20 CISSP的成长之路.docx
- 文档编号:30685277
- 上传时间:2023-08-19
- 格式:DOCX
- 页数:16
- 大小:32.11KB
20 CISSP的成长之路.docx
《20 CISSP的成长之路.docx》由会员分享,可在线阅读,更多相关《20 CISSP的成长之路.docx(16页珍藏版)》请在冰豆网上搜索。
20CISSP的成长之路
CISSP的成长之路
(一):
CISSP简要介绍
1、CISSP的成长之路
(一):
CISSP简要介绍
网络圈中的工程师大概都知道思科的CCIE认证。
如果有谁说自己没听过CCIE,那就好象在说自己是外星人一样。
同样,在信息安全圈中,也有权威的国际认证,那就是CISSP“CertifiedInformationSystemSecurityProfessional”(信息系统安全认证专家)。
关于《怎样成为一名CISSP》的初衷
本文作者J0ker是在安全圈中混迹多年的安全专家,他将自己求学CISSP的亲身经历整理成《CISSP的成长之路》系列文章,用J0ker的话说,出文章的目的最主要是想把自己的经验与广大网友分享,同时也纪念自己从业以来的一些经历。
J0ker的话很精练,之前在51CTO.com安全频道推出了自己的很多文章,现在安全频道的每周信息安全要闻回顾栏目就是他主持的,我想J0ker出《CISSP的成长之路》系列,也是对他自己的另一种鞭策。
《CISSP的成长之路》将由15到20篇文章组成。
其中详细的介绍了CISSP的相关知识、认证备考经过和心得,另外J0ker还会从CISSP的角度,向大家简单介绍信息安全的组成。
希望《CISSP的成长之路》能给大家都带来帮助。
最后引用一句J0ker常说的话:
你们的支持就是我不断努力向前的动力:
)
正文
作为《CISSP的成长之路》系列的第一篇文章,J0ker打算先简要向读者介绍一下CISSP的背景知识,下面我们先来看CISSP认证的颁发机构(ISC)2:
(ISC)2是信息安全领域的顶级认证机构之一,成立于1989年,到现在已经给超过120个国家的五万多名安全专家授予了相关认证。
(ISC)2目前提供如下6种认证:
SSCP(SystemSecurityCertificatedPractitioner)认证系统安全实践者
CAP(CertificationandAccreditationProfessional)认证和评估专家
CISSP(CertificatedInformationSystemSecurityProfessional)认证信息系统安全专家
CISSP的升级版本CISSP-ISSAP(InformationSystemSecurityArchitectureProfessional)信息系统安全架构专家
CISSP-ISSMP(InformationSystemSecurityManagementProfessional)信息系统安全管理专家
CISSP-ISSEP(InformationSystemSecurityEngineeringProfessional)信息系统安全工程专家
(ISC)2同时也向公众提供信息安全方面的教育和咨询服务。
(ISC)2的官方网站是http:
//www.isc2.org
(ISC)2提供的6种认证中,知名度最高和持有者人数最多的是CISSP。
截至2007年4月底,全球共有48598名CISSP,其中人数最多的是美国,现有30385名,中国大陆有371名。
因为CISSP的升级版本ISSAP和ISSMP要求考试的报名者必须是CISSP,而且有一定的相关领域工作经验要求,所以在国内除了香港18名台湾4名持有者之外,大陆还没有持有者。
至于(ISC)2较为低端的SSCP和CAP认证,由于其定位和考核内容的原因,在国际上的接受程度不高,所以除了美加两国外,其他国家的持有者都很少。
CISSP认证是国际上最权威、最受认可的信息安全认证,它同时也是信息安全领域第一个通过ISO17024:
2003标准的认证。
CISSP主要的认证对象为在企业处于中高层、已经或将成为CISO(ChiefInformationSecurityOfficer)、CSO(ChiefSecurityOfficer)或高级安全工程师的信息安全专家。
CISSP认证的考核范围包括10个方向,称为CBK(CommonBodyofKnowledge)以下按首字母排序:
1、AccessControl访问控制
2、ApplicationSecurity应用安全(包括开发)
