析合集2017》；《CISA学习电子光盘》；《CISA认证考试历年源题集,2016年12月更新版》最重要的就是看书吧整本书全部看一遍，当然第一遍时候并不是全部都能理解，没关系整理好自己觉得不能理解的，带着问题可以问老师（切入下：本人报名了汇哲科技培训因为对比下来他们是专业做信息安全方便的）然后在课堂上带着问题有不懂的问题及时询问老师，然后下课后自己在吧正本书从前到后在看一遍，不要着急做题目，等书看上有了两遍的时候可以做题目，做题目切记不可以只记答案，因为真正的考试的时候并不是习题上的答案，一本习题集做好之后自己所有的错的，做好备注知道自己为什么错理解好了之后，在此吧正本习题集做一般，我第二次做的时候正确率能打到80% 。CISA考试是150到题目800分450分通过考试，基本上通过是已经没有任何问题了。其实CISA考试就是让你学会想一个审计一样思考，在审计的角度去看待问题，但是如果自己本来就是审计人员的话，IT的知识就需要好好学习了。认真复习参加考试之后就是考过之后的等待分数，以及通过考试之后的喜悦~当时我们同一个班级一起参加考试的有70人通过了67人。其实收获最多的并不是考试之后的证书而是准备考试的这份坚持学习，参加学习认识的这班学校伙伴。回想起大家一起相互鼓励场面还是满值得回忆的。证书通过后的有一个问题来了CPE积分的问题，每年都需要交纳证书的维持费用，并且需要3年累计120个积分，一旦错过了交纳维持费用，或者没有累积到证书就失效了，幸辛苦苦几个月就浪费了，多少有些不甘心，所以找一个权威的培训机构的好处自然不需要再说了，会提醒你交纳维持费用的时间，并可以为我们提供免费的服务。CPE的学分可以通过培训、发布文章、参加官方活动等方式获得。希望我的小分享可以帮助到大家。

CISM国际注册信息安全经理认证课程体系信息安全治理（24%）建立信息安全治理结构，以确保信息安全策略与业务目标一致，同时符合法律法规和监管要求；信息风险管理（30%）建立信息安全风险管理体系，符合法律法规监管要求；信息安全计划开发与管理（27%）设计，开发，实施和管理信息安全流程，建立信息安全管理框架；信息安全事故管理（19%）建立信息安全事件管理流程，应对突发事件并恢复

CISD国家注册信息安全开发人课程结构 1、信息安全保障基础信息安全保障背景信息安全保障原理典型信息系统安全模型与框架信息安全保障工作概况信息安全保障工作基本内容 2、信息安全法规与政策信息安全相关法律信息安全相关政策 3、信息安全标准安全标准化概述信息安全相关标准信息安全评估标准 4、访问控制访问控制模型访问控制技术 5、密码学基础密码学概述密码学算法简介 6、网络安全网络协议安全网络安全设备 7、系统安全操作系统安全数据库安全 8、信息安全风险管理风险管理工作内容信息安全风险评估实践 9、信息安全工程原理安全工程理论背景安全工程能力成熟度模型 10、软件安全开发基础软件安全开发基本概念软件安全开发生命周期 11、安全需求分析需求概述安全需求工程安全需求分析方法威胁建模 12、软件安全设计软件设计及安全设计原则软件安全设计方法 13、软件安全编码软件安全编码基础典型安全缺陷及防御措施 14、软件安全测试软件安全测试简介软件安全测试的关键工作 15、软件安全部署与开发项目管理考前复习软件安全部署软件安全开发项目管理考前复习知识梳理串讲

CISD国家注册信息安全开发人简介中国信息安全测评中心创立于1997年，是我国专门从事信息技术安全测试和风险评估的权威职能机构。依据中央授权，测评中心的主要职能包括：负责信息技术产品和系统的安全漏洞分析与信息通报；负责党政机关信息网络、重要信息系统的安全风险评估；开展信息技术产品、系统和工程建设的安全性测试与评估；开展信息安全服务和专业人员的能力评估与资质审核；从事信息安全测试评估的理论研究、技术研发、标准研制等。英文名称为：China Information Technology Security Evaluation Center，简称：CNITSEC。注册信息安全开发人员（Certified Information Security Developer，简称 CISD）认证，由中国信息安全测评中心实施，面向信息系统研发领域的工作人员，通过该培训将使相关人员熟悉软件安全开发的背景和过程，掌握软件安全开发各阶段的目的、主要任务和技术手段。CISD 证书持有人主要从事信息系统软件编码、软件测试、软件集成、软件架构设计等软件开发相关工作，在全面掌握信息安全基本知识技能的基础上，具有较强的信息系统安全开发能力、熟练掌握应用安全。CISD系经中国信息安全测评中心认定的信息安全开发人员，具备一定的软件安全开发知识和技术，能为软件全生命周期中提供安全保障。

