信息系统安全通用知识框架的8个知识域 .pdfVIP

信息系统安全通用知识框架（CommonBodyofKnowledge，CBK）是一个广泛接受的

信息安全领域知识框架。该框架由国际信息系统安全认证联盟（International

InformationSystemsSecurityCertificationConsortium，ISC2）定义，旨在为信息安全专

业人员提供一个标准的、综合的、通用的知识体系。CBK包含了8个知识域，分别是：

1.安全和风险管理（SecurityandRiskManagement）：包括安全管理的一般原则、法规、

标准和实践，风险管理、政策和程序等。

2.资产安全管理（AssetSecurity）：包括对信息和资产进行分类、所有权保护、隐私

保护、物理安全和防窃取措施等。

3.安全工程（SecurityEngineering）：包括系统架构、设计、开发和维护中的安全考虑，

以及安全性测试和评估。

4.通信和网络安全（CommunicationandNetworkSecurity）：包括网络拓扑、协议、组

件、设备和服务的安全性，以及网络攻击和防御。

5.身份和访问管理（IdentityandAccessManagement）：包括用户身份验证、访问控制、

特权管理、审计和监控等。

6.安全评估与测试（SecurityAssessmentandTesting）：包括风险评估、安全性测试、

漏洞评估和安全审计等。

7.安全操作（SecurityOperations）：包括安全管理、事件响应、恢复和调查等。

8.软件开发安全（SoftwareDevelopmentSecurity）：包括软件生命周期中的安全考虑、

应用程序漏洞、编码标准和安全性测试等。

当谈到信息系统安全通用知识框架（CBK）的八个知识域时，我们可以进一步深入了

解每个知识域的具体内容：

1.**安全和风险管理（SecurityandRiskManagement）**：这个领域涵盖了安全管理的

一般原则，包括法规、标准和实践，以及风险管理、政策和程序等。这包括对安全性

目标的制定、风险评估和管理、组织内部和外部环境的法规遵从性等。

2.**资产安全管理（AssetSecurity）**：这个知识域关注对信息和资产的保护，包括

对信息进行分类和所有权保护、隐私保护、物理安全和防窃取措施等。

3.**安全工程（SecurityEngineering）**：此领域关注在系统架构、设计、开发和维护

中考虑安全的实践。它还包括安全性测试和评估，以确保系统满足安全要求。

4.**通信和网络安全（CommunicationandNetworkSecurity）**：这个领域关注网络拓

扑、协议、组件、设备和服务的安全性，以及网络攻击和防御。

5.**身份和访问管理（IdentityandAccessManagement）**：这个知识域专注于用户身

份验证、访问控制、特权管理、审计和监控等。

6.**安全评估与测试（SecurityAssessmentandTesting）**：这个领域包括风险评估、

安全性测试、漏洞评估和安全审计等，以确保系统的安全性得到验证。

7.**安全操作（SecurityOperations）**：此领域关注安全管理、事件响应、恢复和调

查等操作。这也包括安全运营的日常任务和流程。

8.**软件开发安全（SoftwareDevelopmentSecurity）**：这个知识域包括软件生命周

期中的安全考虑、应用程序漏洞、编码标准和安全性测试等。

这些知识域提供了一个全面的信息安全框架，涵盖了信息安全专业人员需要了解和掌

握的各个方面。这种全面性有助于确保专业人员能够全面理解信息安全的挑战，并制

定相应的策略和实践来保护信息系统的安全。

这些知识域涵盖了信息安全领域的广泛方面，为信息安全专业人员提供了一个全面的

框架，以便他们能够更好地理解和实践信息安全。此外，CBK还提供了ISC2认证考

试的基础，因此对于想要获得ISC2认证的人来说，熟悉CBK是非常重要的。