前 言
CCSP (Certified Cloud Security Professional,云安全认证专家)认证满足了不断增长的云安全专业人员的需求。获得这个资格证书并不容易,考试极其困难,认证时间长、环节多。
《云安全CCSP认证官方指南(第2版)》为云安全专业人员参加并通过CCSP考试奠定了坚实的基础。对于计划参加考试并获得证书的读者来说,有一点需要再三强调:不能期望仅学习这一本书就通过考试。请参阅前言末尾的“推荐读物”。
(ISC)2
CCSP 考试由(ISC)2 (International Information Systems Security Certification Consortium,国际信息系统安全认证联盟)管理。(ISC)2是一个全球性非营利组织,有以下4个主要任务目标:
● 维护信息系统安全领域的公共知识体系(Common Body of Knowledge,CBK);
● 为信息系统安全专业人员和从业人员提供认证体系;
● 开展认证培训并管理认证考试;
● 通过持续教育,监督对合格认证应试者的持续认证。
(ISC)2从其已认证的安全从业者队伍中遴选董事会经营其日常业务,(ISC)2支持并提供多项认证,包括CISSP、SSCP、CAP、CSSLP、HCISPP以及《云安全CCSP认证官方指南(第2版)》描述的CCSP认证。这些认证旨在验证所有行业的IT安全专业人员的知识和技能。通过访问www.isc2.org,可以获取有关该组织及其他认证的更多信息。
知识域
CCSP认证涵盖CCSP CBK 6个知识域的内容,具体如下。
知识域1:云概念、架构和设计
知识域2:云数据安全
知识域3:云平台与基础架构安全
知识域4:云应用安全
知识域5:云安全运营
知识域6:法律、风险与合规
这些知识域涵盖了与云相关的所有安全范围。认证中的所有内容都与厂商和产品无关。每个知识域都提供CCSP认证专业人士应该知道的主题及子主题列表。
关于知识域、经验要求、考试程序和考试域权重的详细清单,可以在CCSP认证考试大纲中找到: https://www.isc2.org/-/media/ISC2/Certifications/Exam-Outlines/CCSP- Exam-Outline.ashx。
考试资格和要求
(ISC)2规定了申请CCSP认证必须达到的资格和要求,具体如下:
● 至少累积5年全职带薪的信息技术工作经验,其中3年必须在信息安全领域工作,1年必须在CCSP考试6个知识域中之一的领域工作。
● 获得云安全联盟(CSA)的CCSK证书,可替代CCSP考试6个知识域之一的领域的一年工作经验。
● 获得CISSP证书,可替代全部CCSP认证对工作经验的要求。
不符合这些要求的考生仍可参加CCSP考试并申请(ISC)2的准会员资格,准会员有6年的时间(从通过考试起)来满足剩余的经验要求。
(ISC)2认证会员必须遵守(ISC)2正式道德规范,该规范可以在www.isc2.org/ethics站点找到。
CCSP考试概述
CCSP考试通常包括125道选择题,涵盖CCSP CBK的6个领域,考生必须达到满分的70%的分数或更高的分数才能通过。
CCSP考试时间是3小时。其中有25道题仅用于研究目的,不计分数。尽全力回答每一道问题。因为我们不知道哪些问题计分,哪些不计。不答记零分,答错不扣分;即使是猜测,也要答完所有考题。
CCSP考题类型
CCSP考试中的大多数问题是单项选择题,每题有4个选项,其中一个是正确答案。有些问题很直接,例如,要求CCSP应试者确认一个技术定义。而其他一些问题,则要求CCSP应试者识别一个适当的概念或最佳实践。这里有一个例子:
1. 为了提供更高级别的保护和隔离,将敏感的操作信息放在远离生产环境的数据库中称为____________。
A. 随机化 B. 弹性
C. 混淆 D. 令牌化
CCSP应试者需要选择正确或最佳答案。有时答案很明显,比较困难的时候是在两个好答案之间进行区分并选出最好的。留意对一般、特定、通用、超集和子集答案的选择。还有些情况是,没有一个答案看上去是正确的。这时,CCSP应试者需要选择错误程度最小的答案。还有一些问题是基于理论场景的,必须根据具体情况回答几个问题。
注意:以上问题的正确答案是选项D,令牌化。在令牌化管理中,敏感信息放在远离生产环境的数据库中,而令牌(表示存储的敏感信息)则存储在生产环境的数据库中。为了选择正确的答案,读者必须了解令牌化的工作原理,以及如何使用该方法将敏感数据与生产环境隔离开来;这个问题中没有提到令牌或令牌化,因此需要复杂的思考。更简单的一个答案是“数据隔离”,但没有这个选择项。这道题不容易答对。