C-CCSK云计算安全知识认证课程背景走入云安全领域，获取国际认证，助力职业发展[/b] CSA（Cloud Security Alliance）2008年12月在美国发起，是中立的非盈利世界性行业组织，致力于国际云计算安全的全面发展，2011年美国白宫在CSA峰会上宣布了美国联邦政府云计算战略。全球300多个单位会员，7万多个个人会员。CSA聚焦在云安全领域的基础标准研究和产业最佳实践。CSA发布的“云计算关键领域安全指南”是云安全领域奠基性的研究成果，得到全球普遍认可，具有广泛的影响力，被翻译成6国语言。C-CCSK的课程体系结合了云计算行业在安全领域的最佳实践，融合了欧洲网络与信息安全局(ENISA)技术白皮书：《云计算：收益、风险和信息安全建议》的主要内容，涵盖了云计算安全知识体系的主要方面。学习C-CCSK认证相关课程，有助于企业IT技术人员增强对于云计算技术的认知、全面的分析云安全风险并制定有针对性的防护方案，从而帮助企业更加安全的应用云计算技术。

10月10日国盟CISM每日一题某组织实施与互联网和同一隔离区直接相连的两道独立防火墙的主要原因是: A. 提供深度防御。 B. 单独进行测试和生产。 C. 允许流量负载均衡。 D. 预防拒绝服务攻击。

10月10日国盟CRISC每日一题风险应对报告包括针对以下哪个方面的建议: A. 接受。 B. 评估。 C. 评价。 D. 量化。

10月10日国盟CISM每日一题某组织实施与互联网和同一隔离区直接相连的两道独立防火墙的主要原因是: A. 提供深度防御。 B. 单独进行测试和生产。 C. 允许流量负载均衡。 D. 预防拒绝服务攻击。

10月10日国盟CISSP每日一题在以下表述中，哪一选项描述了实施安全策略所制定的管理控制？ A.防止用户访问任何控制功能 B.消除对大多数审计功能的需求 C.可能是行政管理、程序或技术上的 D.通常可以廉价实施

