CompTIA CASP+ 认证考试是高级网络安全证书,涵盖安全架构和高级安全工程工作所需的技术技能。
本指南将涵盖 CASP+ 认证考试的四个知识领域,以及 CAS-004 考试中可能出现的子主题。
什么是 CompTIA CASP+ 认证考试?
CompTIA 高级安全从业者 (CASP+) 是面向安全架构师和高级安全工程师的高级网络安全认证,验证风险和合规技能,评估企业的网络安全准备情况。
CASP+认证获得美国国防部批准,符合指令8140/8570.01-M要求,符合ISO 17024标准。
作为经�过认证的 CASP+ 专业人员,您必须运用您的技术技能和批判性思维来提出和应用适当的安全解决方案,包括组织的运营策略、评估风险影响和响应安全事件。
成功的 [CompTIA CASP+ 认证专业人士将具备以下技能:
- 跨复杂环境设计、设计、集成和实施安全解决方案,以支持有弹性的企业。
- 使用监控、检测、事件响应和自动化来主动支持企业环境中正在进行的安全操作。
- 将安全实践应用于云、本地、端点和移动基础设施,同时考虑加密技术和技术。
- 考虑整个企业的治理、风险和合规要求的影响。
CompTIA CASP+ 考试详情
要求的考试:CAS-004 题数:最多90题 问题类型:选择题和基于表现的问题 考试时长:165 分钟 推荐经验:至少十年的一般 IT 实践经验,其中至少五年是广泛的 IT 安全实践经验。 Network+、Security+、CySA+、Cloud+ 和 PenTest+ 或同等认证/知识。 及格分数:只有通过/不及格——没有比例分数
CompTIA CASP+ 考试目标(领域)
这是每个领域的细目分类和考试百分比。快速浏览一下 CompTIA CASP+ 考试目标,分为四个主要部分:
1.0 安全架构 - 29% 2.0 安全运营 - 30% 3.0 安全工程和密码学 - 26% 4.0 治理、风险和合规性 - 15%
域 - 1.0 安全架构 29%
1.1 给定一个场景,分析安全需求和目标,以确保为新网络或现有网络提供适当、安全的网络架构。
• 服务 • 分割 • 去边界化/零信任 • 合并来自不同组织的网络 • 软件定义网络 (SDN)
1.2 给定场景,分析组织需求以确定适当的基础设施安全设计。
• 可扩展性 • 弹性 • 自动化 • 表现 • 集装箱化 • 虚拟化 • 内容分发网络 • 缓存
1.3 给定场景,将软件应用程序安全地集成到企业架构中。
• 基线��和模板 • 软件保证 • 集成企业应用程序的注意事项 • 将安全融入开发生命周期
1.4 给定一个场景,实施数据安全技术来保护企业架构。
• 数据丢失防护 • 数据丢失检测 • 数据分类、标记和标记 • 混淆 • 匿名化 • 加密与未加密 • 数据生命周期 • 数据清单和映射 • 数据完整性管理 • 数据存储、备份和恢复
1.5.给定一个场景,分析安全需求和目标以提供适当的身份验证和授权控制。
• 凭证管理 • 密码政策 • 联邦 • 访问控制 • 协议 • 多因素身份验证 (MFA) • 一次性密码 (OTP) • 硬件信任根 • 单点登录 (SSO) • JavaScript 对象表示法 (JSON) 网络令牌 (JWT) • 证明和身份证明
1.6.给定一组要求,实施安全的云和虚拟化解决方案。
• 虚拟化策略 • 供应和取消供应 • 中间件 • 元数据和标签 • 部署模型和注意事项 • 托管模型 • 服务模式 • 云提供商限制 • 扩展适当的本地控制 • 存储模型
1.7.解释密码学和公钥基础设施 (PKI) 如何支持安全目标和要求。
• 隐私和保密要求 • 完整性要求 • 不可否认性 • 合规性和政策要求 • 常见的密码学用例 • 常见的 PKI 用例
1.8.解释新兴技术对企业安全和隐私的影响。
• 人工智能 • 机器学习 • 量子计算 • 区块链 • 同态加密 • 大数据 • 虚拟/增强现实 • 3D 打印 • 无密码身份验证 • 纳米技术 • 深度学习 • 安全的多方计算 • 分布式共识 • 生物特征模拟