除了标准的单项选择题格式外,CCSP考试还包括一种图形拖放方式的题目格式。 例如,CCSP应试者可能在屏幕一侧看到需要拖放到屏幕另一侧相应对象上的项目列表。另一种交互式问题可能包括将术语与定义相匹配,并单击图表或图形的特定区域。 这些交互问题的权重值比单选题高,在回答时应特别注意。
学习和备考技巧
《云安全CCSP认证官方指南(第2版)》建议应试者为CCSP考试,至少安排30天的强化学习。这里整理了一份备考技巧清单,希望对考生有所帮助。
● 花一两个晚上的时间仔细阅读每一章,完成最后的复习材料。
● 考虑加入一个学习小组,与其他考生分享见解和观点。
● 回答所有复习题并参加模拟考试(Sybex网站为《云安全CCSP认证官方指南(第2版)》提供的)。
● 完成每章的书面实验题。
● 在学习下一部分之前,请务必复习前一天的内容,以确保信息的掌握。
● 学习时注意适度休息,但要一直持续学习。
● 制订学习计划。
● 复习(ISC)2考试大纲。
参加考试的建议
以下是一些考试技巧和通用指南。
● 先做简单题。考生可以标记所有不确定的题目,并在完成全部题目后重新检查一遍。
● 首先排除错误答案。
● 注意题目表达中的双重否定。
● 仔细读题,确保充分理解题意。
● 慢慢来,别着急。匆忙会导致考试焦虑和注意力不集中。
● 如果需要,可以上个厕所,休息一下,但是时间要短。考生需要保持注意力。
● 遵守考试中心的所有规程。即使考生以前参加过Pearson Vue中心的考试,有些考试的要求也略有不同。
管理好时间。考生有3小时回答125道考题,平均每道题不到90秒,对于大多数题目,答题时间是充足的。
确保考试前一晚有充足的睡眠。考生应带上可能需要的食物和饮料,在考试的时候要把它们存放起来。此外,记得带上需要服用的药物,并提醒工作人员任何可能会影响考生考试进行的健康情况,如糖尿病或心脏病。自己的健康比任何考试或认证都重要。
不能戴手表进入考场。计算机屏幕和考场内都有计时器。考生必须清空口袋进入考场,只能带储物柜钥匙和身份证件。
前往考试中心时,考生必须携带至少一张带照片并有签名的身份证件(如驾照或护照),并且还必须携带至少一份带签名的身份证件。至少提前30分钟到达考场,以确保考试所需物品俱全。请携带考试中心寄来的包含考生身份证明信息的报名表。
完成认证过程
一旦CCSP应试者成功通过了CCSP考试,在获得新的证书之前还有几件事要做。首先,(ISC)2考试成绩会自动传送。在离开考试中心时,CCSP应试者会收到打印的考试结果说明。其中包括如何下载认证表的说明,认证表中会询问CCSP应试者是否已经拥有其他(ISC)2认证(如CISSP)等类似问题。填写申请表后,CCSP应试者需要签名并将表格提交给(ISC)2审批。通常CCSP应试者会在3个月内收到官方认证通知。获得完全认证后,CCSP应试者可按(ISC)2使用指南的规定,在签名和其他重要的地方使用CCSP名称。
内容组织结构
《云安全CCSP认证官方指南(第2版)》以足够的深度涵盖了CCSP CBK的所有6个领域,为应试者理解这些考试内容提供了基本介绍。《云安全CCSP认证官方指南(第2版)》正文由11章组成,内容安排如下。
第1章:架构概念
第2章:设计要求
第3章:数据分级
第4章:云数据安全
第5章:云端安全
第6章:云计算的责任
第7章:云应用安全
第8章:运营要素
第9章:运营管理
第10章:法律与合规(第一部分)
第11章:法律与合规(第二部分)
显然《云安全CCSP认证官方指南(第2版)》没有按照知识域或官方考试大纲的顺序来安排章节。而是以叙事风格介绍内容,以线性方式表达概念。
每一章都包括辅助应试者学习的部分,和测试应试者对本章知识掌握程度的练习。这里建议应试者先阅读第1章,以便在阅读其他章节之前更好地了解主题。
注意:想要了解每章所涉及的更详细的知识域主题,请参阅目录和章节介绍。
特色小节
本学习指南通过一些特色小节,帮助应试者准备CCSP考试以及考试以外的实际工作。
真实世界场景:《云安全CCSP认证官方指南(第2版)》提供了一些真实世界场景,通过了解某些解决方案在现实世界的什么地方和什么情况下有效(或无效)以及原因,来帮助CCSP应试者进一步透彻理解相关信息。
小结:小结是对本章重要观点的快速概述。