解读：CISM国际信息安全经理认证详情 CISM国际注册信息安全经理认证与其他认证的差异根据美国信息安全知名厂商ISS(InternetSecurity Systems)一项统计，企业在2004年第一季所侦测到的信息安全事件比2003年第四季多出了84%，面对层出不穷的信息安全事件，光靠部署防火墙、网路入侵等设备不足为恃，还需要有效的信息安全管理与规划；因此CISM国际注册信息安全经理主要著重在管理层面而非技术层面，并要求报考者至少要具备5年以上专业信息系统安全相关工作经验，其中须有3年以上的信息安全主管经验。ISACA提供国际注册信息安全经理CISM的理由ISACA的名字反映出它的义务及所提供的认证，并不仅限于信息系统审计专业人士，还包括相关对信息系统控制的人员。在过去的20多年，ISACA率先针对国际注册信息系统审计师CISA进行认证，同时对国际注册信息系统审计师CISA进行认证、信息安全参与者及有关信息安全管理的人员进行培训。在近年，ISACA在所发行的期刊中，加强了其他信息安全的控制与活动，同时针对担任信息安全管理工作的专业人员进行研究。由于众多ISACA会员和CISA的需要，针对专职的信息安全管理人员，于是ISACA 发展了CISM的专业认证。CISM的认证与其他信息安全认证的不同CISM不同于其他的信息安全认证，在于它的经验要求以及集中在信息安全经理人工作上的执行。其他信息安全认证重点在于特定的技术、作业平台或是产品信息。或是针对信息安全工作的前几年工作。唯有CISM是针对信息安全经理人，重点已经不再是个别的技术或者是技能，而是移转到整个企业的信息安全管理。CISM是针对管理并且监督企业的信息安全的个人，许多人可能拿在其他领域都已经持有相关的认证。就因为集中在管理上的需要，以致工作经验相对有其重要性，所以CISM要求最少要有5年信息安全管理的经验，而考试的内容也都集中在信息安全经理人日常处理的工作上。CISM国际注册信息安全经理认证的独特性CISM国际注册信息安全经理具有独特，因为它被明确设计针对市场上从事信息安全管理的人员。对信息安全经理人而言，经验的要求和CISM考试对于履行信息安全的职责和责任相对重要。这些要求和知识范畴经过信息安全专家及业界的领导者所验证过，用来测量信息安全经理人经验及管理能力，并非一般的通识（通用知识）训练。CISM国际注册信息安全经理的工作领域分析的定义为了解信息安全经理人需要执行那些工作以及工作的内容，ISACA组成了一个专案小组，针对业界精英、信息安全专家就其工作内容加以分析，并将分析的结果作为考试认证的依据。由于工作领域定义的重要性，以及信息安全专业人员工作内容的变化。ISACA目前也针对工作领域的划分重新分析研究。除此之外，信息系统安全协会，信息安全论坛和ASIS国际组织一同参与研究。CISM 考试每年举行，考题为150项选择题，范围涵盖从最新CISM工作实务分析中所建立的五个工作实务范畴。ISACA聘用著名的业界领导者、CISM各个工作实务范畴的专家和业界执业者来开发工作实务分析，并对其进行验证。随着信息安全领域在国内的快速发展、信息技术的更新与普级。企业面对信息安全事件更加需要专业的信息安全经理人来制定符合企业自身的管理方式；信息安全经理并非“IT”经理。为此，汇哲科技根据最新国际标准教材研发出能适用于国内的CISM中文教材与讲义。在率先开办CISM国际注册信息安全经理认证培训。至今为止，已为众多金融、能源、制造等行业信息安全经理提供了国际注册信息安全经理认证培训。 CISM信息安全经理认证课程大纲基于2017年更新的CISM Job Practice Areas（任务和知识点）。一.信息安全治理简介信息安全治理简介有效的信息安全治理角色和职责风险管理角色和职责第三方关系的治理信息安全治理指标信息安全战略概述信息安全战略目标确定当前安全状态信息安全战略的建立战略资源战略约束战略实施的行动计划信息安全项目群目标案例研究二.信息风险管理简介风险管理概述风险管理策略有效的信息安全风险管理信息风险管理概念风险管理的实施风险评估和分析方法风险评估信息资产分类运营风险管理第三方服务提供商风险管理与生命周期流程的整合安全控制基线风险监控和沟通培训和意识认知文档案例研究三.信息安全项目群开发和管理简介信息安全项目群管理概述信息安全项目群目标信息安全项目群概念信息安全项目群范围和章程信息安全管理框架信息安全框架组成部分定义信息安全项目群路线图信息安全基础设施与体系结构架构实施安全项目群管理与行政管理活动安全项目群服务和运营活动控制与对策安全项目群度量和监控常见信息安全项目群挑战案例研究四.信息安全事件管理简介事件管理概述事件响应程序事件管理组织事件管理资源事件管理目标事件管理度量和指标定义事件管理程序事件响应能力的现状制定事件响应计划业务连续性和灾难恢复程序测试事件响应和业务连续性或灾难恢复计划执行响应和恢复计划事后活动和调查案例研究培训课程时间安排： 2017年6月24-27日北京 8月17-20日上海 10月21-24日北京 11月4-7日广州 12月7-10日上海培训地点：北京：北京市海淀区车道沟蓝靛厂南路25号牛顿办公区7层715室上海：上海市黄浦区西藏南路760号安基大厦1506室广州：广州市海珠区详情地点待定

9月30日国盟CISM每日一题以下哪一项是事故应对政策的关键组成部分? A. 更新呼叫树 B. 上报标准 C. 新闻稿模板 D. 关键备份文件清单

CISSP考试技巧你知道多少？ Ø 考场的秩序很好，纪律很严。电子化考场装有摄像头监控。 Ø 抄袭邻座可不是技巧，因为CISSP前后左右邻居的考卷都不同，所以千万别抄。 Ø 保持心情平和，适度兴奋和紧张。做好心理准备上考场，考题一定跟平时模拟题有很大不同。考生普遍体会是考试一开始连续多道题目就受挫，但是一定要保持镇定，坚持下去会逐渐找到答题思路，并且适应了后面的考题。 Ø CISSP都是单选题，所以排除法就是第一个简单而实用的技巧。 Ø 考试时，应该注意时间安排。要注意控制答题速度，平均下来大概1小时需要做50道题。每答完50道题估算一下时间，调整速度。 Ø 无论纸面考试还是电子考试，答题卡涂得时候要仔细, 要检查, 防止错位串行，务必确保答题纸上没有任何意外抄错答案顺序。 Ø 遇到没看过、没看懂或不确定的题，不要花过多时间研究，先选一个，并在题目上做好标记，等全答完了如果有时间就回头重点先复查标记的题目是否需要修改。至于标记多少道题，要看个人感觉和做题时间进度，标记太多或太少，都会失去意义。一般而言安排30分钟来检查有疑问的标记过的题目。 Ø 考试真题出题非常巧妙，基本题为主，假如基础比较扎实的话，可以应对。80-90%都要思考做答，要仔细审题，看清题干和备选答案才能做答。当然也有10-20%的送分题，那种一看就知道答案的概念题一定要做对。 Ø 还有一部分题目是没有落在你的准备范围里面的，而要依据你的common sense来予以回答，把自己想象成一位manager，然后站在领导的角度考虑问题，回答问题。 Ø CISSP考试越来越多的采用场景模拟的方式，CISSP面向的是具有工作经验的人，考题中的大量case都是来源于实际工作中，这样更有助于检验考生的实际工作能力而非理论掌握程度，但场景题并没那么可怕，就是场景描述比较啰嗦，有时候后面跟的题目倒是挺简单的。碰到某个场景,你的决定是什么,你的选择就是要根据不同的情况,根据学到的理论,来解决问题。 Ø 在前面的三个小时完成150道题目后，建议中场稍事休息5-10分钟，比如喝水，吃巧克力，稍微活动四肢，继续下半场的考试。原因在于三个小时的连续做题有时候可能会让大脑处于一种空白状态，几分钟歇息可为大脑补氧。