域 - 2.0 安全操作
2.1.给定场景,执行威胁管理活动。
• 智力类型 • 演员类型 • 威胁行为者属性 • 构架
2.2.给定一个场景,分析妥协指标并制定适当的响应。
• 妥协指标 • 回复
2.3.给定一个场景,执行漏洞管理活动。
• 漏洞扫描 • 自我评估与第三方供应商评估 • 补丁管理 • 信息来源 • 安全内容自动化协议 (SCAP)
2.4.给定一个场景,使用适当的漏洞评估和渗透测试方法和工具。
• 方法 • 工具 • 依赖管理 • 要求
2.5.给定一个场景,分析漏洞并推荐风险缓解措施。
• 漏洞 • 本质上易受攻击的系统/应用程序 • 攻击
2.6.给定一个场景,使用流程来降低风险。
• 主动和检测 • 安全数据分析 • 预防 • 应用控制 • 安全自动化 • 人身安全
2.7.给定事件,实施适当的响应。
• 事件分类 • 分类事件 • 预升级任务 • 事件响应流程 • 具体的应对手册/流程 • 沟通计划 • 利益相关者管理
2.8.解释取证概念的重要性。
• 法律与内部公司目的 • 取证程序 • 完整性保护 • 密码分析 • 隐写分析
2.9.给定一个场景,使用取证分析工具。
• 文件雕刻工具 • 二进制分析工具 • 分析工具 • 成像工具 • 哈希实用程序 • 实时收集与事后分析工具
域 - 3.0 安全工程和密码学
3.1.给定场景,将安全配置应用于企业移动性。
• 托管配置 • 部署场景 • 安全考虑
3.2.给定场景,配置和实施端点安全控制。
• 硬化技术 • 流程 • 强制访问控制 • 可信计算 • 补偿控制
3.3.解释影响特定部门和操作技术的安全注意事项。
• 嵌入式 • ICS/监督控制和数据采集(SCADA) • 协议 • 部门
3.4.解释云技术采用如何影响组织安全。
• 自动化和编排 • 加密配置 • 日志 • 监控配置 • 钥匙所有权和位置 • 密钥生命周期管理 • 备份和恢复方法 • 基础设施与无服务器计算 • 应用程序虚拟化 • 软件定义网络 • 配置错误 • 协作工具 • 存储配置 • 云访问安全代理 (CASB)
3.5.根据业务需求,实施适当的 PKI 解决方案。
• PKI 层次结构 • 证书类型 • 证书使用/配置文件/模板 • 分机 • 值得信赖的供应商 • 信任模型 • 交叉认证 • 配置配置文件 • 生命周期管理 • 公钥和私钥 • 数字签名 • 证书固定 • 证书装订 • 证书签名请求 (CSR) • 在线证书状态协议 (OCSP) 与证书撤销列表 (CRL) • HTTP 严格传输安全 (HSTS)
3.6.给定业务需求,实施适当的加密协议和算法。
• 哈希 • 对称算法 • 非对称算法 • 协议 • 椭圆曲线密码学 • 前向保密 • 关联数据的认证加密 • 按键拉伸
3.7.给定一个场景,解决加密实现的问题。
• 实施和配置问题 • 钥匙
域 - 4.0 治理、风险和合规性
4.1.给定一组要求,应用适当的风险策略。
• 风险评估 • 风险处理技巧 • 风险类型 • 风险管理生命周期 • 风险追踪 • 风险偏好与风险承受能力 • 政策和安全措施
4.2.解释管理和减轻供应商风险的重要性。
• 责任共担模型(角色/职责) • 供应商锁定和供应商锁定 • 供应商生存能力 • 满足客户要求 • 支持可用性 • 地理因素 • 供应链可见性 • 事件报告要求 • 源代码托管 • 持续的供应商评估工具 • 第三方依赖 • 技术考虑
4.3.解释合规框架和法律注意事项,及其对组织的影响。
• 整合不同行业的安全问题 • 数据注意事项 • 第三方合规证明 • 法规、认证和标准 • 法律考虑 • 合同和协议类型 • 地理因素
4.4.解释业务连续性和灾难恢复概念的重要性。
• 业务影响分析 • 隐私影响评估 • 灾难恢复计划(DRP)/业务连续性计划(BCP) • 事件响应计划 • 测试计划
