CompTIA 高级安全从业者 (CASP+) 认证考试目标 (CAS-004)

CompTIA CASP+ 认证考试是一项高级网络安全认证，涵盖安全架构和高级安全工程师职位所需的技术技能。

本指南将介绍 CASP+ 认证考试的四个知识领域，以及 CAS-004 考试中可能涉及的子主题。

什么是 CompTIA CASP+ 认证考试？

CompTIA 高级安全从业人员 (CASP+) 是一项面向安全架构师和高级安全工程师的高级网络安全认证，旨在验证风险和合规技能，并评估企业的网络安全准备情况。

CASP+ 认证已获得美国国防部 (DoD) 的批准，符合 8140/8570.01-M 指令的要求，并符合 ISO 17024 标准。

作为一名获得 CASP+ 认证的专业人士，您必须运用您的技术技能和批判性思维来提出和应用适当的安全解决方案（包括组织的运营策略），评估风险影响并应对安全事件。

一位成功的 CompTIA CASP+ 认证专业人士应具备以下技能：

• 架构、设计、集成和实施跨复杂环境的安全解决方案，以支持企业弹性运行。

• 利用监控、检测、事件响应和自动化技术，主动支持企业环境中的持续安全运营。

• 将安全实践应用于云端、本地、终端和移动基础设施，同时考虑加密技术和方法。

• 考虑治理、风险和合规性要求对整个企业的影响。

CompTIA CASP+ 考试详情

考试科目：CAS-004

题量：最多 90 道题

题型：选择题和情景题

考试时长：165 分钟

建议经验：至少十年 IT 实践经验，其中至少五年为广泛的 IT 安全实践经验。持有 Network+、Security+、CySA+、Cloud+ 和 PenTest+ 或同等认证/知识。

及格分数：仅通过/不通过——不采用换算分数

CompTIA CASP+ 考试目标（领域）

以下是各领域及其考试占比的细分。CompTIA CASP+ 考试目标分为四大部分：

1.0 安全架构 - 29%

2.0 安全运维 - 30%

3.0 安全工程与密码学 - 26%

4.0 治理、风险与合规 - 15%

领域 - 1.0 安全架构 29%

1.1 根据给定场景，分析安全需求和目标，以确保为新建或现有网络构建合适的安全网络架构。

• 服务

• 分段

• 去边界化/零信任

• 不同组织网络的合并

• 软件定义网络 (SDN)

1.2 根据给定场景，分析组织需求，以确定合适的安全基础设施设计。

• 可扩展性

• 弹性

• 自动化

• 性能

• 容器化

• 虚拟化

• 内容分发网络

• 缓存

1.3 给定一个场景，将软件应用程序安全地集成到企业架构中。

• 基线和模板

• 软件保障

• 集成企业应用程序的注意事项

• 将安全性集成到开发生命周期中

1.4 给定一个场景，实施数据安全技术以保护企业架构。

• 数据丢失防护

• 数据丢失检测

• 数据分类、标记和标注

• 混淆

• 匿名化

• 加密与未加密

• 数据生命周期

• 数据清单和映射

• 数据完整性管理

• 数据存储、备份和恢复

1.5 给定一个场景，分析安全需求和目标，以提供适当的身份验证和授权控制。

• 凭证管理

• 密码策略

• 联合身份验证

• 访问控制

• 协议

• 多因素身份验证 (MFA)

• 一次性密码 (OTP)

• 硬件信任根

• 单点登录 (SSO)

• JavaScript 对象表示法 (JSON) Web 令牌 (JWT)

• 认证和身份验证

1.6. 根据一组需求，实现安全的云和虚拟化解决方案。

• 虚拟化策略

• 配置和取消配置

• 中间件

• 元数据和标签

• 部署模型和注意事项

• 托管模型

• 服务模型

• 云提供商的限制

• 扩展适当的本地控制

• 存储模型

1.7. 解释密码学和公钥基础设施 (PKI) 如何支持安全目标和需求。

• 隐私和保密要求

• 完整性要求

• 不可否认性

• 合规性和策略要求

• 常见密码学用例

• 常见公钥基础设施 (PKI) 用例

1.8. 解释新兴技术对企业安全和隐私的影响。

• 人工智能

• 机器学习

• 量子计算

• 区块链

• 同态加密

• 大数据

• 虚拟/增强现实

• 3D 打印

• 无密码认证

• 纳米技术

• 深度学习

• 安全多方计算

• 分布式共识

• 生物特征冒名顶替

领域 - 2.0 安全运营

2.1. 根据给定场景，执行威胁管理活动。

• 情报类型

• 攻击者类型

• 威胁攻击者属性

• 框架

2.2. 根据给定场景，分析入侵指标并制定相应的应对措施。

• 入侵指标

• 响应

2.3. 根据具体场景，执行漏洞管理活动。

• 漏洞扫描

• 自我评估与第三方供应商评估

• 补丁管理

• 信息来源

• 安全内容自动化协议 (SCAP)

