CompTIA CASP+ 认证考试是高级网络安全证书,涵盖安全架构和高级安全工程工作所需的技术技能。
本指南将介绍 CASP+ 认证考试的四个知识领域,以及 CAS-004 考试中可能涉及的子主题。
CompTIA 高级安全从业者 (CASP+) 是面向安全架构师和高级安全工程师的高级网络安全认证,用于验证风险和合规技能,评估企业的网络安全准备情况。
CASP+ 认证经美国国防部批准,符合指令 8140/8570.01-M 要求,并符合 ISO 17024 标准。
作为经过认证的 CASP+ 专业人员,您必须运用您的技术技能和批判性思维来提出和应用适当的安全解决方案,包括组织的运营策略、评估风险影响和应对安全事件。
成功的 [CompTIA CASP+ 认证专业人员将具备以下技能:
必考考试:CAS-004 问题数量:最多 90 个 问题类型:多项选择题和基于绩效的 考试时长:165 分钟 建议经验:至少十年的一般实践 IT 经验,其中至少五年是广泛的实践 IT 安全经验。Network+、Security+、CySA+、Cloud+ 和 PenTest+ 或同等认证/知识。 及格分数:仅通过/不通过 — 无标准分数
以下是每个领域的细分以及考试比例。快速浏览一下 CompTIA CASP+ 考试目标,分为四个主要部分:
1.0 安全架构 - 29% 2.0 安全操作 - 30% 3.0 安全工程和密码学 - 26% 4.0 治理、风险和合规性 - 15%
1.1 给定一个场景,分析安全要求和目标,以确保新网络或现有网络具有适当、安全的网络架构。
• 服务 • 分段 • 去边界化/零信任 • 合并来自不同组织的网络 • 软件定义网络 (SDN)
1.2 给定一个场景,分析组织要求以确定适当的基础设施安全设计。
• 可扩展性 • 弹性 • 自动化 • 性能 • 容器化 • 虚拟化 • 内容交付网络 • 缓存
1.3 给定一个场景,将软件应用程序安全地集成到企业架构中。
• 基线和模板 • 软件保证 • 集成企业应用程序的注意事项 • 将安全性集成到开发生命周期中
1.4 给定一个场景,实施数据安全技术以保护企业架构。
• 数据丢失预防 • 数据丢失检测 • 数据分类、标记和标记 • 混淆 • 匿名化 • 加密与未加密 • 数据生命周期 • 数据清单和映射 • 数据完整性管理 • 数据存储、备份和恢复
1.5. 给定一个场景,分析安全要求和目标以提供适当的身份验证和授权控制。
• 凭证管理 • 密码策略 • 联合 • 访问控制 • 协议 • 多因素身份验证 (MFA) • 一次性密码 (OTP) • 硬件信任根 • 单点登录 (SSO) • JavaScript 对象表示法 (JSON) Web 令牌 (JWT) • 认证和身份验证
1.6. 给定一组要求,实施安全云和虚拟化解决方案。
• 虚拟化策略 • 配置和取消配置 • 中间件 • 元数据和标签 • 部署模型和注意事项 • 托管模型 • 服务模型 • 云提供商限制 • 扩展适当的本地控制 • 存储模型
1.7. 解释加密和公钥基础设施 (PKI) 如何支持安全目标和要求。
• 隐私和保密性要求
• 完整性要求
• 不可否认性
• 合规性和政策要求
• 常见加密用例 • 常见 PKI 用例
1.8. 解释新兴技术对企业安全和隐私的影响。
• 人工智能
• 机器学习
• 量子计算
• 区块链
• 同态加密
• 大数据
• 虚拟/增强现实 • 3D 打印
• 无密码身份验证
• 纳米技术
• 深度学习 • 安全多方计算
• 分布式共识
• 生物特征模拟
2.1. 给定一个场景,执行威胁管理活动。
• 情报类型
• 参与者类型
• 威胁参与者属性
• 框架
2.2. 给定一个场景,分析妥协指标并制定适当的响应。
