آموزش گواهینامه ISC2 سیستم های اطلاعات حرفه ای امنیت (CISSP) (2024) Cert Prep

سرفصل ها و درس ها

معرفی Introduction

• منابع مطالعه Study resources

• کسب درآمد CISSP Earning your CISSP

• آنچه شما باید بدانید What you should know

1. آزمون CISSP 1. The CISSP Exam

• مشاغل در امنیت اطلاعات Careers in information security

• امتحان CISSP The CISSP exam

• آیا CISSP برای شما مناسب است؟ Is the CISSP right for you?

• ارزش گواهینامه Value of certification

2. داخل امتحان CISSP 2. Inside the CISSP Exam

• تست تطبیقی ​​کامپیوتری Computerized adaptive testing

• ثبت نام در آزمون Registering for the exam

• محیط امتحان Exam environment

• قبولی در امتحان Passing the exam

• انواع سوال Question types

3. آماده شدن برای امتحان 3. Preparing for the Exam

• نکات امتحانی Exam tips

• تست های تمرینی Practice tests

4. نیاز به تجربه 4. Experience Requirement

• برآورده کردن نیاز تجربه Meeting the experience requirement

• الزامات آموزش مداوم Continuing education requirements

5. دامنه 1: امنیت و مدیریت ریسک 5. Domain 1: Security and Risk Management

• مروری بر حوزه امنیت و مدیریت ریسک Overview of the Security and Risk Management domain

6. مبانی امنیت 6. Security Fundamentals

• اصالت و عدم انکار Authenticity and nonrepudiation

• محرمانه بودن Confidentiality

• دسترسی Availability

• پنج رکن امنیت اطلاعات The five pillars of information security

• تمامیت Integrity

7. حاکمیت امنیتی 7. Security Governance

• چارچوب های کنترل و ریسک Control and risk frameworks

• فرآیندهای سازمانی Organizational processes

• همسو کردن امنیت با کسب و کار Aligning security with the business

• نقش ها و مسئولیت های امنیتی Security roles and responsibilities

8. انطباق و اخلاق 8. Compliance and Ethics

• کنترل واردات و صادرات Import and export controls

• مقررات عمومی حفاظت از داده ها (GDPR) General Data Protection Regulation (GDPR)

• جرایم رایانه ای Computer crimes

• مجوز نرم افزار Software licensing

• نقض داده ها Data breaches

• قانون حفظ حریم خصوصی کالیفرنیا California privacy law

• خطرات قانونی و انطباق Legal and compliance risks

• اخلاق Ethics

• قوانین ملی حفظ حریم خصوصی داده ها National data privacy laws

• حریم خصوصی داده ها Data privacy

• مالکیت معنوی Intellectual property

9. سیاست امنیتی 9. Security Policy

• سیاست های امنیتی Security policies

• چارچوب سیاست امنیتی Security policy framework

10. تداوم کسب و کار 10. Business Continuity

• در دسترس بودن بالا و تحمل خطا High availability and fault tolerance

• برنامهریزی تداوم کسبوکار Business continuity planning

• کنترل های تداوم کسب و کار Business continuity controls

11. امنیت پرسنل 11. Personnel Security

• حریم خصوصی کارکنان Employee privacy

• امنیت در فرآیند استخدام Security in the hiring process

• فرآیند خاتمه کارمند Employee termination process

• شبکه اجتماعی Social networking

• امنیت پرسنل Personnel security

12. مدیریت ریسک 12. Risk Management

• انتخاب و پیاده سازی کنترل امنیتی Security control selection and implementation

• نظارت، اندازه گیری و تنظیم مداوم Continuous monitoring, measurement, and tuning

