文章总结： 本文系统分析了CISSPOSG第十版相比第九版的核心变化，指出教材从知识覆盖转向能力导向，新增零信任架构、云原生安全、供应链安全、威胁情报、AI安全及隐私保护六大知识域。各章节结构重组，强化跨域联系与场景化决策训练。备考建议优先掌握新增内容，注重场景应用与知识串联。 综合评分： 85 文章分类： 安全培训,技术标准,安全建设,解决方案,其他

---

OSG 第十版相比第九版：整体变化与新增知识域全景

原创

CISSP Learning CISSP Learning

CISSP Learning

2026年4月28日 15:41 北京

在小说阅读器读本章

去阅读

引言：为什么第十版值得关注

CISSP Official Study Guide（OSG）第十版于2021年发布，距第九版（2015年）间隔约六年。这六年恰好是网络安全行业变化最剧烈的时期：云原生架构从萌芽到普及，零信任从概念到落地，供应链攻击成为国家级威胁，AI/ML开始渗透安全运营的每一个环节。

作为CISSP备考的核心教材，第十版不仅仅是内容更新，更是一次结构性的重写。官方数据显示，全书新增约20%的内容，重新编排了约40%的章节结构，删除或弱化了约15%第九版中的内容。

本文作为系列开篇，从宏观视角解析：第十版相比第九版，发生了哪些结构性变化？这些变化的底层逻辑是什么？对备考有什么影响？

一、整体变化：从”知识覆盖”到”能力导向”

第九版的设计逻辑是”知识点的系统性堆叠”——每个Domain独立成章，知识点之间相对割裂，读者容易陷入”只见树木，不见森林”的困境。

第十版的核心转变是以能力为导向（Competency-Based）：

·每个Domain不再单纯罗列知识点，而是围绕真实工作场景和决策能力来组织内容

·新增了”情境判断”类内容，要求读者理解”在什么情况下做什么决策”

