CCSP(Certified Cloud Security Professional) 國際注冊云安全專家

2022年8月1日開始，在中國的北上廣設置考點，需要考試的朋友不需要去國外考試了，相信伴隨這個信息，國內將掀起學習云安全的熱潮。

CCSP 考試內容

CCSP 考試范圍

認證云安全專家 (CCSP) 考試涵蓋以下領域
云概念、架構和設計 (17%)
云數據安全 (20%)
云平臺和基礎設施安全 (17%)
云應用安全 (17%)
云安全運營 (16%)
法律、風險和合規 (13%)

更多信息參考2022/8/1 CCSP認證考試大綱

領域1: 云概念、架構和設計

• 了解云計算概念
  云計算定義
  云計算角色和職責（例如，云服務客戶、云服務供應商、云服務合作伙伴、云服務代理、監管機構）
  云計算關鍵特性（例如，按需自助服務、廣泛的網絡訪問、多租戶、快速彈性和可伸縮性、資源池化、可度量服務）
  構建塊技術（例如，虛擬化、存儲、聯網、數據庫、編排）
• 描述云計算參考架構
• 了解與云計算相關的安全概念
• 了解安全云計算的設計原則
  ? 云安全數據生命周期
  ? 基于云的業務連續性 (BC) 和災難恢復 (DR) 計劃
  ? 業務影響分析 (BIA)（例如，成本效益分析、投資回報率 (ROI)）
  ? 功能安全要求（例如，可移植性、互操作性、供應商鎖定）
  ? 不同云類別的安全注意事項和責任（例如，軟件即服務 (SaaS)、基礎設施即服務 (IaaS)、平臺即服務 (PaaS)）
  ? 云設計模式（例如，SANS 安全原則、架構完善的框架、云安全聯盟 (CSA) 企業架構）
  ? DevOps 安全
• 評估云服務供應商
  ? 根據標準進行驗證（例如，國際標準組織/國際電子技術委員會 (ISO/IEC) 27017、支付卡行業數據安全標準 (PCI DSS)）
  ? 系統/子系統產品認證（例如，通用標準 (CC)、聯邦信息處理標準 (FIPS) 140-2）

領域2: 云數據安全

描述云數據概念

? 云數據生命周期階段
? 數據分散
? 數據流

設計和實現云數據存儲架構

? 存儲類型（例如，長期、臨時、原始存儲）
? 對存儲類型的威脅

設計和應用數據安全技術和策略

實現數據發現

? 結構化數據
? 非結構化數據
? 半結構化數據
? 數據位置

計劃和實現數據分類

設計和實現信息權限管理 (IRM)

? 目標（例如，數據權限、訪問、訪問模型）
? 適當的工具（例如，頒發和撤銷證書）
? 加密和密鑰管理
? 散列
? 數據混淆（例如，屏蔽、匿名化）
? 令牌化
? 數據丟失防護 (DLP)
? 密鑰、機密和證書管理
? 數據分類策略
? 數據映射
? 數據標記

規劃和實施數據保留、刪除和歸檔策略

? 數據保留策略
? 數據刪除程序和機制
? 數據歸檔程序和機制
? 依法保留

設計和實施數據事件的可審計性、可追溯性和責任性

? 事件源的定義和事件屬性的要求（例如，身份、互聯網協議 (IP) 地址、地理位置）
? 數據事件的日志記錄、存儲和分析
? 監管鏈和不可抵賴性

更多信息參考2022/8/1 CCSP認證考試大綱

領域 3：云平臺和基礎架構安全

理解云基礎架構和平臺組件

? 物理環境
? 網絡與通信
? 計算
? 虛擬化
? 存儲
? 管理平面

設計安全的數據中心

? 邏輯設計（例如，租戶分區、訪問控制）
? 物理設計（例如，位置、購買或建造）
? 環境設計（例如，供暖、通風與空調 (HVAC)、多供應商通路連接）
? 設計彈性

分析與云基礎架構和平臺相關的風險

? 風險評估（例如，識別、分析）
? 云漏洞、威脅和攻擊
? 風險緩解策略

計劃和實現安全控制

? 物理和環境保護（例如，內部部署）
? 系統、存儲和通信保護
? 云環境中的識別、認證和授權
? 審計機制（例如，日志收集、關聯、數據包捕獲）

計劃業務連續性(BC)和災難恢復(DR)

? 業務連續性 (BC) / 災難恢復 (DR) 策略
? 業務需求（例如，恢復時間目標 (RTO)、恢復點目標 (RPO)、恢復服務級別）
? 計劃的創建、實施和測試

領域4: 云應用安全

倡導應用程序安全性的培訓和意識

? 云開發基礎
? 常見陷阱
? 常見云漏洞（例如，開放網端應用安全項目 (OWASP) 10 大風險、SANS 前 25 個最危險的軟件錯誤）

描述安全軟件開發生命周期 (SDLC) 流程

? 業務需求
? 階段和方法（例如，設計、編碼、測試、維護、瀑布式與敏捷）

應用安全軟件開發生命周期 (SDLC)

? 云特定風險
? 威脅建模（例如，欺騙、篡改、抵賴、信息泄露、拒絕服務和特權提升 (STRIDE)；災難、可重現性、可利用性、受影響用戶與可發現性 (DREAD)；架構、威脅、攻擊面和緩解措施(ATASM)；攻擊模擬和威脅分析過程 (PASTA))
? 避免開發過程中的常見漏洞
? 安全編碼（例如，開放web應用安全項目 (OWASP) 應用安全檢驗標準 (ASVS)、卓越代碼軟件保障論壇 (SAFECode)）
? 軟件配置管理和版本控制