信息安全意识每日提示定期备份

汇哲科技-如何选择CISSP教材？ CISSP认证是目前世界上最权威、最全面的国际化信息系统安全方面的认证，CISSP认证已然成为IT行业的十大资质认证之一，截止到2016年7月1日，全球CISSP持证人数为108160人，中国大陆持证人数为1183人，其权威性得到了国际上企业、学术、政府和金融等多个行业的认可。CISSP认证要求信息系统安全从业人员对安全事项有广泛的认识。并且，（ISC）2根据信息系统安全的共通知识CBK，制订了CISSP的资格考试。如果你是一名正在准备获取CISSP认证道路上的学员，那么你可能听说过以下书籍： · Official(ISC)2 Guide to the CISSP CBK, Fourth Edition（下简称：CISSP CBK4）· CertifiedInformation Systems Security Professional Study Guide 7th（下简称：CISSP学习指南7th） · Cissp All-in-One ExamGuide,seventh Edition（下简称：AIO 7th）这三本书也是CISSP改版为8个知识域的主要可选教材。那么我们如何在学习过程选择和使用这些教材呢？首先，让我们看看（ISC）2的CEO David P. Shearer关于CISSP教材所说的：”如果你正在获得认证的道路上，你毫无疑问听说过CBK的（ISC）2官方指南（CISSP CBK4）。虽然我们的CBK官方指南是公共知识体的权威参考，新的学习指导是学习工具，集中在教育为准备考试的读者。作为ISO / IEC 17024国际标准之下的ANSI认证认可机构，（ISC）²没有教授CISSP考试。相反，我们努力生成或认可教授CISSP的CBK的内容。对CBK有深刻理解的候选人是考试和职业成功最好的准备。新的（ISC）²CISSP学习指南是齐心合作去加强和增加我们的教育和培训提供的一部分。CISSP学习指南反映了我们不断变化领域中最相关的主题，并且是（ISC）²认证考试候选人的学习工具。它为八个CISSP域和行业中最新的主题提供了一个全面的学习指南。“ 从这段文字我们可以看出CISSP CBK4和CISSP学习指南7th的特点和区别，具体如下： 1、CISSP CBK4是（ISC）2官方对公关知识域（CBK4）的权威参考； 2、CISSP学习指南7th是学习指导是学习工具，是提供给准备考试的人； 3、CISSP学习指南7th为官方指定的辅导教材；其次，我们再看看AIO这套教材的由来和特点： 1、AIO 7th是由知名信息安全专家Shon Harris和FernandoMaymi 所编制，作者有20多年的工作经验；但此书主要作者Shon Harris以于2014年10月去世。 2、AIO系列的教材，由于里面包含了作者大量的案例，因此在AIO 6th之前都作为很多人学习的主要教材； 3、AIO 7th由于作者Shon Harris去世，后由FernandoMaymi来编写。综上来看，我们建议大家这样来选择教材： 1、新学习CISSP的同学可以选择学习指南7th做为教材，如果遇到有疑问或分歧的地方，可以查阅CISSPCBK4； 2、如果已对AIO 6th有较多了解同学，可以选择AIO 7th做为教材，如果遇到有疑问或分歧的地方，可以查阅CISSP CBK4；

利用碎片时间学习了解CISSP的同学看过来 9月8日国盟CISSP每日一题哪种类型的攻击是基于两个不同的消息使用相同的哈希函数产生共同的消息摘要的概率？ A. 统计攻击 B. 差分密码分析 C. 生日攻击 D. 差分线性分析答案与解析 Answer:C A Birthday attack is usually applied to the probability of two different messages using the same hash function producing a common message digest.

