正文
作爲《J0ker的CISSP之路》系列的第一篇文章,J0ker打算先簡要向讀者介紹一下CISSP的背景知識,下面我們先來看CISSP認證的頒發機構(ISC)2:
(ISC)2是信息安全領域的頂級認證機構之一,成立於1989年,到現在已經給超過120個國家的五萬多名安全專家授予了相關認證。(ISC)2目前提供如下6種認證:
SSCP(System Security Certificated Practitioner)認證系統安全實踐者
CAP(Certification and Accreditation Professional)認證和評估專家
CISSP (Certificated Information System Security Professional) 認證信息系統安全專家
CISSP的升級版本CISSP-ISSAP(Information System Security Architecture Professional) 信息系統安全架構專家
CISSP-ISSMP(Information System Security Management Professional)信息系統安全管理專家
CISSP-ISSEP(Information System Security Engineering Professional)信息系統安全工程專家
(ISC)2同時也向公衆提供信息安全方面的教育和諮詢服務。(ISC)2的官方網站是[url]http://www.isc2.org[/url]
(ISC)2提供的6種認證中,知名度最高和持有者人數最多的是CISSP。截至2007年4月底,全球共有48598名CISSP,其中人數最多的是美國,現有30385名,中國大陸有371名。因爲CISSP的升級版本ISSAP和ISSMP要求考試的報名者必須是CISSP,而且有一定的相關領域工作經驗要求,所以在國內除了香港18名臺灣4名持有者之外,大陸還沒有持有者。至於(ISC)2較爲低端的SSCP和CAP認證,由於其定位和考覈內容的原因,在國際上的接受程度不高,所以除了美加兩國外,其他國家的持有者都很少。
CISSP認證是國際上最權威、最受認可的信息安全認證,它同時也是信息安全領域第一個通過ISO17024:2003標準的認證。CISSP主要的認證對象爲在企業處於中高層、已經或將成爲CISO(ChiefInformationSecurityOfficer)、CSO(ChiefSecurityOfficer)或高級安全工程師的信息安全專家。
CISSP認證的考覈範圍包括10個方向,稱爲CBK(CommonBodyofKnowledge)以下按首字母排序:
1、AccessControl訪問控制
2、ApplicationSecurity應用安全(包括開發)
3、BusinessContinuityandDisasterRecoveryPlanning業務持續性和災難恢復計劃
4、Cryptography信息加密
5、InformationSecurityandRiskManagement信息安全和風險管理
6、Legal、Regulation、ComplianceandInvestigation法律、法規、調查
7、OperationsSecurity操作安全
8、Physical(Environment)Security物理(環境)安全
9、SecurityArchitectureandDesign安全架構和設計
10、TelecommunicationandNetworkSecurity通訊和網絡安全
CISSP認證以考察考生對信息安全技術掌握的全面程度而著稱,這10個CBK裏面幾乎全部包含了當前信息安全領域的知識。不過CISSP的試題難度並不是大家想象中那麼難,排除語言的原因之外(CISSP試題是全英文的),幾年安全從業經驗再加上考前抽時間認真複習,一次通過考試的機率還是挺大的。用一個最恰當的句子來形容CISSP的考試,就是“Onemilewide,Oneinchdeep“,考試範圍之廣和試題的難易程度可見一斑。
(ISC)2是信息安全領域的頂級認證機構之一,成立於1989年,到現在已經給超過120個國家的五萬多名安全專家授予了相關認證。(ISC)2目前提供如下6種認證:
SSCP(System Security Certificated Practitioner)認證系統安全實踐者
CAP(Certification and Accreditation Professional)認證和評估專家
CISSP (Certificated Information System Security Professional) 認證信息系統安全專家
