先把名字搞清楚:CISSP 是什么
CISSP(Certified Information Systems Security Professional)是 ISC2(国际信息系统安全认证联盟)颁发的网络安全行业最权威的认证之一。在招聘市场上,CISSP 持证者的薪资中位数比 Security+ 高 30-50%,因为这个证不只考知识——它要求5 年以上安全相关工作经验才能正式持证。
想拿 CISSP,你得通过一场考试,内容覆盖 ISC2 划定的 8 个知识域(domains)。
“8 个域”是怎么来的
ISC2 把”做安全这一行所有需要懂的东西”切成 8 块,这就是 CISSP 八大安全域。这 8 块既是考试的 8 块考点,也是行业默认的工作分工——大公司里安全团队的岗位,基本都能映射到这 8 个域的其中一个。
为什么是 8 块而不是 6 块或 12 块?因为安全这件事大到一个人扛不动,行业必须把它切成”能让不同专业的人各管一块”的尺寸。8 块是 ISC2 多年实践出来的,既不太碎(每块都对应一类真实的工作)也不太粗(每块的边界都比较清楚)。
按 ISC2 官方顺序,这 8 个域是:
| # | 英文 | 中文 |
|---|---|---|
| 1 | Security and Risk Management | 安全与风险管理 |
| 2 | Asset Security | 资产安全 |
| 3 | Security Architecture and Engineering | 安全架构与工程 |
| 4 | Communication and Network Security | 通信与网络安全 |
| 5 | Identity and Access Management | 身份与访问管理 |
| 6 | Security Assessment and Testing | 安全评估与测试 |
| 7 | Security Operations | 安全运营 |
| 8 | Software Development Security | 软件开发安全 |
光看这 8 个名字,你大概率还是不知道它们各自在干嘛——这是正常的。8 个名字平铺直叙,看不出关系。下面分两步:
- 先按三层结构把 8 个域重组,你能看出它们之间的关系
- 再逐个解释每个域具体管什么、什么场景属于它
顶层结论
CISSP 八大域不是为考试设计的清单,是一张定位地图:看到任何安全活动——合规审查、新员工权限、备份策略、SIEM 告警、代码 review——你都应该能 30 秒内说出”这属于第几域”。
定位准了,你就知道该问谁、该看哪份政策、该用哪个 framework。定位不准,看似在做安全实则各管各的,出事时永远找不到正确的负责人。
8 个域的三层结构
8 个名字平铺直叙看不出关系,按抽象层级分三层才看得懂:
| 层 | 回答的问题 | 域 |
|---|---|---|
| 战略层 | 为什么做安全 | 1. 风险与合规 |
| 构建层 | 用什么做安全 | 2. 资产 · 3. 架构 · 4. 通信 · 5. IAM · 8. 软件开发 |
| 运营层 | 怎么做安全 | 6. 评估测试 · 7. 安全运营 |
关系是:战略层定方向 → 构建层做基础 → 运营层守日常。任何一个安全话题都能在这张三层图上落点。
战略层:为什么
Domain 1 · Security and Risk Management(安全与风险管理)
周二上午,墨尔本一家移民代理事务所的合规主管 Sarah 收到 OAIC(澳洲信息专员办公室)邮件:30 天内提交一份《贵公司如何处理客户 SPII》的书面流程文档。她推掉下午所有会议,在桌前同时打开三个文档——Privacy Act 1988、Australian Privacy Principles、MARA Code of Conduct——把公司当前每一步做法对照法规要求,做一份”差距分析报告”。她做的这件事就是 Domain 1。
这个域回答”为什么做安全”——从战略、合规、法律、伦理层面定义组织的安全方向。核心使命是建立 Security Posture(安全态势)——组织管理关键资产防御 + 应对变化的整体能力。具体管: 安全目标、风险缓解流程、业务连续性计划、法律法规(澳洲 Privacy Act、GDPR、HIPAA)、职业伦理。
遇到这些场景就是 Domain 1: GDPR / Privacy Act 合规 · 业务连续性计划 · 隐私政策起草 · 风险缓解策略 · 是否售卖用户数据(伦理决策)。
构建层:用什么
Domain 2 · Asset Security(资产安全)
周四下午,一家会计事务所的 IT 主管 Mark 收到通知:某资深财务下周一离职。他打开公司资产清单,核对她过去三年用过的一切——Xero 账号、Dropbox 文件夹权限、一台 MacBook Pro、一块外接 SSD、办公楼门禁卡。下午 5 点前要做完:撤销所有账号、收回硬件、把她经手的客户档案归档(澳洲 ATO 税法要求保留 7 年)、她本地下载过的客户报税 PDF 用 SDelete 多次覆写。她离职后一周,他还要再扫一遍所有共享文档,确认没遗漏。他做的这件事就是 Domain 2。
这个域管”安全相关物品”的全生命周期——从创建、存储、使用、共享、归档,到销毁。最容易被忽视的是销毁: 删除文件 ≠ 销毁文件,旧硬盘必须物理粉碎或多次覆写;离职员工账号要 24 小时内禁用。判定保护级别的核心标准是——这个资产如果丢/被改/没了,CIA 三要素分别受多大影响?