信息安全碎片化时间学习 9月8日国盟CISA每日一题以下哪一种攻击最有可能影响网络资源的可用性？ A.中间人 B.拒绝服务DOS C.网络钓鱼 D.结构化查询语言SQL注入答案与解析解释: A.中间人攻击的策略是，攻击者截获受害系统两个部分之间的通信流，然后用入侵者自已的代码置换这两个组件之间的流量最终夺取通信控制权。这种攻击通常不会使用户无法使用网络资源。 B.拒绝服务DOS攻击是来自单个源头对某个服务发起的攻击，期间内对该服务发起大量请求，最终使之不堪重负，要么完全停止，要么运行速度大幅下降。 C.网络钓鱼是试图获取用户名、密码和信用卡详情之类信息的行为，但并不试图让用户无法使用网络资源。 D.SQL注入是为了窃取敏感信息而攻击网站的一种常用技术，但不意图或不可能影响网络资源的可用性。答案：B

信息安全行业O基础入行指导很多学员对于信息安全行业不是很了解但是有听过身边有人从事，无论是待遇还是工作都很不错，想有心入行但是并知道怎么样入手，本人信息安全行业4工作经验可以帮助您，有需要可以价QQ3051617376学习

汇哲科技-9月5日国盟CISSP每日一题公司信息安全策略的功能是什么？ A. 发布在解决特定安全问题时公司使用的标准 B. 发布选择设备、配置、设计和安全操作的指南 C. 明确受保护的特定资产并确定保护这些资产安全所必须完成的特定任务 D. 明确必须要实现的主要安全目标和满足业务目标的安全构架论坛讨论地址:http://tieba.baidu.com/mo/q/checkurl?url=http%3A%2F%2Fwww.cncisa.com%2Fread-htm-tid-27338.html+&urlrefer=57374c6ece8baf1376bff53e5831e452 汇哲科技近期课程时间安排：【CISP认证培训】9月08-16上海;9月15-23北京;9月08-16广州; 【CISSP认证培训】10月28-29北京;9月23-27上海;12月09-13广州; 【CISA认证培训】9月09-13北京;11月01-05上海; 【CISM认证培训】10月21-24北京;12月07-10上海; 11月04-07广州; 【CISD认证培训】11月20-24北京; 【CSSLP认证培训】12月16-19上海; 【CRISC认证培训】12月07-10上海; 【ITIL V3 Foundation认证培训】9月23-24北京;10月21-22上海; 【COBIT 5.0 Foundation 认证培训】10月14-15上海; 【IT审计实践CISAE认证培训】12月17-19北京;11月04-06上海; 【ISO27001LA认证培训】9月16-20日上海;11月20-24上海;12月04-08北京; 【ISO20000LA认证培训】11月07-11上海; 【ISO22301LA认证培训】11月07-11上海;

【汇哲科技】CISSP考试费从10月1日起上涨至699美金！【重要通知】CISSP考试费从10月1日起上涨至699美金！提前报名节约100美金~ 已经计划考试或者已经缴费的同学，条件合适了可及时找我安排报名，目前考试时间安排已出至2018年。

信息安全行业5年工作经验欢迎技术大牛，各路人马积极交流，可以加我qq3051617376，大家一起学习，也欢迎小白新手前来质询。

汇哲科技-9月1日国盟CISSP每日一题下列哪项使用保护配置文件和安全目标？ A. ITSEC B. ISO 15408 C. CTCPEC D. TCSEC

汇哲科技-9月1日国盟CISM每日一题当某在线贸易公司发现正在发生网络攻击时，应采取以下哪一项措施? A. 关闭所有网络接人点 B. 将所有事件日志转储到可移除介质中 C. 隔离受影响的网段 D. 启用针对所有事件的追踪记录

汇哲科技-8月31日国盟CISM每日一题谁是倡导开发信息安全计划并确保该计划成功实施的最佳人选? A. 内部审计师 B. 首席运营官 C. 指导委员会 D. IT 管理层论坛讨论地址:http://tieba.baidu.com/mo/q/checkurl?url=http%3A%2F%2Fwww.cncisa.com%2Fread-htm-tid-27320.html+&urlrefer=9fb16eeea68b1ac73b27e7c944cc4f46 关注我，每天学习IT小知识，每天做题，每天都在提高自己@@ 扫描二维码，关注国盟微信公众账号。国盟微信：cisa 国盟微信号：cncisa