3、BusinessContinuityandDisasterRecoveryPlanning业务持续性和灾难恢复计划
4、Cryptography信息加密
5、InformationSecurityandRiskManagement信息安全和风险管理
6、Legal、Regulation、ComplianceandInvestigation法律、法规、调查
7、OperationsSecurity操作安全
8、Physical(Environment)Security物理(环境)安全
9、SecurityArchitectureandDesign安全架构和设计
10、TelecommunicationandNetworkSecurity通讯和网络安全
CISSP认证以考察考生对信息安全技术掌握的全面程度而著称,这10个CBK里面几乎全部包含了当前信息安全领域的知识。
不过CISSP的试题难度并不是大家想象中那么难,排除语言的原因之外(CISSP试题是全英文的),几年安全从业经验再加上考前抽时间认真复习,一次通过考试的几率还是挺大的。
用一个最恰当的句子来形容CISSP的考试,就是“Onemilewide,Oneinchdeep“,考试范围之广和试题的难易程度可见一斑。
但试题的简单并不说明CISSP的试题可以轻松搞定,因为,即使没有语言障碍,考前也经过充分的复习,拿到试卷后考生会发现CISSP的考试将是一场严峻的考验——在6个小时内,考生需要完成250道选择题,平均每道选择题只有一分半钟的时间可以思考,而且由于CISSP考试使用标准化答卷,考生要留出大概半个小时的时间把答案填到答卷上,事实上考生用来完成每道题的时间只有一分钟左右。
CISSP考试也不是光靠死记硬背复习资料就能解决的,大部分题目都是给出现实中的一个场景,让考生分析后再选出正确的答案,有些迷惑性比较强的题目不是4选1,而只能凭感觉在2个相似答案中选其一。
每次CISSP考试的通过率都不算低,但还是有大概一半的考生无法通过考试。
他们并不是说个人能力有问题,很大程度上还是因为CISSP考试考察的范围太广。
尽管如此,J0ker依然相信,即使他们没有通过CISSP的考试,但通过学习CISSP的课程,他们对信息安全的知识水平和整体把握能力都会有一个较大的提升,这将成为他们安全从业经历中一份不可多得的宝贵经验。
2、为什么要获得CISSP认证
第一个问题,为什么要获得CISSP呢?
信息安全是一个相对的概念,在安全威胁很低的情况下,安全专家通常是被人们所遗忘的对象。
但随着信息技术的发展,当年只有精通系统和网络底层,推动技术进步的高手才能被称为黑客,现在随便一个会用网络的再随便找些入侵工具也自称为黑客,技术门槛的降低和对技术的追求转化为对金钱的追逐——越来越多的入侵事件、恶意软件的传播、还有时不时出现在媒体上的高智商犯罪等就是这些所谓“后起之秀”的杰作。
面对越来越严重的安全威胁,不单在IT技术领域,在各行业的企业组织都越来越意识到信息安全的重要性,但单纯依靠技术方案来并不能解决如何保护企业信息资产的问题,所以市场对专业的信息安全人才的需求也在随之大大增加。
而CISSP则可以证明持有者掌握国际公认的信息安全知识和标准、并拥有丰富的安全从业经验,保持CISSP认证的有效性还可以显示持有者对信息安全的发展和技术进步有很高的热情,并愿意为信息安全贡献自己的一份力量。
此外,获得CISSP认证还有其他的好处,比如:
1、适应市场中越来越热的对信息安全人才的需求
2、增加对信息安全的知识和概念的理解
3、为当前的工作增加信息安全的理念
4、在日益激烈的职场竞争中增强自身优势
5、在薪水增长和职务提升上更有优势
J0ker是2004年听朋友(国内最早的CISSP之一)说起CISSP是国际上最权威的信息安全认证,也觉得应该要提升一下自己的层次,所以就开始注意上这个认证,但因为种种原因,一直到今年才考。
之前一直认为CISSP只是单纯的技术认证,但接触上之后才发现,CISSP其实是涵盖了信息安全的各个方面,着重突出了信息安全是由技术和管理构成的整体这一观点,J0ker在学习CISSP的过程中受益颇多,不单巩固了和自己工作相关的AccessControl、OperationSecurity和Telecommunication&NetworkSecurity三个CBK的知识,同时好好的补充了其他七个CBK的知识,也对CISSP认证所强调的整体安全和管理高于技术两个观点有了深刻的体会。
学习CISSP,本身就是一个对学习者安全知识体系进行完善的过程,相信其他CISSP或学习过CISSP的读者也有相似的体会。
OK,我们转到下一个问题,CISSP都从事什么工作?