·各Domain之间的交叉引用大幅增加，帮助读者建立知识地图而非孤立记忆

实际体现：

·第十版在每个章节末尾增加了”场景分析（Scenario-Based Learning）”类型的内容

·大量原来纯概念性的内容被替换为”给定场景→分析→决策”的练习形式

·跨Domain引用（如Domain 1的风险管理如何影响Domain 3的安全设计）在正文中频繁出现

二、新增的核心概念：六个必须掌握的新领域

第十版新增了一批第九版中完全没有或篇幅极少的内容，这些内容在考试中的权重显著上升：

2.1 零信任架构（Zero Trust Architecture, ZTA）

第九版对零信任几乎没有系统性的介绍。第十版将零信任提升为核心理念框架，贯穿Domain 1、3、4、5多个章节。

第十版新增的关键概念：

·NIST SP 800-207 零信任架构标准

·ZTA的七大核心原则（永不信任、始终验证、假设 breach 等）

·微隔离（Micro-segmentation）技术实现

·持续监控与动态访问策略

·零信任与传统边界防护模型的对比

考试权重：高。在Domain 1（风险管理）和Domain 4（网络安全）的选择题和场景题中频繁出现。

2.2 云原生安全（Cloud-Native Security）

第九版写作时，云原生尚未成为主流，AWS/Azure/GCP的安全模式与传统的本地数据中心有本质区别。第十版大幅增加了云安全的内容。

新增内容覆盖：

·云服务模型：IaaS、PaaS、SaaS的安全责任划分（Shared Responsibility Model）

·云原生架构：容器、无服务器（Serverless）、微服务、API网关的安全

·容器安全：镜像签名、运行时安全、容器编排（Kubernetes）安全

·云访问安全代理（CASB）的作用与部署

·CSPM（云安全态势管理）与CWPP（云工作负载保护平台）

与考试的关系：在Domain 3（安全工程）和Domain 4（通信与网络安全）中频繁出现，也是场景题的高频背景设定。

2.3 供应链安全（Supply Chain Security）

2019-2021年期间发生了多起标志性供应链攻击事件（SolarWinds、Log4Shell等），供应链安全成为CISSP的核心考点之一。

新增内容：

·供应链风险评估方法

·第三方供应商安全评估流程

·软件供应链安全：SBOM（软件物料清单）、软件来源验证

·硬件供应链安全：固件验证、组件溯源

·供应商关系管理：SLSA框架、合同安全条款

·软件开发安全标准：NIST SSDF（安全软件开发生命周期框架）

考试权重：高。特别是Domain 1（风险管理）和Domain 8（应用安全开发）中的供应链安全内容，在2024年考试大纲更新后进一步强化。

2.4 威胁情报与MITRE ATT&CK框架

第九版几乎没有系统性地介绍ATT&CK框架。第十版将其作为分析威胁行为的标准工具纳入多个Domain。

新增内容：

·MITRE ATT&CK框架的结构与应用

·网络威胁情报（CTI）生命周期：收集→处理→分析→ dissemination

·威胁建模与威胁狩猎（Threat Hunting）

·攻击者战术、技术和程序（TTPs）的识别与分类

·Diamond Model和MITRE ATT&CK在企业安全评估中的应用

2.5 人工智能与机器学习安全

AI/ML安全是第十版相对第九版变化最大的新增领域之一，反映了AI在安全运营和攻击场景中的双刃剑角色。

新增内容：

·AI系统安全：数据投毒、对抗样本、模型逆向、模型窃取

·AI在安全运营中的应用：自动化威胁检测、UEBA、SOAR

·AI攻击场景：大模型驱动的钓鱼攻击、AI生成的深度伪造

·伦理与AI治理：欧盟AI法案、GDPR关于自动化决策的规定

·安全AI系统开发：ML-SDLC、模型加固、输入验证

考试权重：中高。在Domain 1（合规与治理）和Domain 8（应用安全）中出现频率增加。

2.6 隐私保护（Privacy in Security）

GDPR和CCPA的正式实施使隐私保护成为安全专业人员必须掌握的能力。第十版大幅强化了隐私相关内容。

新增/扩展内容：

·隐私工程（Privacy-by-Design）原则

·数据本地化与跨境传输合规（PIPL、GDPR）

·隐私影响评估（PIA / DPIA）

·消费者数据权利与企业合规义务

·隐私在云环境中的挑战

·数据库隐私与匿名化技术（k-匿名、差分隐私）

三、结构性调整：从八章到更紧凑的知识体系

第九版和第十版的八Domain框架在名称上几乎相同，但内部结构和侧重点发生了显著变化：

| | | | | — | — | — | | 调整维度 | 第九版特点 | 第十版特点 | | Domain   1 安全与风险管理 | 侧重风险管理流程和资产分类 | 新增威胁情报、供应链安全、ZTA，风险管理框架更加完整 | | Domain   2 资产安全 | 偏重资产分类和数据保留策略 | 内容更加精炼，与数据隐私法规的结合更紧密 | | Domain   3 安全工程 | 强调查看密码学基础 | 大幅扩展云原生安全、硬件安全、渗透测试内容 | | Domain   4 通信与网络安全 | 传统网络架构和防火墙 | 新增SD-WAN、SASE、零信任网络架构，弱化传统VPN | | Domain   5 访问控制 | 经典的RBAC/ABAC模型 | 扩展身份优先安全（Identity-First   Security）、PAM/PIM | | Domain   6 安全评估与测试 | 偏重审计和渗透测试 | 融入威胁狩猎、自动化测试、持续验证概念 | | Domain   7 安全运营 | BCP/DR、变更管理 | 新增威胁情报共享、事件前置检测、安全运营现代化 | | Domain   8 应用安全开发 | SDLC基础、安全编码 | 新增DevSecOps、AppSec测试自动化、供应链安全 |

