论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 2 篇帖子 ] 
作者 内容
 文章标题 : 认证云安全专家CCSP考试攻略
帖子发表于 : 2017-12-26 17:01 
离线
新手

注册: 2008-11-24 14:06
最近: 2018-01-08 15:29
拥有: 61.00 安全币

奖励: 0 安全币
在线: 268 点
帖子: 10
转发自 http://www.freebuf.com/articles/others- ... 56324.html

2017年12月4我在日本福冈的考试中心,通过了(ISC)² CCSP认证云安全专家考试。本文简述CCSP考证相关问题,给需要的朋友参考。内容原创,欢迎转载,请保留作者信息。

1、CCSP云安全专家认证是什么?

image.png

两家国际顶尖的安全组织,云安全联盟Cloud Security Alliance与 (ISC)²,在2015年合作开发了一项全新的国际云安全从业人员认证,即CCSP Certified Cloud Security Professional,(ISC)²注册云安全专家认证。

CCSP 建立在(ISC)²的CISSP信息安全专家认证和 CSA 的CCSK云安全教育计划之上,融合了更深层次的信息安全与云计算实践经验知识,反映最新和全面的云计算环境防护与优化最佳实践,可验证那些日常工作涉及云安全架构、设计、运营和服务编排的专业人士的实用技能知识。

https://cloudsecurityalliance.org/education/ccsp/

https://www.isc2.org/Certifications/CCSP
CCSP 认证旨在为高度参与云安全工作并担负保护企业架构安全职责的专业人士而设计,被认为是云安全方面的最专业认证。CCSP认证反映了持证者具备保障云安全所需的高级技能,同时建立了云环境设计、实施和管理专业知识的国际标准。

http://certmag.com/salary-survey-2016-e ... ification/
https://www.tripwire.com/state-of-secur ... ions-2017/
http://www.darkreading.com/careers-and- ... id/1328204
http://itknowledgeexchange.techtarget.c ... rget-2016/

根据 (ISC)²当前官网数据,中国大陆有8位CCSP持证人(截止到2017年10月16日)。

注意,Cisco也曾有CCSP认证但在2011年退出
https://www.cisco.com/c/en/us/training- ... .html#~old
思科CCSP考试也不再有效了
https://www.cisco.com/c/en/us/training- ... tired.html

2、CCSP 认证考什么,多少钱,在哪里考?

2.1 CCSP 六大知识域

CCSP 各知识域基于 (ISC)² CBK 涵盖的各种信息安全与云安全相关议题。CCSP CBK 内容定期更新,以反映时下全球最新的行业最佳实践,同时建立了一套云安全专业术语、概念与原理的通用框架,供全球云安全专业人士交流、探讨、辩论和应对行业面临的种种挑战。CCSP CBK 由以下六大知识域组成:

Architectural Concepts and Design Requirements 云计算架构概念与设计要求

Understand cloud computing concepts ——了解云计算概念

Describe cloud reference architecture —— 描述云参考架构

Understand security concepts relevant to cloud computing ——了解与云计算相关的安全概念

Understand design principles of secure cloud computing —— 了解安全云计算的设计原则

Identify trusted cloud services —— 识别可信的云服
Cloud Data Security 云数据安全

Understand cloud data lifecycle —— 了解云数据生命周期

Design and implement cloud data storage architectures —— 设计和实施云数据存储架构

Design and apply data security strategies —— 设计和应用数据安全策略

Understand and implement data discovery and classification technologies —— 理解和实施数据发现和分类技术

Design and implement relevant jurisdictional data protections for personally identifiable information (PII) —— 设计和实施个人可识别信息(PII)的相关管辖数据保护

Design and implement data rights management —— 设计和实施数据权利管理

Plan and implement data retention, deletion, and archiving policies —— 规划和实施数据保留,删除和存档策略

Design and implement auditability, traceability and accountability of data events —— 设计和实施数据事件的可审计性,可追溯性和责任性
Cloud Platform and Infrastructure Security 云计算平台与基础设施安全

Comprehend cloud infrastructure components —— 理解云基础架构组件

Analyze risks associated to cloud infrastructure —— 分析与云基础设施相关的风险

Design and plan security controls —— 设计和规划安全控制

Plan disaster recovery and business continuity management —— 规划灾难恢复和业务连续性管理务
Cloud Application Security 云应用安全

Recognize the need for training and awareness in application security —— 认识到在应用程序安全性方面需要培训和意识

Understand cloud software assurance and validation —— 了解云软件保证和验证

Use verified secure software —— 使用经验证的安全软件

Comprehend the software development life-cycle (SDLC) process —— 理解软件开发生命周期(SDLC)过程