• تجزیه و تحلیل ریسک، ارزیابی، و دامنه Risk analysis, assessment, and scope

• چارچوب های مدیریت ریسک Risk management frameworks

• ارزیابی کمی ریسک Quantitative risk assessment

• مشاهده و گزارش ریسک Risk visibility and reporting

• درمان خطر Risk treatment

13. مدل سازی تهدید 13. Threat Modeling

• مدیریت شاخص های تهدید Managing threat indicators

• خودکارسازی اطلاعات تهدید Automating threat intelligence

• اشتراک گذاری اطلاعات Intelligence sharing

• شکار تهدید Threat hunting

• هوش تهدید Threat intelligence

• تحقیق در مورد تهدید Threat research

• شناسایی تهدیدات Identifying threats

14. مدیریت ریسک زنجیره تامین 14. Supply Chain Risk Management

• قراردادهای فروشنده Vendor agreements

• ممیزی های ابری Cloud audits

• مدیریت روابط فروشنده Managing vendor relationships

• مدیریت اطلاعات فروشنده Vendor information management

15. آگاهی و آموزش 15. Awareness and Training

• عادات کاربر User habits

• اندازه گیری انطباق و وضعیت امنیتی Measuring compliance and security posture

• آموزش آگاهی از امنیت Security awareness training

• آموزش انطباق Compliance training

16. دامنه 2: امنیت دارایی 16. Domain 2: Asset Security

• نمای کلی دامنه امنیت دارایی Overview of the Asset Security domain

17. امنیت داده ها 17. Data Security

• چرخه عمر داده ها The data lifecycle

• نقش های امنیت داده ها Data security roles

• محدود کردن جمع آوری داده ها Limiting data collection

• سیاست های امنیت داده ها Data security policies

• درک امنیت داده ها Understanding data security

18. کنترل های امنیت داده ها 18. Data Security Controls

• طبقه بندی اطلاعات Information classification

• امنیت فضای ذخیره سازی ابری Cloud storage security

• توسعه خطوط پایه امنیتی Developing security baselines

• سفارشی کردن استانداردهای امنیتی Customizing security standards

• مدیریت حقوق دیجیتال Digital rights management

• استفاده از استانداردهای صنعت Leveraging industry standards

• پیشگیری از از دست دادن اطلاعات Data loss prevention

19. مدیریت تغییر و پیکربندی 19. Change and Configuration Management

• خطرات و کاهش زنجیره تامین Supply chain risks and mitigations

• پیکربندی و مدیریت دارایی Configuration and asset management

• مدیریت دارایی های فیزیکی Physical asset management

• مدیریت تغییر Change management

20. دامنه 3: مهندسی امنیت 20. Domain 3: Security Engineering

• مروری بر حوزه معماری و مهندسی امنیت Overview of the Security Architecture and Engineering domain

21. طراحی ایمن 21. Secure Design

• چرخه حیات سیستم اطلاعات Information system lifecycle

• مدل های ارزیابی امنیت Security evaluation models

• تفکیک وظایف Segregation of duties

• اصول طراحی ایمن Secure design principles

• مدل های امنیتی Security models

• پیش فرض های امن Secure defaults

• حریم خصوصی با طراحی Privacy by design

22. مجازی سازی و رایانش ابری 22. Virtualization and Cloud Computing

• مدل های استقرار ابری Cloud deployment models

• کانتینری سازی Containerization

• مجازی سازی دسکتاپ و اپلیکیشن Desktop and application virtualization

• دسته بندی خدمات ابری Cloud service categories

• درایورهای محاسبات ابری Drivers for cloud computing

• منابع محاسبات ابری Cloud compute resources

• ارائه دهندگان خدمات امنیتی Security service providers

• محاسبات لبه و مه Edge and fog computing

• فعالیت های ابری و معماری مرجع ابری Cloud activities and the cloud reference architecture

• محاسبات چند مستاجر Multitenant computing

• ابر چیست؟ What is the cloud?

• مجازی سازی Virtualization

• نقش های رایانش ابری Cloud computing roles

23. امنیت سخت افزار 23. Hardware Security

• امنیت سخت افزار و سیستم عامل Hardware and firmware security

• رمزگذاری سخت افزاری Hardware encryption

• حفاظت از حافظه Memory protection

24. مسائل امنیتی سرور 24. Server Security Issues

• پایگاه های داده NoSQL NoSQL databases

• محاسبات توزیع شده و با کارایی بالا Distributed and high-performance computing

• امنیت سرور و پایگاه داده Server and database security

25. امنیت سیستم های جاسازی شده 25. Embedded Systems Security

• شبکه ایمن برای دستگاه های هوشمند Secure networking for smart devices

• ایمن سازی دستگاه های هوشمند Securing smart devices

• سیستم های کنترل صنعتی و فناوری عملیاتی Industrial control systems and operational technology