四、弱化/移除的内容：哪些知识不再是重点

备考时需要知道：有些第九版中的内容在第十版里被大幅弱化，如果时间有限，可以战略性地跳过：

1. 传统物理安全细节：第九版关于旋转门、诱饵办公室等物理安全控制的详细描述，在第十版中被大幅精简，合并到Domain 7的物理安全子集中。

2. 传统VPN技术：第九版对IPSec VPN和SSL VPN的详细配置有较多篇幅，第十版转向零信任和SASE架构，传统VPN内容仅作为背景知识保留。

3. 某些密码学实现细节：第九版对特定加密算法的硬件实现细节（如特定的电路设计）描述较多，第十版转向密码学应用层面（加密场景选择、密钥管理最佳实践）。

4. S/MIME和某些传统邮件安全协议：第九版中关于S/MIME的详细工作原理在第十版中被大幅压缩，PGP/GPG也不再是重点。

原因分析：这些内容在第九版时代是主流技术，但随着技术演进，它们在现代企业环境中的实际应用已大幅下降，CISSP考试也随之调整。

五、备考建议：如何利用第十版的变化高效复习

5.1 建立”新增内容优先”的学习策略

根据对第十版内容的分析，以下是考试权重最高的新增内容，建议优先深入学习：

1. 零信任架构（ZTA） — 贯穿多个Domain，必须理解其核心原则和落地方式

2. 云原生安全 — 成为场景题的高频背景，需要掌握云服务模型的安全责任划分

3. 供应链安全 — 在2024年考试大纲更新后权重进一步上升

4. 威胁情报（CTI）+ ATT&CK — 理解框架结构，能在分析场景中应用

5.2 从”知识点记忆”转向”场景决策”

第十版考试的命题思路正在从”哪个概念是对的”转向”在给定场景下，你应该怎么做”。这意味着：

·光记忆概念不够，需要理解概念的适用场景和局限性

·需要训练”情境分析”能力：给定一个企业背景和约束条件，选择最合适的安全方案

·建议在复习时，每看到一个知识点，都问自己：”这个知识在什么情况下会被用到？”

5.3 横向串联比纵向深入更重要

第十版的章节之间交叉引用明显增加。建议在复习时，有意识地建立Domain之间的连接：

·Domain 1的风险管理 → 如何影响Domain 3的系统设计决策

·Domain 4的网络安全 → 如何支撑Domain 5的访问控制策略

·Domain 8的开发安全 → 如何与Domain 7的安全运营形成闭环

六、本系列后续预告

本文是”OSG 第十版新增内容系列”的开篇。接下来每周我们将深入一个核心主题：

·第二篇：Domain 1 安全与风险管理——新增的威胁情报、供应链安全与ZTA深度解析

·第三篇：Domain 3 安全工程——云原生安全、硬件安全与密码学应用的变化

·第四篇：Domain 4 通信与网络安全——SASE、SD-WAN与零信任网络

·第五篇：Domain 5 访问控制 & Domain 6 安全评估——身份优先安全与持续验证

·第六篇：Domain 7 安全运营 & Domain 8 应用安全开发——DevSecOps、供应链安全与AI安全

每篇都将结合具体的考试场景和真实企业案例，帮助你在理解概念的同时，掌握实际应用的判断能力。

总结

OSG第十版相比第九版的变化，本质上反映了安全行业从”边界防御”到”持续验证”、从”本地数据中心”到”云原生”、从”独立产品”到”生态系统”的三重转型。备考的核心策略是：理解这些变化的底层逻辑，而非死记硬背知识点。

下一篇文章，我们将深入Domain 1，解析威胁情报、供应链安全和零信任架构三大新增领域的考试重点与实际应用。

祝你复习顺利，一次通过。

本公众号各类文章仅供学习交流之用！

更多资料获取，请加入【CISSP Learning】知识星球

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：CISSP Learning CISSP Learning CISSP Learning《OSG 第十版相比第九版：整体变化与新增知识域全景》