Apply the secure software development life-cycle —— 应用安全的软件开发生命周期

Comprehend the specifics of cloud application architecture —— 理解云应用程序体系结构的细节

Design appropriate identity and access management (IAM) solutions —— 设计适当的身份和访问管理(IAM)解决方案
Operations 云计算运营安全

Support the planning process for the data center design —— 支持数据中心设计的规划流程

Implement and build physical infrastructure for cloud environment —— 为云环境实施和构建物理基础设施

Run physical infrastructure for cloud environment —— 为云环境运行物理基础架构

Manage physical infrastructure for cloud environment —— 管理云环境的物理基础架构

Build logical infrastructure for cloud environment —— 为云环境构建逻辑基础架构

Run logical infrastructure for cloud environment —— 运行云环境的逻辑基础架构

Manage logical infrastructure for cloud environment —— 管理云环境的逻辑基础架构

Ensure compliance with regulations and controls (e.g., ITIL, ISO/IEC 20000-1) —— 确保符合法规和控制(例如,ITIL,ISO / IEC 20000-1)

Conduct risk assessment to logical and physical infrastructure —— 对逻辑和物理基础设施进行风险评估

Understand the collection, acquisition and preservation of digital evidence —— 了解数字证据的收集,获取和保存

Manage communication with relevant parties —— 管理与相关方的沟通
Legal and Compliance 云计算相关法规与合规

Understand legal requirements and unique risks within the cloud environment —— 了解云环境中的法律要求和独特的风险

Understand privacy issues, including jurisdictional variation —— 了解隐私问题,包括管辖权变更

Understand audit process, methodologies, and required adaptions for a cloud environment —— 了解审计过程,方法和云环境所需的适应性

Understand implications of cloud to enterprise risk management —— 了解云对企业风险管理的影响

Understand outsourcing and cloud contract design —— 了解外包和云合同设计

Execute vendor management —— 执行供应商管理
image.png

各领域考试权重参见官网考试大纲 https://cert.isc2.org/ccsp-exam-outline-form/

2.2考试方式:

考试类型:125道单选题,(含拖图)

考试语言:英文(无中文可选)

考试时间:240分钟

考试中心:Pearson VUE Testing Center

及格分数:700(满分1000分)

2.3费用

考试费599美元* 不含地方税。

2.4考试地点

当前中国大陆无CCSP考点,周边香港和日本一些Pearson VUE Testing Center提供,具体可在Pearson VUE官网查询,约考和付款是在Pearson VUE网站完成的,并与 (ISC)²的ID号相关联。

我这次约的是位于福冈博多的TACT Fukuoka Training Center地图上容易找到。我选它主要是这个考点CCSP有考位的日期比香港多,距离上海也比较近。在日本考试,缴费时会另收8%的地方税金。

image.png

image.pngimage.pngimage.png


考试约的是上午9:45, 大约9点5分到达,在只说日语的接待人员和完全不懂日文的我连蒙带比划的交流下,顺利办理了验证件,录掌纹,照相,签字,存包等手续后,9:09进入了考场。我在的考场内共有8个考位,9点半以后先后进出过5位日本考生应该是考其他项目。

考试通过以后,可按 (ISC)²的规定的流程进行认证申请,与CISSP相仿,不再赘述。一点不同的是,如果有CISSP证书,在申请CCSP认证时可由 (ISC)²自动作背书。其实有CISSP基础对通过CCSP考试也会有不少帮助。认证通过后,需申报持续专业教育(CPE)学分(三年共90个CPE,每年至少30个), 并按时交纳证书年度维护费(AMF)100美金。

3、CCSP有哪些考试复习资料?

考试复习书籍有以下三本:

image.png

CCSP (ISC)2 Certified Cloud Security Professional Official Study Guide,这本书的官方online资料里,有另外的450道练习题。

image.png

The Official (ISC)2 Guide to the CCSP CBK, 2nd Edition

image.png

CCSP Certified Cloud Security Professional All-in-One Exam Guide,这本书中有考试软件下载链接,提供了303道练习题。

其他材料包括 NIST,ISO,CSA相关云安全方面的资料。(下面4中提到)。考试论坛可以参考http://www.techexams.net/forums/cloud-certifications/