先说说国外的情况,以美国为例,刚拿到CISSP认证的人,在企业中大多从事安全管理员、安全产品的开发或安全服务的具体执行工作,头衔一般就是SecurityAdministrator、SecurityAnalyst或SecurityEngineer。
随着工作经验的增加,CISSP会渐渐脱离具体的技术工作,转而从事更偏重管理、处于企业中层的工作,比如安全产品开发团队或安全服务团队的领导、安全咨询、安全培训讲师和安全部门经理等,头衔则变为SeniorSecurityAnalyst/Engineer、SecurityTeamLeader、SecurityConsultant、SecurityManager等。
最后,CISSP会进入企业管理高层,管理整个企业的信息安全或IT,头衔则变为DirectorofIT/Securitydepartment、ChiefSecurityOfficer或ChiefInformationSecurityOfficer。
国内的情况稍有不同,除了少部分CISSP做的是安全产品/服务的售前/售后和安全工程师外,有相当一部分CISSP是从事安全咨询、培训方面的工作,更多的是处于企业中高层管理的位置,读者如果有兴趣了解更详细的情况的话,可以从(ISC)2官方站点上的MemberDirectory功能中查询。
最后说说大家最感兴趣的CISSP薪水问题,因为国内CISSP薪水的总体情况J0ker也不是很了解,在此就借用(ISC)22006年度的官方报告来说一下,CISSP薪水水平的分布成金字塔型,职务越高薪水越高,人数也越少。
还是以美国为例,2006年CISSP的平均年收入为:
ITAdministrator:
$45000-$55000
InformationSecurityAdministrator:
$75000
SecurityAnalyst/Engineer:
$80000
Manager,InformationSecurity:
$100000
CISO,CSO:
$150000及以上
另外,国内和国外相同的一点是,拿到CISSP认证之后通常待遇都会有所提升。
3、怎样获得CISSP认证
(1)
J0ker打算在从本文开始的3个文章中,从参加CISSP认证考试的条件及报名流程、CISSP考试的过程和应注意的问题和CISSP考试通过后的取得认证的手续及CISSP认证的维护这三个方面来向大家介绍。
一、参加CISSP认证考试的条件:
根据(ISC)2目前的CISSP考试需求,考试的报名者需要具备信息安全领域涉及1个或以上CBK的4年工作经验,注意这个工作经验指的是信息安全领域的全职工作经验,兼职的不能算,(ISC2)认可的工作经验,指报名者在信息安全领域作为实践者、审计师、咨询、工程师等需要有直接的信息安全知识支持的工作经历。
如果报名者有本科及以上学历或拥有(ISC)2认可的认证证书,工作经验的要求可以降为3年,但报名者只能通过学历或认证证书减少1年的工作经验要求,并不能同时使用学历和认证证书以减少工作经验要求为2年。
(ISC)2认可的可以减少1年工作经验的证书中,常见的有MCSE、CISA、CISM及一些比较少见的安全认证,有兴趣的读者可以从(ISC)2的官方站点上https:
//www.isc2.org/cgi-bin/content.cgi?
page=1016获得更详细的列表。
如果读者对CISSP认证很有兴趣,但工作经验又达不到(ISC)2的要求,怎么办?