• سیستم های جاسازی شده Embedded systems

• اینترنت اشیا Internet of things

• ارتباطات برای دستگاه های تعبیه شده Communications for embedded devices

26. رمزگذاری 26. Encryption

• ریاضی رمزنگاری Cryptographic math

• الگوریتم رمزگذاری کامل The perfect encryption algorithm

• اهداف رمزنگاری Goals of cryptography

• رمزنگاری متقارن و نامتقارن Symmetric and asymmetric cryptography

• انتخاب الگوریتم های رمزگذاری Choosing encryption algorithms

• چرخه حیات رمزنگاری The cryptographic lifecycle

• کدها و رمزها Codes and ciphers

• درک رمزگذاری Understanding encryption

27. رمز نگاری متقارن 27. Symmetric Cryptography

• AES، Blowfish و Twofish AES, Blowfish, and Twofish

• حالت های رمزی Cipher modes

• استاندارد رمزگذاری داده ها Data encryption standard

• 3DES 3DES

• RC4 RC4

• استگانوگرافی Steganography

28. رمزنگاری نامتقارن 28. Asymmetric Cryptography

• منحنی بیضوی و رمزنگاری کوانتومی Elliptic curve and quantum cryptography

• Rivest-Shamir-Adelman (RSA) Rivest-Shamir-Adelman (RSA)

• PGP و GnuPG PGP and GnuPG

29. مدیریت کلید 29. Key Management

• تعویض کلید Key exchange

• کشش کلید Key stretching

• ماژول های امنیتی سخت افزار Hardware security modules

• دیفی-هلمن Diffie-Hellman

• سپردن کلید Key escrow

• شیوه های مدیریت کلیدی Key management practices

30. زیرساخت کلید عمومی 30. Public Key Infrastructure

• موضوعات گواهینامه Certificate subjects

• منگنه گواهی Certificate stapling

• گواهینامه های PKI و دیجیتال PKI and digital certificates

• انواع گواهینامه Certificate types

• ابطال گواهی دیجیتال Revoke a digital certificate

• یک گواهی دیجیتال ایجاد کنید Create a digital certificate

• استاندارد امضای دیجیتال Digital signature standard

• توابع هش Hash functions

• مقامات صدور گواهی Certificate authorities

• امضای دیجیتال Digital signatures

• فرمت های گواهی Certificate formats

• مدل های اعتماد Trust models

31. حملات Cryptanalytic 31. Cryptanalytic Attacks

• حملات استراق سمع Eavesdropping attacks

• حملات Brute-Force Brute-force attacks

• حملات مبتنی بر دانش Knowledge-based attacks

• باج افزار Ransomware

• حملات پیاده سازی Implementation attacks

• محدودیت های الگوریتم های رمزگذاری Limitations of encryption algorithms

32. امنیت فیزیکی 32. Physical Security

• کنترل های محیطی مرکز داده Data center environmental controls

• کنترل دسترسی فیزیکی Physical access control

• پرسنل امنیت فیزیکی Physical security personnel

• مدیریت بازدیدکنندگان Visitor management

• کنترل قدرت Power control

• حفاظت از محیط زیست مرکز داده Data center environmental protection

• طراحی سایت و تاسیسات Site and facility design

33. معماری امنیت نرم افزار 33. Software Security Architecture

• SOA و میکروسرویس ها SOA and microservices

• صابون و استراحت SOAP and REST

34. دامنه 4: ارتباطات و امنیت شبکه 34. Domain 4: Communication and Network Security

• معرفی حوزه ارتباطات و امنیت شبکه Introducing the Communication and Network Security domain

35. شبکه TCP/IP 35. TCP/IP Networking

• آدرس های IP و DHCP IP addresses and DHCP

• ICMP ICMP

• پروتکل های چند لایه Multilayer protocols

• معرفی TCP/IP Introducing TCP/IP

• پورت های شبکه Network ports

• سیستم نام دامنه (DNS) Domain name system (DNS)