考试要点:突出了一些可能在考试中以某种形式出现的主题。虽然作者并不确切知道具体考试将包括哪些内容,这部分强调了重要的概念,这对理解CBK和CCSP考试的测试规范是至关重要的。
书面实验题:每章提供书面实验题,将本章提出的各种主题和概念结合在一起。虽然这些内容是为大学(学院)的课堂使用而设计,但也可以帮助应试者理解和阐明课堂以外的内容。书面实验题的答案在附录A。
复习题:每章提供练习题,用来测试应试者对本章讨论基本思想的掌握程度。应试者学完每一章后,回答问题;如果不能正确回答某些题目,则表明需要花更多时间研究相应的主题。复习题的答案在附录B。
学习建议(注:译者补充)
本学习指南通过很多特色设置帮助CCSP应试者完成学习。在每章开头列出了该章涵盖的CCSP知识域主题,让CCSP应试者快速了解全章内容。每章末尾有小结,然后是考试要点,旨在为CCSP应试者提供需要特别关注的快速提示项。最后,有几道书面实验题,这些实验将向CCSP应试者展示有关云问题和技术的实例,将帮助CCSP应试者进一步深刻理解相关材料。这里给出一些建议,帮助CCSP应试者取得更圆满的学习效果:
● 在开始阅读《云安全CCSP认证官方指南(第2版)》前完成评估测试。这会让CCSP应试者了解需要花更多时间学习哪些知识域,以及哪些知识域只需要简单复习。
● 在阅读每章内容后回答复习题。如果回答不正确,请返回正文并查看相关主题。不看正文内容做练习题,检验自己的成绩如何。然后回顾复习错题中涉及的主题、概念、定义等,直到完全理解并熟练运用这些内容为止。
● 最后,如有可能,找一个学习伙伴或加入一个学习小组。与其他人一起学习和参加考试可能是一个很好的激励因素,大家也可以相互促进和提高。
请扫描封底二维码获取《云安全CCSP认证官方指南(第2版)》配套的在线学习工具。
推荐读物
为了更好地准备考试,除了学习《云安全CCSP认证官方指南(第2版)》之外,考生一定要复习其他资料。作者建议你至少参考以下资料。
Cloud Security Alliance, Security Guidance v4.0:
https://cloudsecurityalliance.org/research/guidance
OWASP, Top Ten:
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
注意:《云安全CCSP认证官方指南(第2版)》英文版出版时,2017年版本的OWASP十大威胁是最新版本,但版本差异不大,理解任何版本的概念将有助于研究目的。
NIST SP 800-53:
https://nvd.nist.gov/800-53
注意:《云安全CCSP认证官方指南(第2版)》英文版出版时,“NIST SP 800-53,R4”是最新版本,但是一个新的版本,预计很快就会推出。
NIST SP 800-37:
https://csrc.nist.gov/publications/detail/sp/800-37/rev-2/final
The Uptime Institute, Tier Standard: Topology:
https://uptimeinstitute.com/resources/asset/tier-standard-topology
Cloud Security Alliance, Cloud Controls Matrix:
https://cloudsecurityalliance.org/artifacts/cloud-controls-matrix-v1-0/
Cloud Security Alliance Consensus Assessments Initiative Questionnaire:
https://cloudsecurityalliance.org/artifacts/
consensus-assessments-initiative-questionnaire-v3-0-1/
Cloud Security Alliance STAR Level and Scheme Requirements:
https://cloudsecurityalliance.org/artifacts/star-level-and-schemerequirements
CCSP Official (ISC)2 Practice Tests :
https://www.wiley.com/en-us/CCSP+Official+%28ISC%292+Practice+Testsp-
9781119449225