CISSP的升級版本CISSP-ISSAP(Information System Security Architecture Professional) 信息系統安全架構專家
CISSP-ISSMP(Information System Security Management Professional)信息系統安全管理專家
CISSP-ISSEP(Information System Security Engineering Professional)信息系統安全工程專家
(ISC)2同時也向公衆提供信息安全方面的教育和諮詢服務。(ISC)2的官方網站是[url]http://www.isc2.org[/url]
(ISC)2提供的6種認證中,知名度最高和持有者人數最多的是CISSP。截至2007年4月底,全球共有48598名CISSP,其中人數最多的是美國,現有30385名,中國大陸有371名。因爲CISSP的升級版本ISSAP和ISSMP要求考試的報名者必須是CISSP,而且有一定的相關領域工作經驗要求,所以在國內除了香港18名臺灣4名持有者之外,大陸還沒有持有者。至於(ISC)2較爲低端的SSCP和CAP認證,由於其定位和考覈內容的原因,在國際上的接受程度不高,所以除了美加兩國外,其他國家的持有者都很少。
CISSP認證是國際上最權威、最受認可的信息安全認證,它同時也是信息安全領域第一個通過ISO17024:2003標準的認證。CISSP主要的認證對象爲在企業處於中高層、已經或將成爲CISO(ChiefInformationSecurityOfficer)、CSO(ChiefSecurityOfficer)或高級安全工程師的信息安全專家。
CISSP認證的考覈範圍包括10個方向,稱爲CBK(CommonBodyofKnowledge)以下按首字母排序:
1、AccessControl訪問控制
2、ApplicationSecurity應用安全(包括開發)
3、BusinessContinuityandDisasterRecoveryPlanning業務持續性和災難恢復計劃
4、Cryptography信息加密
5、InformationSecurityandRiskManagement信息安全和風險管理
6、Legal、Regulation、ComplianceandInvestigation法律、法規、調查
7、OperationsSecurity操作安全
8、Physical(Environment)Security物理(環境)安全
9、SecurityArchitectureandDesign安全架構和設計
10、TelecommunicationandNetworkSecurity通訊和網絡安全
CISSP認證以考察考生對信息安全技術掌握的全面程度而著稱,這10個CBK裏面幾乎全部包含了當前信息安全領域的知識。不過CISSP的試題難度並不是大家想象中那麼難,排除語言的原因之外(CISSP試題是全英文的),幾年安全從業經驗再加上考前抽時間認真複習,一次通過考試的機率還是挺大的。用一個最恰當的句子來形容CISSP的考試,就是“Onemilewide,Oneinchdeep“,考試範圍之廣和試題的難易程度可見一斑。
但試題的簡單並不說明CISSP的試題可以輕鬆搞定,因爲,即使沒有語言障礙,考前也經過充分的複習,拿到試卷後考生會發現CISSP的考試將是一場嚴峻的考驗——在6個小時內,考生需要完成250道選擇題,平均每道選擇題只有一分半鐘的時間可以思考,而且由於CISSP考試使用標準化答卷,考生要留出大概半個小時的時間把答案填到答卷上,事實上考生用來完成每道題的時間只有一分鐘左右。CISSP考試也不是光靠死記硬背複習資料就能解決的,大部分題目都是給出現實中的一個場景,讓考生分析後再選出正確的答案,有些迷惑性比較強的題目不是4選1,而只能憑感覺在2個相似答案中選其一。
每次CISSP考試的通過率都不算低,但還是有大概一半的考生無法通過考試。他們並不是說個人能力有問題,很大程度上還是因爲CISSP考試考察的範圍太廣。儘管如此,J0ker依然相信,即使他們沒有通過CISSP的考試,但通過學習CISSP的課程,他們對信息安全的知識水平和整體把握能力都會有一個較大的提升,這將成爲他們安全從業經歷中一份不可多得的寶貴經驗。
每次CISSP考試的通過率都不算低,但還是有大概一半的考生無法通過考試。他們並不是說個人能力有問題,很大程度上還是因爲CISSP考試考察的範圍太廣。儘管如此,J0ker依然相信,即使他們沒有通過CISSP的考試,但通過學習CISSP的課程,他們對信息安全的知識水平和整體把握能力都會有一個較大的提升,這將成爲他們安全從業經歷中一份不可多得的寶貴經驗。