不要气馁,(ISC)2专门为这种情况的考试者设立了一个称为“Associateof(ISC)2”的头衔,考试者在通过CISSP考试,在实际工作中积累足够年限的工作经验,便可向(ISC)2申请升级为正式的CISSP。
不过要注意的是,(ISC)2在五月份修改了CISSP认证考试对报名者的工作经验要求,从2007年的10月1日开始,原来的4年全职工作经验要求增加到5年,工作中要涉及到的CBK数目的要求则从至少一个增加为至少两个。
报名者依然可以通过学历和认证证书来减少1年的工作经验要求,认证证书列表和年限放宽的限制和原来一样。
CISSP认证考试的报名者在填写报名表之前,还需要同意(ISC)2的认证考试的付款、退款、重付款的规则和考试保密协议及试卷的版权协议,还有最重要的,(ISC)2的CISSP道德准则(CodeofEthic)。
另外,报名者在填写报名表时,还需要回答4个关于是否有犯罪记录背景的问题。
相信大家在以上的工作经验要求和个人背景要求都没有问题,CISSP的道德守则就是要求CISSP有诚实的品质,大家按自己的真实情况进行填写即可。
二、CISSP认证考试的报名流程:
目前CISSP考试在中国有三个考点,北京的清华大学网络研究中心、上海的交大信息安全学院和广州的软银数码港酒店,大家可以根据自己的方便程度来选择考点。
CISSP考证只能由报名者自己向(ISC)2报名,(ISC)2并没有提供代理报名的方式,这一点请大家注意。
目前(ISC)2提供2种CISSP考试的报名方式,在线报名和离线邮件/传真报名。
前者适合上网方便、有信用卡的报名者,后者则比较适合没有信用卡的报名者。
在线报名的网址是:
https:
//www.isc2.org/cgi-bin/cissp_register.cgi?
examdateid=2877
离线报名方式需要报名者到(ISC)2网站上下载报名表,按表上要求填写后邮寄或传真到表格上所写明的地址。
亚洲区域的报名者使用以下地址的报名表:
https:
//www.isc2.org/download/ExamRegistrationFormAsia.pdf
J0ker在这里要提一下,因为邮寄或传真有可能有延时,所以建议报名者尽量采用在线报名的方式注册CISSP考试。
报名者在选择报名方式的同时也选择了考试费的支付方式,如果是在线报名方式,报名者需要用信用卡支付,请确保信用卡的可用额度足以支付报名费用,使用支持RMB和美元的双币信用卡即可,比如招商银行的信用卡。
另外,没有信用卡的报名者还可以请别人代为支付,按在线报名表格的要求填写信用卡信息就可以了,但听有的朋友说请别人用某些银行的信用卡代为支付的时候,会因为(ISC)2提供的支付回执上写的是报名者的名字而非信用卡主人的名字,从而导致支付失败。
J0ker报名也遇到的这种情况,支付回执上写的就是J0ker的名字而不是信用卡主人的名字,但支付是成功的,当时用的就是招行的信用卡。
对于没有信用卡的报名者来说,还有一种方法可以付款,那就是到银行去购买一张汇票(Draft),填写好相关信息后和打印出来填写好的报名表一块邮寄到(ISC)2香港办事处就可以了,不过这种方法会比较耗时。
CISSP考试的报名费在预定考试15天之前支付为499美元,15天之内为599美元。
如果报名者因为各种原因需要取消或改时间考试,则需要最少比考试提前15天用书面通知(ISC)2,并且还要支付100美元的退考费或改时间考试费。
如果某一次考试的报名人数超过了考场可以容纳的最大人数,(ISC)2会根据报名费的到达顺序按先到先得的原则安排考试。
三、最后J0ker带大家简单走一下CISSP考试在线报名的流程
进入(ISC)2的官方站点
打开(ISC)2考试预约页面,地址为:
https:
//www.isc2.org/cgi/exam_schedule.cgi
在出现的页面上可以按照考试的城市、国家或月份进行查询,我们选国家为China,搜索列出当前年份将在中国进行的CISSP考试,然后在随后的两个页面中选择考试的时间(Register)及考试的类型(CISSP)