4、CCSP备考建议

以下是中国大陆第一位CCSP,华为中央软件园首席安全架构师,被群友称为李叔,给出的备考建议:(群发言摘录,未仔细整理)。

1、 CBK要看,但不能只看CBK,CBK只是个outline,要找补充资料,所有的对比性内容,都要深刻理解,并且找补充资料深看

2、 NIST SP500系列是第一章的扩充材料,必看,细读

3、 CSA GUIDE、CCM 3.1、ccsp outline附录里的参考资料,尤其是catalog部分,必看,是三四五章补仓材料

4、 广度大于深度,但要知其所以然,例如IAM之类的至少要知道实现形式,常见协议和协议的基本样式

5、 实践内容大于理论
第二次发言:架构、基础知识和理论部分以NIST SP500系列和800-146为主的,注意这部分的云模型和外面常见的有些差异,要深入理解透并坚定地以此为准,哪怕那些概念你用不着或没遇到过 CSA SecaaS guide系列,CSA CCM要读透,技术点很多,对照CBK outline的appendix内容更完善些 outline参考读物在这 https://www.isc2.org/ccsp-cbk-references/default.aspx (现在404了)。 outline在这https://isc2.org/uploadedfiles/(isc)2_public_content/exam_outlines/ccsp-exam-outline.pdf exam outline要先读透。注意isc的考试,cbk对应性从来都不强的,因为出题人和写书人差异会比较大 cbk更倾向于一个通俗读物,对于考试不那么严谨的 所以一切以outline为准,考试内容是匹配outline较多的。但是cbk未必覆盖到 至于题目分布、对应知识点,内容形式可能我的信息有点过时,不说了,再说违反NDA了。

第三次发言: 个人觉得,对于大家可能常见的阻碍有三点。

一是第一部分的概念和参考模型,他参考SP500的会比较全,而美式概念很多和外面常见的模型有点差异,会容易受常识影响造成误读,这部分务必要尽可能放弃之前的常识性理解。

二是大概是operation部分,好像有较多关于虚拟化、数据中心运营相关的概念,涉及底层操作和设计,大多是cissp这部分是没接触过的,如果有自己做过私有云/虚拟化建设和数据中心运营管理那没问题。

第三部分是application部分,有些涉及开发的内容,大部分cissp可能没接触过,例如会问saml协议的模式和实现等,需要深入看一点,其他部分和一般的安全概念是一致的,基本没啥问题。
以下是中国大陆第二位CCSP 阿斯利康顾总在外文网站发布的备考建议:

I passed the CCSP on Jan 25th. I think the ISC2 CBK is enough for passing the exam. But it will be helpful for everyone to read related regulations, e.g. GDPR, NIST and CSA CCSK materials as supplements. For me, four hours is enough, I did spend two hours to answer questions and one hour to review them. Because of NDA, I cannot say anything about the topics about the exam contents, but I have to say, it is very important to get deeper understanding of basic concepts of cloud infrastructure and some practical busisness cases of cloud usagae. Good luck for everyone who will try CCSP in the future and feel free to contact me if you have any questions about CCSP. Cheers!

BTW, I did not try Cccure testing questions but the Quizlet IOS app is very good. You can download it from apple store and search ISC2 CCSP flash cards in it.
译文: 1月25日我通过了CCSP。 我认为ISC2 CBK足够通过考试。但应该阅读相关 GDPR,NIST和CSA CCSK的材料作为补充。 对我来说,四个小时时间足够,我花了两个小时回答问题,一个小时回顾。由于NDA,我不能说关于考试内容的话题,但是我必须说,深入了解云基础设施的基本概念和一些云计算的实际业务案例是非常重要的。 如果您对CCSP有任何疑问,祝大家在未来能够尝试CCSP,并随时与我联系。 干杯!

顺便说一下,我没有尝试Cccure测试问题,但Quizlet IOS应用程序是非常好的。 您可以从苹果商店下载并在其中搜索ISC2 CCSP Flash card 资料。

感谢两位大神在安全撸证群给予的指导和帮助。

其他未尽内容,请参见官网信息,祝参加CCSP认证考的朋友顺利。

*本文作者:携程 雷兵 ,转载请注明来自FreeBuf.COM


--------本帖迄今已累计获得3安全币用户奖励--------


回到顶部
  用户资料  
 
 文章标题 : Re: 认证云安全专家CCSP考试攻略
帖子发表于 : 2017-12-29 13:01 
离线
新手

注册: 2008-11-24 14:06
最近: 2018-01-08 15:29
拥有: 61.00 安全币

奖励: 0 安全币
在线: 268 点
帖子: 10
sybex 2018年1月会出一本 官方的CCSP 习题集, 对备考应该有极大帮助
https://www.wiley.com/en-us/CCSP+Offici ... 1119480396
附件:
ccsp wiley.jpg
ccsp wiley.jpg [ 38.26 KiB | 被浏览 230 次 ]


--------本帖迄今已累计获得16安全币用户奖励--------


回到顶部
  用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 2 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012