汇哲科技-8月31日国盟CISSP每日一题以下哪项不是用于执行渗透测试的技术？ A. 链路填充 B. 扫描和探测 C. 战争拨号 D. 嗅探论坛讨论地址:http://tieba.baidu.com/mo/q/checkurl?url=http%3A%2F%2Fwww.cncisa.com%2Fread-htm-tid-27319.html+&urlrefer=cd60e2ecaffa22eeaa519b5629151bb4 关注我，每天学习IT小知识，每天做题，每天都在提高自己@@扫描二维码，关注国盟微信公众账号。国盟微信：cisa 国盟微信号：cncisa

分享CISSP CBT考试经验各位前辈大家好：小弟在今年四月初通过了CISSP CBT考试，在这想跟大家分享一下准备心得与考试经验，让更多想通过考试的伙伴能对考试有更多的认识。我在2009年的10-11月份週二与週四晚间到参加汇哲开的CISSP课程，有老师系统性的介绍，让我入门的速度更快，不然有十个CBK，在日常工作是无法完全Cover的，补一个题外话，上完课没多久，我们公司不幸发生失火，此时BCP的训练就派上用场了，刚好可以验证所学与协助公司的MIS快速的回复系统资料，这也是让人意外的实务经验^ ^ 强烈建议刚开始准备的伙伴，如果预算许可，上课可以让你少走很多、很多的冤枉路，在上完课之后，因为工作因素，就越来越少时间准备，也慢慢把考试的事放下了，这个状况直到去年中有机会再上一次CISSP的课后，我觉得该是把考试完成的时候了，我才重拾书本，我的准备书籍有恒逸的教材、All in one、Official ISC2 Guide to the CISSP CBK, Second Edition原厂教材，准备时我先熟读恒议的教材，因为上面有标注以前上课时的重点，因为有熟读过一次，看起来快很多，大约花一个月的时间，每天都持续一个小时以上，第二回合改看Official ISC2 Guide，裡面的资料更多，花了大约三个月读，也是持续每天读一个小时，中间如果有任何疑问，就查All in One做参考，由于我们是做SI的，通讯安全那章花比较少时间准备，但是Information Security Governance and Risk Management、Security Architecture and Design、Legal, Regulations, Investigations, and Compliance 较弱，我花很多时间补强，尤其Bell-Lapadula、Biba的规则一定要搞清楚，因为在本次的考试裡面，我就遇到三题组，问相关应用问题，如果没有搞清楚，那就只能猜猜乐了。在准备Official ISC2 Guide时，我是一个章节读完就做考古题，增加自己对考试方向的与出题方式的熟悉，当时大约每章答对率大多都是7成，认为自己已经花了那麽多时间，还是无法得到更多分，说实在有些灰心，建议各位在准备时，要去理解章节的架构，为何这些章节的作者要介绍这些资讯，如果你是资安人员，你要如何利用这些资讯解决可能发生的问题，当你去思考这些问题，因为你有加入你的逻辑思考，你会理解变成你的知识，而且记的比较清楚，而不是囫囵吞枣，如果你只是看别人整理好的资料，那是别人的逻辑，你会没有感觉，纯粹记忆而已，这是非常危险的，因为当我老老实实答完1654题考古题后，当我进入考场答完所有考题之后，我发现完全相同的题目是ZERO!!没错，ZERO，如果准备时纯粹靠记忆的话，就白花USD599了，不过大家也别灰心，做考古题的好处是找出你不熟悉的题目，重点是你答错的题目，要确实找出错在哪裡，这表示你的观念有错误，要把这些点记录起来，集结成你专属的读书笔记，如此反覆训练，很快你会找到哪些是考试重点方向，重点还是理解!理解!再理解!!当你可以自问自答，或是试著把一个困难的问题，用口语化的答案回答时，那就表示你真的读懂了。接下来就是考试时间，你必须要到VUE注册考试，协细情形网路上都有很多资讯可查，就不赘述了，说实在，其实CISSP准备再久你也不会觉得你准备好了，当你准备的一定程度时，大概就是考古题可以答对6-7成时，就可以准备报名了，因为没有报名，永远不会考上，我还记得我是清明节连假在上网注册考试，发现可以考试的日期并不多，当时4月份只有4/11还有4/25两天，接下来就是5月份，我很挣扎，因为我很确定5月份我的工作会很忙，可是我准备的又很累很X，我不想在拖下去了，所以我眼一闭，就往4/11点下去了，刷完卡，如果没记错的话，那天是4/7，接下来就是准备上考场了，记得提早到考场，要带护照&第二证件(记得带与你护照相同名称的信用卡，这是第二证件之一)，食物与水，我带香蕉去，管理员会让你把所有东西锁在柜子裡，包含手表、钱包、零钱、包包…，你身上只能带护照，详细规则要上ISC都有详细说明，食物与水放在靠近厕所的桌上，桌面会画一格一格的，你就放在自己的格子上，开始考试，报名时我选的是简中版，这是今年三月份开始的新功能，说真的，翻译的不好，因为CBT不能带字典，我是使用它来取代字典的功能，反正可以中英对照，考试便利不少，第一回合作答，不要在同一问题停留太久，有问题标记后，凭直觉猜一个答案，不要留白，做下一题，我做完第一回合时，大约花了四个小时，我就举手先出来吃香蕉喝水上厕所，对了，因为这个考场还提供其他外语考试，所以他们会比你早离席，记得不要受他们影响，休息一下再回去检查第二回合，大约又花一个多小时把所有的题目再重新作答一遍，再出来让脑袋恢复清醒，再进去做第三回合直到时间结束，考完后管理员就会给你一张成绩单，你就能知道通过与否，接下来就是等ISC寄welcome mail。以上就是我个人的考试经验，供各位参考，也祝各位考试顺利。