• ترافیک شبکه Network traffic

36. طراحی شبکه ایمن 36. Secure Network Design

• مناطق امنیتی Security zones

• رسانه انتقال Transmission media

• قرار دادن دستگاه امنیتی Security device placement

• اعتماد صفر و SASE Zero trust and SASE

• VLAN ها و تقسیم بندی منطقی VLANs and logical segmentation

• زیر شبکه Subnetting

• جداسازی سیستم های حساس Isolating sensitive systems

• شبکه ابری Cloud networking

• شبکه های تعریف شده با نرم افزار (SDN) Software defined networking (SDN)

• آدرس دهی عمومی و خصوصی Public and private addressing

37. دستگاه های امنیتی شبکه 37. Network Security Devices

• توپولوژی های شبکه Network topologies

• مدیریت یکپارچه تهدید Unified threat management

• VPN ها و متمرکز کننده های VPN VPNs and VPN concentrators

• روترها، سوئیچ ها و پل ها Routers, switches, and bridges

• شبکه های توزیع محتوا Content distribution networks

• سرورهای پروکسی Proxy servers

• آنالایزرهای پروتکل Protocol analyzers

• متعادل کننده بار Load balancers

• معماری حمل و نقل Transport architecture

• فایروال ها Firewalls

• تشخیص و پیشگیری از نفوذ شبکه Network intrusion detection and prevention

38. تکنیک های امنیت شبکه 38. Network Security Techniques

• جداسازی سیستم های حساس Isolating sensitive systems

• فن آوری های فریب Deception technologies

• SNMP SNMP

• مدیریت قوانین فایروال Firewall rule management

• معیارهای عملکرد شبکه Network performance metrics

• لاگ های فایروال و شبکه Firewall and network logs

• محدود کردن دسترسی به شبکه Restricting network access

• حفظ در دسترس بودن شبکه Maintaining network availability

• پشتیبانی شبکه Network support

• نظارت بر شبکه Network monitoring

• امنیت پیکربندی سوئیچ Switch configuration security

• امنیت پیکربندی روتر Router configuration security

• کنترل دسترسی به شبکه Network access control

39. شبکه تخصصی 39. Specialized Networking

• همکاری چند رسانه ای Multimedia collaboration

• تلفن Telephony

• شبکه های ذخیره سازی Storage networks

40. رمزگذاری حمل و نقل 40. Transport Encryption

• دسترسی به شبکه از راه دور Remote network access

• IPsec IPsec

• TLS و SSL TLS and SSL

41. شبکه های بی سیم 41. Wireless Networking

• رمزگذاری بی سیم Wireless encryption

• انتشار سیگنال بی سیم Wireless signal propagation

• تجهیزات شبکه بی سیم Wireless networking equipment

• آشنایی با شبکه های بی سیم Understanding wireless networking

• احراز هویت بی سیم Wireless authentication

42. امنیت دستگاه موبایل 42. Mobile Device Security

• روش های اتصال به موبایل Mobile connection methods

• ردیابی دستگاه تلفن همراه Mobile device tracking

• اجرای امنیت موبایل Mobile security enforcement

• مدیریت دستگاه موبایل Mobile device management

• امنیت اپلیکیشن موبایل Mobile application security

• دستگاه خود را بیاورید (BYOD) Bring your own device (BYOD)

• امنیت دستگاه موبایل Mobile device security

• مدل های استقرار موبایل Mobile deployment models

43. امنیت میزبان 43. Host Security

• مدیریت برنامه نرم افزاری Application management

• پیشگیری از بدافزار Malware prevention

• کنترل های امنیتی شبکه مبتنی بر میزبان Host-based network security controls

• امنیت سیستم عامل Operating system security

• نظارت بر یکپارچگی فایل File integrity monitoring

44. دامنه 5: مدیریت هویت و دسترسی 44. Domain 5: Identity and Access Management

• معرفی دامنه مدیریت هویت و دسترسی (IAM). Introducing the Identity and Access Management (IAM) domain

45. شناسایی 45. Identification

• ثبت نام و اثبات هویت Registration and identity proofing

• احراز هویت، مجوز، و حسابداری (AAA) Authentication, authorization, and accounting (AAA)