應用云軟件保障和驗證

? 功能和非功能測試
? 安全測試方法（例如，黑盒、白盒、靜態、動態、軟件組成分析 (SCA)、交互式應用程序安全測試 (IAST)）
? 質量保證 (QA)
? 濫用案例測試

使用經過驗證的安全軟件

? 保護應用編程接口 (API)
? 供應鏈管理（例如，供應商評估）
? 第三方軟件管理（例如，許可）
? 經過驗證的開源軟件

了解云應用架構的細節

? 補充安全組件（例如，web應用防火墻 (WAF)、數據庫活動監控 (DAM)、
可擴展標記語言 (XML) 防火墻、應用編程接口 (API) 網關）
? 密碼學
? 沙盒
? 應用程序虛擬化和編排（例如，微服務、容器）

設計適當的身份和訪問管理 (IAM) 解決方案

? 聯合身份
? 身份提供商 (IdP)
? 單點登錄 (SSO)
? 多因子驗證 (MFA)
? 云訪問安全代理 (CASB)
? 密鑰/憑據管理

云安全運營

為云環境構建和實現物理和邏輯基礎架構

? 硬件特定的安全配置要求（例如，硬件安全模塊 (HSM) 和可信賴平臺模塊 (TPM)）
? 管理工具的安裝和配置
? 虛擬硬件特定的安全配置要求（例如，網絡、存儲、內存、中央處理器 (CPU)、Hypervisor 類型 1 和 2）
? 安裝客戶操作系統 (OS) 虛擬化工具集

運行和維護云環境的物理和邏輯基礎架構

? 本地和遠程訪問的訪問控制（例如，遠程桌面協議 (RDP)、安全終端訪問、安全外殼 (SSH)、基于控制臺的訪問機制、跳板機、虛擬客戶端）
? 安全網絡配置（例如，虛擬局域網 (VLAN)、傳輸層安全 (TLS)、動態主機配置協議 (DHCP)、域名系統安全擴展 (DNSSEC)、虛擬專用網絡 (VPN)）
? 網絡安全控制（例如防火墻、入侵檢測系統 (IDS)、入侵防御系統 (IPS)、蜜罐、漏洞評估、網絡安全組、堡壘主機）
? 通過應用基線、監控和修復來強化操作系統 (OS)（例如 Windows、Linux、VMware）
? 補丁管理
? 基礎設施即代碼 (IaC) 策略
? 集群主機的可用性（如分布式資源調度、動態優化、存儲集群、維護模式、高可用性（HA）
? 客戶操作系統 (OS) 的可用性
? 性能和容量監控（例如，網絡、計算、存儲、響應時間）
? 硬件監控（例如，磁盤、中央處理器 (CPU)、風扇速度、溫度）
? 主機和客戶操作系統 (OS) 備份和恢復功能的配置
? 管理平面（例如，調度、編排、維護

實施運營控制和標準（例如，信息技術基礎架構庫 (ITIL)、國際標準組織/國際電子技術委員會

(ISO/IEC) 20000-1）
? 變更管理
? 連續性管理
? 信息安全管理
? 連續的服務改進管理
? 事故管理
? 問題管理

管理與相關方的溝通

? 供應商
? 客戶
? 合作伙伴
? 監管機構
? 其他利益相關者

支持數字取證

? 取證數據收集方法
? 證據管理
? 收集、獲取和保存數字證據

管理安全運營

? 安全運營中心 (SOC)
? 安全控制的智能監控（例如，防火墻、入侵檢測系統 (IDS)、入侵防御系統 (IPS)、蜜罐、網絡安全組、
人工智能 (AI)）
? 日志捕獲和分析（例如，安全信息和事件管理 (SIEM)、日志管理）
? 事故管理
? 漏洞評估

領域 6：法律、風險和合規

明確云環境中的法律要求和獨特風險

? 國際法律沖突
? 云計算特有的法律風險評估
? 法律框架和準則
? eDiscovery（例如，國際標準組織/國際電子技術委員會 (ISO/IEC) 27050、云安全聯盟 (CSA) 指引）
? 取證要求

了解云環境的審計流程、方法和必要的調整

? 內部和外部審計控制
? 審計要求的影響
? 確定虛擬化和云的保障挑戰
? 審計報告的類型（例如，關于認證業務標準的聲明 (SSAE)、服務組織控制 (SOC)、國際鑒證業務準則 (ISAE)）
? 審計范圍聲明的限制（例如，關于認證業務標準的聲明 (SSAE)、國際鑒證業務準則 (ISAE)）
? 差距分析（例如，控制分析、基線）
? 審計計劃
? 內部信息安全管理系統

? 內部信息安全控制系統
? 策略（例如，組織、功能、云計算）
? 相關利益相關者的識別和參與
? 受到嚴格監管行業的特殊合規要求（例如，北美電力可靠性公司/關鍵基礎設施保護 (NERC / CIP)、健康保險便捷與責任法案 (HIPAA)、經濟與臨床醫療保健信息科技 (HITECH) 法案、支付卡行業 (PCI))
? 分布式信息技術 (IT) 模型的影響（例如，不同的地理位置和跨越法律管轄區）

了解外包和云合同設計

? 業務要求（例如，服務等級協議 (SLA)、主服務協議 (MSA)、工作陳述 (SOW)）
? 供應商管理（例如，供應商評估、供應商鎖定風險、供應商生存能力、托管）
? 合同管理（例如，審計權、指標、定義、終止、訴訟、保證、合規、訪問云/數據、網絡風險保險）
? 供應鏈管理（例如，國際標準組織/國際電子技術委員會 (ISO/IEC) 27036）

更多信息參考2022/8/1 CCSP認證考試大綱

總結

以上是生活随笔為你收集整理的ISC CCSP 从2022年8月起 支持使用汉语考试了，在中国 北京设置考点的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。