8月25日国盟CISSP每日一题下列哪个是探测性控制？ A. 备份流程 B. 审计跟踪 C. 物理访问控制 D. 职责分离论坛讨论地址:http://tieba.baidu.com/mo/q/checkurl?url=http%3A%2F%2Fwww.cncisa.com%2Fread-htm-tid-27297.html+&urlrefer=65938ae7c1e4fa90811d1beb3cb3584a 关注我，每天学习IT小知识，每天做题，每天都在提高自己@@ 扫描二维码，关注国盟微信公众账号。国盟微信：cisa 国盟微信号：cncisa

8月25日国盟CISSP每日一题下列哪个是探测性控制？ A. 备份流程 B. 审计跟踪 C. 物理访问控制 D. 职责分离论坛讨论地址:http://tieba.baidu.com/mo/q/checkurl?url=http%3A%2F%2Fwww.cncisa.com%2Fread-htm-tid-27297.html+&urlrefer=65938ae7c1e4fa90811d1beb3cb3584a

汇哲科技-如何选择CISSP教材？ CISSP认证是目前世界上最权威、最全面的国际化信息系统安全方面的认证，CISSP认证已然成为IT行业的十大资质认证之一，截止到2016年7月1日，全球CISSP持证人数为108160人，中国大陆持证人数为1183人，其权威性得到了国际上企业、学术、政府和金融等多个行业的认可。CISSP认证要求信息系统安全从业人员对安全事项有广泛的认识。并且，（ISC）2根据信息系统安全的共通知识CBK，制订了CISSP的资格考试。如果你是一名正在准备获取CISSP认证道路上的学员，那么你可能听说过以下书籍： · Official(ISC)2 Guide to the CISSP CBK, Fourth Edition（下简称：CISSP CBK4）· CertifiedInformation Systems Security Professional Study Guide 7th（下简称：CISSP学习指南7th） · Cissp All-in-One ExamGuide,seventh Edition（下简称：AIO 7th）这三本书也是CISSP改版为8个知识域的主要可选教材。那么我们如何在学习过程选择和使用这些教材呢？首先，让我们看看（ISC）2的CEO David P. Shearer关于CISSP教材所说的：”如果你正在获得认证的道路上，你毫无疑问听说过CBK的（ISC）2官方指南（CISSP CBK4）。虽然我们的CBK官方指南是公共知识体的权威参考，新的学习指导是学习工具，集中在教育为准备考试的读者。作为ISO / IEC 17024国际标准之下的ANSI认证认可机构，（ISC）²没有教授CISSP考试。相反，我们努力生成或认可教授CISSP的CBK的内容。对CBK有深刻理解的候选人是考试和职业成功最好的准备。新的（ISC）²CISSP学习指南是齐心合作去加强和增加我们的教育和培训提供的一部分。CISSP学习指南反映了我们不断变化领域中最相关的主题，并且是（ISC）²认证考试候选人的学习工具。它为八个CISSP域和行业中最新的主题提供了一个全面的学习指南。“ 从这段文字我们可以看出CISSP CBK4和CISSP学习指南7th的特点和区别，具体如下： 1、CISSP CBK4是（ISC）2官方对公关知识域（CBK4）的权威参考； 2、CISSP学习指南7th是学习指导是学习工具，是提供给准备考试的人； 3、CISSP学习指南7th为官方指定的辅导教材；其次，我们再看看AIO这套教材的由来和特点： 1、AIO 7th是由知名信息安全专家Shon Harris和FernandoMaymi 所编制，作者有20多年的工作经验；但此书主要作者Shon Harris以于2014年10月去世。 2、AIO系列的教材，由于里面包含了作者大量的案例，因此在AIO 6th之前都作为很多人学习的主要教材； 3、AIO 7th由于作者Shon Harris去世，后由FernandoMaymi来编写。综上来看，我们建议大家这样来选择教材： 1、新学习CISSP的同学可以选择学习指南7th做为教材，如果遇到有疑问或分歧的地方，可以查阅CISSPCBK4； 2、如果已对AIO 6th有较多了解同学，可以选择AIO 7th做为教材，如果遇到有疑问或分歧的地方，可以查阅CISSP CBK4；