• 入侵指标
• 响应
2.3. 给定一个场景,执行漏洞管理活动。
• 漏洞扫描
• 自我评估与第三方供应商评估
• 补丁管理
• 信息来源 • 安全内容自动化协议 (SCAP)
2.4. 给定一个场景,使用适当的漏洞评估和渗透测试方法和工具。
• 方法
• 工具
• 依赖管理
• 要求
2.5. 给定一个场景,分析漏洞并推荐风险缓解措施。
• 漏洞
• 固有易受攻击的系统/应用程序 • 攻击
2.6. 给定一个场景,使用流程降低风险。
• 主动和检测
• 安全数据分析
• 预防
• 应用程序控制
• 安全自动化
• 物理安全
2.7. 给定一个事件,实施适当的响应。
• 事件分类 • 分类事件 • 事前升级任务 • 事件响应流程 • 特定响应剧本/流程 • 沟通计划 • 利益相关者管理
2.8. 解释取证概念的重要性。
• 法律与内部公司目的 • 取证流程 • 完整性保护 • 密码分析 • 隐写分析
2.9. 给定一个场景,使用取证分析工具。
• 文件雕刻工具 • 二进制分析工具 • 分析工具 • 成像工具 • 哈希实用程序 • 实时收集与事后分析工具
3.1. 给定一个场景,将安全配置应用于企业移动性。
• 托管配置 • 部署场景 • 安全注意事项
3.2. 给定一个场景,配置并实施端点安全控制。
• 强化技术
• 流程
• 强制访问控制
• 可信计算
• 补偿控制
3.3. 解释影响特定部门和运营技术的安全考虑因素。
• 嵌入式
• ICS/监控和数据采集 (SCADA) • 协议
• 部门
3.4. 解释采用云技术如何影响组织安全。
• 自动化和编排
• 加密配置
• 日志
• 监控配置 • 密钥所有权和位置
• 密钥生命周期管理
• 备份和恢复方法
• 基础设施与无服务器计算
• 应用程序虚拟化
• 软件定义网络
• 配置错误
• 协作工具
• 存储配置
• 云访问安全代理 (CASB)
3.5. 给定业务需求,实施适当的 PKI 解决方案。
• PKI 层次结构 • 证书类型 • 证书用途/配置文件/模板 • 扩展 • 受信任的提供商 • 信任模型 • 交叉认证 • 配置配置文件 • 生命周期管理 • 公钥和私钥 • 数字签名 • 证书固定 • 证书装订 • 证书签名请求 (CSR) • 在线证书状态协议 (OCSP) 与证书吊销列表 (CRL) • HTTP 严格传输安全 (HSTS)
3.6. 给定业务需求,实施适当的加密协议和算法。
• 散列 • 对称算法 • 非对称算法 • 协议 • 椭圆曲线加密
• 前向保密 • 带有相关数据的经过身份验证的加密 • 密钥拉伸
3.7. 给定一个场景,解决加密实现问题。
• 实施和配置问题
• 密钥
4.1. 给定一组要求,应用适当的风险策略。
• 风险评估
• 风险处理技术
• 风险类型
• 风险管理生命周期
• 风险跟踪
• 风险偏好与风险容忍度
• 政策和安全实践
4.2. 解释管理和减轻供应商风险的重要性。
• 共享责任模型(角色/职责) • 供应商锁定和供应商锁定
• 供应商可行性
• 满足客户要求
• 支持可用性
• 地理考虑因素
• 供应链可见性
• 事件报告要求
• 源代码托管
• 持续的供应商评估工具
• 第三方依赖关系
• 技术考虑因素
4.3. 解释合规性框架和法律考虑因素及其对组织的影响。
• 整合不同行业的安全问题
• 数据考虑因素 • 第三方合规性认证
• 法规、认证和标准
• 法律考虑因素 • 合同和协议类型
• 地理考虑因素
4.4. 解释业务连续性和灾难恢复概念的重要性。
• 业务影响分析
• 隐私影响评估
• 灾难恢复计划 (DRP)/业务连续性计划 (BCP) • 事件响应计划
• 测试计划
版权所有 © 2024 - 保留所有权利。