遇到这些场景就是 Domain 2: 数据备份与恢复计划 · 数据保留期限(澳洲税务文件 5 年、移民文件 7 年)· 硬盘销毁流程 · 资产影响分析 · 离职员工资产清查。
Domain 3 · Security Architecture and Engineering(安全架构与工程)
新项目 kickoff,架构师 Wei 站在白板前画”客户从浏览器到看到自己数据”的完整路径——也就是攻击者要走的路。每画一层她就停下问一句:“如果这层挂了,下一层能挡住吗?” Cloudflare WAF 挡 DDoS 和大部分注入,挡不住的呢?ufw 防火墙只开 22/443,被绕过呢?Nginx 反向代理藏后端,后端被直接发现呢?Supabase Auth 加 MFA,token 被偷呢?Supabase RLS 行级安全,SQL 被改呢?会议三小时,白板画出五层独立防御,每层都能在前一层失守时挡一阵。她做的这件事就是 Domain 3。
这个域设计”安全体系长什么样”——工具、系统、流程怎么搭起来才安全。核心理念是 Shared Responsibility(责任共担):安全不是 IT 部门一个人的事,90% 的安全事件起源于普通员工(钓鱼、弱密码、点恶意链接),所以安全必须从架构设计阶段就考虑”人的因素”。8 个设计原则: 威胁建模、最小权限、纵深防御、Fail Securely、职责分离、Keep It Simple、Zero Trust、Trust But Verify。
遇到这些场景就是 Domain 3: 新系统架构设计 · 多层防御部署(WAF + 防火墙 + 反向代理 + 认证 + RLS)· 威胁建模会议 · “失败时默认拒绝”的设计决策 · Zero Trust 框架决策。
Domain 4 · Communication and Network Security(通信与网络安全)
周五下午 4 点,公司 Slack 弹出新员工 Jake 的提问:“我在 Brunetti 咖啡店连了 free WiFi,想打开公司 CRM 看一下客户档案——可以吗?” IT 主管 Liam 回:不行,先开 ProtonVPN,再访问任何公司系统。他顺手把这条规则补进员工手册的”远程工作安全清单”。下周一全员会议他要讲 3 分钟:为什么咖啡店 WiFi 在 OSI 第 2 层就能被监听,为什么蓝牙耳机被劫持后能录入会议音频,为什么家用路由器默认密码是高危。他做的这件事就是 Domain 4。
这个域守护”数据在路上的安全”——网络传输、远程访问、云通信。现代组织三种工作模式(现场/远程/混合)带来最大挑战: 远程员工连公司网络时怎么保证安全?三大高危场景: 公共 WiFi、蓝牙劫持、远程员工的家庭路由器。
遇到这些场景就是 Domain 4: VPN 配置 · WiFi / 蓝牙策略 · 远程办公安全规范 · 网络访问控制(谁能从哪里访问什么)· 远程员工的家庭网络要求。
Domain 5 · Identity and Access Management(身份与访问管理)
新员工 Priya 入职第一天上午,HR 在系统建账号——公司邮箱、密码策略、角色”Junior Consultant”。系统按这个角色自动分配权限: 能看分配给自己的 5 个客户档案、不能修改公司账户、所有操作都记录到 audit log。Priya 30 天后表现合格升 Senior,经理打开权限管理后台,在她的角色上勾掉”只看自己客户”加上”看所在团队所有客户”。三个月后她被外派悉尼分部,经理再次调权限,加上”读悉尼办公室文档”。这一整套——建账号、登录验证、按角色给权限、所有操作留痕——就是 Domain 5 的 4 个组件在实际跑通。
这个域回答”谁能访问什么”——是 8 个域里最高频考点。IAM 四个组件按用户登录顺序: Identification(识别) → Authentication(认证) → Authorization(授权) → Accountability(追责)。记忆口诀: 认、证、权、追。配套核心原则是 最小权限——只给完成任务所需的最低权限,有期限、要定期审计。
遇到这些场景就是 Domain 5: 用户登录流程设计 · 角色权限分配(RBAC)· MFA / SSO 配置 · 客服只能查电话不能查全部信息的设计 · 离职/调岗时的权限调整。
Domain 8 · Software Development Security(软件开发安全)
一名前端开发提了一个 PR,新增”客户上传护照扫描件”功能。代码 review 时另一位资深工程师 Daniel 看了 20 分钟,在 GitHub 上 inline 评论了 4 处:第一,文件类型校验在前端做了但后端没做,攻击者可以绕过前端直接传任意文件;第二,上传成功后文件名(用户控制的字符串)直接拼到下载 URL,有目录遍历(
../)风险;第三,错误提示带服务器路径,泄漏后端文件系统结构;第四,文件没用杀毒引擎扫描就直接存进客户档案库。这 4 处全部在合并前修掉。这次 review 就是 Domain 8 的标准动作。
这个域回答”怎么写出安全的代码”——把安全嵌入 SDLC 每一步: 设计阶段做威胁建模、开发阶段安全编码、测试阶段渗透测试、发布阶段监控告警。核心理念: Security cannot be an afterthought——事后补漏洞永远比事前嵌入贵 10 倍。
遇到这些场景就是 Domain 8: SQL 注入 / XSS 防御 · 输入校验 · 代码 review · SAST / DAST 扫描 · 上线前的 security review。