• بیومتریک Biometrics

• نام کاربری و کارت های دسترسی Usernames and access cards

46. ​​احراز هویت 46. Authentication

• اتصال OAuth و OpenID OAuth and OpenID Connect

• ثبت نام و فدراسیون Single sign-on and federation

• شعاع RADIUS

• احراز هویت مبتنی بر گواهی Certificate-based authentication

• Kerberos و LDAP Kerberos and LDAP

• هویت به عنوان یک سرویس (IDaaS) Identity as a service (IDaaS)

• چیزی که داری Something you have

• احراز هویت چند عاملی Multifactor authentication

• پروتکل های احراز هویت رمز عبور Password authentication protocols

• SAML SAML

• فاکتورهای احراز هویت Authentication factors

• احراز هویت بدون رمز عبور Passwordless authentication

47. مسئولیت پذیری 47. Accountability

• مسئوليت Accountability

• مدیریت جلسه Session management

48. مدیریت حساب 48. Account Management

• نظارت بر حساب Account monitoring

• انواع حساب Account types

• سیاست های رمز عبور Password policies

• تامین و محرومیت Provisioning and deprovisioning

• نقش ها را مدیریت کنید Manage roles

• سیاست های حساب Account policies

• مدیریت حساب و امتیاز را درک کنید Understand account and privilege management

49. مجوز 49. Authorization

• مجوز را درک کنید Understand authorization

• لیست های کنترل دسترسی Access control lists

• کنترل های دسترسی اجباری Mandatory access controls

• کنترل دسترسی به پایگاه داده Database access control

• مفاهیم پیشرفته مجوز Advanced authorization concepts

• کنترل های دسترسی اختیاری Discretionary access controls

50. حملات کنترل دسترسی 50. Access Control Attacks

• تقلب هویت و بهانه جویی Identity fraud and pretexting

• حملات چاله های آبیاری Watering hole attacks

• مهندسی اجتماعی فیزیکی Physical social engineering

• مهندسی اجتماعی Social engineering

• حملات جعل هویت Impersonation attacks

51. دامنه 6: ارزیابی و تست امنیت 51. Domain 6: Security Assessment and Testing

• معرفی حوزه ارزیابی و تست امنیت Introducing the Security Assessment and Testing domain

52. اسکن آسیب پذیری 52. Vulnerability Scanning

• پیکربندی اسکن Scan configuration

• همبستگی نتایج اسکن Correlating scan results

• اسکن پرسپکتیو Scan perspective

• تجزیه و تحلیل گزارش های اسکن Analyzing scan reports

• مدیریت آسیب پذیری چیست؟ What is vulnerability management?