2.4. 根据具体场景，使用适当的漏洞评估和渗透测试方法及工具。

• 方法

• 工具

• 依赖关系管理

• 需求

2.5. 根据具体场景，分析漏洞并提出风险缓解建议。

• 漏洞

• 固有易受攻击的系统/应用程序

• 攻击

2.6. 根据具体场景，使用流程降低风险。

• 主动检测

• 安全数据分析

• 预防性措施

• 应用程序控制

• 安全自动化

• 物理安全

2.7. 针对已发生的事件，实施适当的响应措施。

• 事件分类

• 事件分级

• 升级前任务

• 事件响应流程

• 特定响应手册/流程

• 沟通计划

• 利益相关者管理

2.8. 解释取证概念的重要性。

• 法律目的与内部企业目的

• 取证流程

• 完整性保护

• 密码分析

• 隐写分析

2.9. 根据给定场景，使用取证分析工具。

• 文件恢复工具

• 二进制分析工具

• 分析工具

• 镜像工具

• 哈希工具

• 实时采集工具与事后分析工具

领域 - 3.0 安全工程与密码学

3.1. 根据给定场景，为企业移动应用安全配置。

• 托管配置

• 部署场景

• 安全注意事项

3.2. 根据给定场景，配置并实施端点安全控制。

• 安全加固技术

• 流程

• 强制访问控制

• 可信计算

• 补偿控制

3.3. 解释影响特定行业和运营技术的安全考虑因素。

• 嵌入式系统

• 工业控制系统/监控与数据采集系统 (SCADA)

• 协议

• 行业

3.4. 解释云技术的应用如何影响组织安全。

• 自动化和编排

• 加密配置

• 日志

• 监控配置

• 密钥所有权和位置

• 密钥生命周期管理

• 备份和恢复方法

• 基础架构与无服务器计算

• 应用虚拟化

• 软件定义网络

• 配置错误

• 协作工具

• 存储配置

• 云访问安全代理 (CASB)

3.5. 根据业务需求，实施合适的公钥基础设施 (PKI) 解决方案。

• PKI 层级结构

• 证书类型

• 证书用途/配置文件/模板

• 扩展

• 受信任提供商

• 信任模型

• 交叉认证

• 配置配置文件

• 生命周期管理

• 公钥和私钥

• 数字签名 • 证书绑定

• 证书装订

• 证书签名请求 (CSR)

• 在线证书状态协议 (OCSP) 与证书吊销列表 (CRL)

• HTTP 严格传输安全 (HSTS)

3.6. 根据业务需求，实现相应的加密协议和算法。

• 哈希算法

• 对称算法

• 非对称算法

• 协议

• 椭圆曲线密码学

• 前向保密

• 带关联数据的认证加密

• 密钥拉伸

3.7. 根据场景，排查加密实现中的问题。

• 实施和配置问题

• 关键信息

领域 - 4.0 治理、风险和合规

4.1. 给定一组需求，应用适当的风险策略。

• 风险评估

• 风险处理技术

• 风险类型

• 风险管理生命周期

• 风险跟踪

• 风险偏好与风险容忍度

• 策略和安全实践

4.2. 解释管理和降低供应商风险的重要性。

• 责任共担模型（角色/职责）

• 供应商锁定和供应商解封

• 供应商生存能力

• 满足客户需求

• 支持可用性

• 地域因素

• 供应链可见性

• 事件报告要求

• 源代码托管

• 持续的供应商评估工具

• 第三方依赖项

• 技术因素

4.3. 解释合规框架和法律因素及其对组织的影响。

• 整合不同行业带来的安全问题

• 数据方面的考虑

• 第三方合规性认证

• 法规、认证和标准

• 法律方面的考虑

• 合同和协议类型

• 地域方面的考虑

4.4. 解释业务连续性和灾难恢复概念的重要性。

• 业务影响分析

• 隐私影响评估

• 灾难恢复计划 (DRP) / 业务连续性计划 (BCP)

• 事件响应计划

• 测试计划