运营层:怎么做
Domain 6 · Security Assessment and Testing(安全评估与测试)
季度的最后一周,公司请来的外部渗透测试员 Anna 坐进会议室。她带一台笔记本和一份授权范围文件(写明她能打哪些 IP、哪些时间段、哪些动作不允许),开始按 OWASP 渗透测试方法论走流程: 信息收集 → 端口扫描 → 漏洞探测 → 利用尝试 → 权限提升。三天后她交一份 18 页报告,列出 7 个漏洞——3 个高危、2 个中危、2 个低危,每个写明复现步骤、影响范围、修复建议。公司收到报告,组织开发团队按严重度排期修。她做的这件事就是 Domain 6。
这个域回答”我们做的安全到底有没有用”——通过测试和审计验证安全有效性。和 Domain 3 的关键区别:Domain 3 设计安全架构(盖房子),Domain 6 检查安全架构(盖完后验房)。Domain 6 不创造新控制,只验证已有控制是否真的起作用。主要活动: 安全审计、漏洞扫描、渗透测试(Pen Test)、用户权限审计。
遇到这些场景就是 Domain 6: 季度安全审计 · 雇人做渗透测试 · 用 Burp Suite / Nessus 扫漏洞 · 审查谁的权限不合理 · 内审报告。
Domain 7 · Security Operations(安全运营)
凌晨 3 点,SIEM 告警:某员工账号在过去 90 分钟内分别从墨尔本和拉各斯两个 IP 段登录。on-call 工程师 Tom 被 PagerDuty 叫醒,打开笔记本登入 Splunk——先看登录历史(过去 30 天都在墨尔本)、再看那个员工今晚的访问记录(下载了 12 个客户档案)、然后按 事件响应 playbook 走步骤:第一步立刻封号、第二步打电话核实员工本人、第三步通知合规主管准备 OAIC 30 天报告流程、第四步收集所有日志保留作取证用。从告警到处置完毕共 45 分钟。早上 9 点全员开复盘会,把这次的告警链条、响应步骤、所学教训写进 playbook 的 v2.4。他做的这件事就是 Domain 7。
这个域是”安全的日常工作 + 出事处理”——两条主线:预防(让事情不发生)+ 调查(出事了怎么处理)。具体工具箱: SIEM 工具、入侵检测(IDS/IPS)、日志管理、事件管理、Playbook、取证调查、复盘。看到 forensic 这个词 → 90% 答 Domain 7——数字取证和 Domain 7 强绑定。
遇到这些场景就是 Domain 7: SIEM 告警响应 · 事件响应流程(Module 4 详讲的 6 阶段)· 入侵调查 · 日志收集与分析 · 出事后的复盘总结。
一张关键词速查表
考试和工作中看到这些关键词,直接定位:
| 关键词 | 答 |
|---|---|
| compliance · business continuity · 法律法规 · GDPR · Privacy Act | Domain 1 |
| storage · destruction · retention · backup · security impact analysis | Domain 2 |
| shared responsibility · design principles · fail securely · threat modeling · zero trust | Domain 3 |
| WiFi · Bluetooth · VPN · remote workers · network access controls | Domain 4 |
| identity · authentication · authorization · least privilege · MFA · permissions | Domain 5 |
| security audit · pen tester · vulnerability scanning · control testing | Domain 6 |
| investigate · forensic · incident · playbook · SIEM · log management | Domain 7 |
| secure coding · SDLC · application security · QA + software | Domain 8 |
8 字记忆口诀
按 8 个域的中文核心词:
风资架通身评运开(风险 · 资产 · 架构 · 通信 · 身份 · 评估 · 运营 · 开发)
记住这 8 个字 → 看到任何安全活动 → 30 秒定位到正确的域。
为什么这张地图比”背 8 个名字”值钱
8 个域单独看像 8 堆杂事。但放到三层结构里,你立刻看出: 一家公司安全做得好不好,本质看的是这三层是否对齐——
- 战略层定的方向(Domain 1)有没有真的落到构建层(2/3/4/5/8)的具体设计?
- 构建层做的设计有没有被运营层(6/7)持续验证和守护?
最常见的故障模式:战略层吹得响(“我们要拿 ISO 27001”),构建层只做 60%,运营层完全空白——三层断裂,等于零。这门课的 NIST RMF 七步、OWASP 6 原则、事件响应 6 阶段就是分别填这三层的具体工具。
实战用法:给客户做安全评估时,按 8 个域逐个问——他们的 Domain 1 是什么?Domain 6 / Domain 7 是不是空的?短板在哪一层?这是审计报告的骨架。