• شناسایی اهداف اسکن Identify scan targets

53. تست نفوذ 53. Penetration Testing

• تست نفوذ Penetration testing

• افشای اخلاقی Ethical disclosure

• تمرینات امنیت سایبری Cybersecurity exercises

• جایزه اشکال Bug bounty

54. گزارش بررسی ها 54. Log Reviews

• پایش نقطه پایانی Endpoint monitoring

• نظارت مستمر امنیتی Continuous security monitoring

• اطلاعات امنیتی و مدیریت رویداد Security information and event management

• ثبت اطلاعات امنیتی Logging security information

55. تست کد 55. Code Testing

• تست رابط Interface testing

• کد شخص ثالث Third-party code

• تجزیه و تحلیل ریسک نرم افزار و کاهش آن Software risk analysis and mitigation

• تجزیه و تحلیل پوشش تست Test coverage analysis

• بررسی کد Code review

• تست های کد Code tests

• تست مورد سوء استفاده Misuse case testing

• مخازن کد Code repositories

• تست فاز Fuzz testing

56. برنامه ریزی بازیابی بلایا 56. Disaster Recovery Planning

• بازیابی نسخه های پشتیبان Restoring backups

• بازیابی فاجعه Disaster recovery

• گزارشات پس از اقدام After action reports

• آزمایش طرح های BC/DR Testing BC/DR plans

• سایت های بازیابی بلایا Disaster recovery sites

• پشتیبان گیری Backups

57. ارزیابی فرآیندهای امنیتی 57. Assessing Security Processes

• معیارهای امنیتی Security metrics

• جمع آوری داده های فرآیند امنیتی Collect security process data

• مدیریت کنترل Control management

• ممیزی ها و ارزیابی ها Audits and assessments

• بررسی و تایید مدیریت Management review and approval

58. دامنه 7: عملیات امنیتی 58. Domain 7: Security Operations

• معرفی دامنه عملیات امنیتی Introducing the Security Operations domain

59. تحقیقات و پزشکی قانونی 59. Investigations and Forensics

• مقدمه ای بر پزشکی قانونی Introduction to forensics

• جرم شناسی شبکه Network forensics

• پزشکی قانونی نرم افزار Software forensics

• پزشکی قانونی سیستم و پرونده System and file forensics

• انواع شواهد Evidence types

• گزارش و مستندسازی حوادث Reporting and documenting incidents

• زنجیره ای از بازداشت Chain of custody

• انجام تحقیقات Conducting investigations

• کشف الکترونیکی (eDiscovery) Electronic discovery (eDiscovery)

• پزشکی قانونی دستگاه تلفن همراه Mobile device forensics

• پزشکی قانونی دستگاه جاسازی شده Embedded device forensics

60. مدیریت امتیاز 60. Privilege Management

• مدیریت حساب کاربری ممتاز Privileged account management

• نیاز به دانستن و کمترین امتیاز Need to know and least privilege

61. مدیریت حوادث 61. Incident Management

• کاهش Mitigation

• اعتبار سنجی Validation

• ایجاد تیم واکنش به حوادث Creating an incident response team

• ریشه کن کردن و بهبود حوادث Incident eradication and recovery

• طرح ارتباطات حادثه Incident communications plan

• شناسایی حادثه Incident identification

• یک برنامه واکنش به حادثه بسازید Build an incident response program

• فعالیت های پس از حادثه Post-incident activities

• تشدید و اطلاع رسانی Escalation and notification

• تکنیک های مهار Containment techniques

62. ایمنی پرسنل 62. Personnel Safety

• مدیریت بحران Emergency management

• ایمنی پرسنل Personnel safety

63. دامنه 8: امنیت توسعه نرم افزار 63. Domain 8: Software Development Security

• معرفی دامنه امنیت توسعه نرم افزار Introducing the Software Development Security domain

64. چرخه عمر توسعه نرم افزار 64. Software Development Lifecycle

• پلتفرم های نرم افزاری Software platforms

• روش های توسعه Development methodologies

• اتوماسیون و DevOps Automation and DevOps

• چارچوب چابک مقیاس شده Scaled agile framework

• نرم افزار اکتسابی Acquired software

• زبانهای برنامه نویسی Programming languages

• مدل های سررسید Maturity models

65. حملات برنامه 65. Application Attacks

• آشنایی با اسکریپت بین سایتی Understanding cross-site scripting

• ده برتر OWASP OWASP top ten

• دستکاری درایور Driver manipulation

• افزایش امتیازات Privilege escalation

• حملات سرریز Overflow attacks

• دفاع در برابر پیمایش دایرکتوری Defending against directory traversal

• آسیب پذیری های شرایط نژادی Race condition vulnerabilities

• آسیب پذیری های حافظه Memory vulnerabilities

• جلوگیری از تزریق SQL Preventing SQL injection

• ربودن جلسه Session hijacking

• توضیح کوکی ها و پیوست ها Explaining cookies and attachments

• امنیت برنامه Application security

• درخواست جعل Request forgery

• حملات اجرای کد Code execution attacks

66. شیوه های کدگذاری ایمن 66. Secure Coding Practices

• رسیدگی به خطا و استثنا Error and exception handling

• امنیت پایگاه داده Database security

• کدگذاری خروجی Output encoding

• پرس و جوهای پارامتری شده Parameterized queries

• شناسایی هویت داده ها Data de-identification

• مبهم سازی داده ها Data obfuscation

• مسائل مربوط به احراز هویت/مدیریت جلسه Authentication/session management issues

• اعتبار سنجی ورودی Input validation

• امضای کد Code signing

67. بعد چه است 67. What's Next

• آماده شدن برای امتحان Preparing for the exam