汇哲科技-8月24日国盟CISSP每日一题典型的计算机欺诈者通常有以下什么特点？ A.他们之前曾有过执法相关经历。 B.他们违背社会公认准则。 C.他们被别人信任。 D.他们与别人合谋。答案与解析 Answer:C These people, as employees, are trusted to perform theirduties honestly and not take advantage of the trust placed in them. 微信号：cncisa

汇哲科技-8月24日国盟CISA每日一题在为IT治理确定优先领域时，应主要考虑以下哪个因素？ A.流程成熟度 B.绩效指标 C.业务风险 D.鉴证报告答案与解析解释: A.流程成熟水平会随着IT治理计划的实施而提高，并进入决策流程。应该优先治理那些代表企业所面临的真实风险的领域。 B.流程的绩效水平会反映计划的有效性，但不是确定治理优先级的方法。应该优先治理那些代表企业所面临的真实风险的领域。 C.应该优先治理那些代表企业运营所面临的已知风险的领域。 D.审计报告会为治理实施的有效性提供鉴证，但不能决定计划的优先级。应该优先治理那些代表企业所面临的真实风险的领域。答案：C 微信号：cncisa

汇哲科技-8月24日国盟CISSP每日一题典型的计算机欺诈者通常有以下什么特点？ A.他们之前曾有过执法相关经历。 B.他们违背社会公认准则。 C.他们被别人信任。 D.他们与别人合谋。答案与解析 Answer:C These people, as employees, are trusted to perform theirduties honestly and not take advantage of the trust placed in them. 微信号：cncisa

汇哲科技-8月24日国盟CISM每日一题 Which of the following requirements would have the lowestlevel of priority in information security? A. Technical B. Regulatory C. Privacy D. Business 答案与解析 Information security priorities may, at times, overridetechnical specifications, which then must be rewritten to conform to minimumsecurity standards. Regulatory and privacy requirements are government-mandatedand, therefore, not subject to override. The needs of the business shouldalways take precedence in deciding information security priorities. 答案：A 微信号：cncisa

CISM简介

信息安全每日提醒对于系统和端点赢创建被封并保持定期备份的习惯。一旦发生安全事件或数据紧急情况，应保证备份触手可及和即使回复，将服务中断事件和员工效率降至最低。

软件安全培训内部培训 2017年8月汇哲在某加银行组织举办了第二期的软件培训圆满结束了重点介绍JAVA语言的最佳安全开发实践。目前，软件已经成为了现代谁会基础设施的重要要素，融入社会的每个角落，在软件技术不断进步、规模也不断扩大当中，软件安全已经是世界范围内关注的问题，无法回避而且贯穿始终。软件安全已经是世界范围内关注的问题，而保证软件开发的培训也致关重要。因此银行特别选择我们制定出一套方案，针对其企业软件开发人员进行培训，通过此次培训学员们在开发能力、安全开发意识、常见语言安全编码规范、安全编码一般性规则、代码安全审计与加固、常见的WEB安全漏洞原理和正确处理方法等方面有所提高。

安全意识每日提示员工有责任保护自己的用户账号，密钥和密码不被他人盗用，未经企业授权禁借用他人的用户账号，未经过企业授权严禁将自己的用户账号转借给他人使用。

CISM每日一题 8月18日国盟CISM每日一题 In the process of deploying a new email system, an information security manager would like to ensure the confidentiality of messages while in transit. Which of the following is the MOST appropriate method to ensure data confidentiality in a new email system implementation? A. Encryption B. Digital certificate C. Digital signature D. Hashing algorithm 答案与解析 To preserve confidentiality of a message while in transit, encryption should be implemented. Choices B and C only help authenticate the sender and the receiver. Choice D ensures integrity. 答案：A

CISSP每日一题 RSA算法是什么加密类型的例子？ A. 非对称密钥 B. 私钥 C. 对称密钥 D. 密钥答案与解析 Answer:A An Asymmetric Key is another name for Public Key, RSA is a Public Key cryptographic system.