下一个页面就是(ISC)2的考试收费规则、保密协议和道德准则,请报名者先仔细阅读,同意的话按底下的“Iagree”按钮继续
报名表填写:
第一栏的PersonalInformation和第二栏的BusinessInformation就是报名者的个人信息、联系信息,按规定填写即可。
有2个细节需要注意一下,第一个是姓名填写的地方,Title就填Mr、Miss之类的,LastName填名,FamilyName填姓,报名者不用担心倒过来写在考试时会遇到麻烦,监考官手上的名单的考试者名字顺序是对的。
另外一个细节是BusinessInformation的最底一行有选择HomeAddress或BusinessAddress的选项,这个选项决定(ISC)2按哪个地址和报名者进行E-mail的联系和证书的寄送,请报名者确保填写的地址有效。
接着就是报名者的背景信息,第三项是上面说过的是否有犯罪背景和报名者是否曾经持有CISSP认证,第四项是报名者的工作经验和学历,按实际情况填写即可。
不过要注意CBK的填写是多少个月从事什么CBK的工作,总CBK工作的时长应该满足(ISC)2所规定的CISSP考试的工作经验需求。
再下来就是考试地点选择和信用卡付款信息,选好考试时间和地点、试卷语言、支付币种,再根据信用卡信息填妥,检查一遍。
确认无误之后,就可以点击页面最下方的”Sumit“提交报名表格和支付考试费。
注意不要多次点击提交按钮或重复提交表单,否则就会造成多次支付。
提交成功后,页面会重定向到一个支付回执页面,上面是报名者信息、支付款项和考试协议,最好用网页另存为将它保存下来。
报名者还需要将它打印出来,签上自己的名字,考试时需要给监考官看,以证明报名者同意考试协议。
另外,交易成功后,(ISC)2会发送一个OrderConfirmation邮件,确认报名者已经交款成功。
在第二天(ISC)2还会发送一个AdmissionLetter,里面就是报名者的准考证,上面有考号、考场位置、考试时间等内容,报名者也需要把它打印出来保存好,考试时同样需要带到考场。
至此,CISSP考试的报名即告完成。
4、怎样获得CISSP认证
(2)
接下来J0ker打算先介绍CISSP考试的进行情况和考试通过后的手续,然后再用10个文章的篇幅详细介绍读者最关心的CISSP考试的备考。
在本文中大家可以了解到CISSP考试需要做的准备和考试中应当注意的问题:
考试前的食、住、行
CISSP考试在国内的考点只有北京、上海和广州三地,常有不少外地考生参加CISSP,因此参加CISSP考试首先要考虑的是交通问题,对本地考生来说这个问题同样需要考虑。
以J0ker参加的在上海举行的CISSP考试为例,考场在位于浦东张江高科的上海交大信息安全学院,从市内到考场需要坐地铁到终点站,下地铁后还需要换乘一趟区县公交车,全程约需一个半小时左右。
而CISSP考试的时间是从上午9点开始,8点半之前就要进场,也就是说,如果是从市内出发去考场,考生6点刚过就要起床,然后匆忙洗刷之后就要赶车去考场,这样很容易影响到考试的状态,当然,如果考生自己有车就很方便了。
更好一点的选择是提前在考场附近找住的地方,这样次日早上考生就不需要起那么早,对考试状态的保持更有好处。
说了CISSP考试的住和行的问题,食的问题也相当重要,如果考生选择在考点附近找地方住,就得考虑晚上吃饭是否方便,第二天考前的早餐吃什么。
还是以上海考点为例,因为张江高科是高科技工业园区,超市和饭馆只有在地铁站附近才有,而第二天早上出去吃早餐时间很紧,所以当时J0ker就提前买好了面包和牛奶冲到早餐。
另外,由于CISSP考试的时间很长,从上午9点到下午3点,正好跨过午饭时间,考生还得准备好饮料和食物。
虽然CISSP考试允许考试时考生离座到考场的后面吃东西,但体积较小,不会污染试卷的食物是允许在座位中吃的,建议考生最好准备巧克力、肉干等食物,可以边吃边继续考虑试卷上的考题,而不用浪费宝贵的答题时间。
至于饮料就看各人口味了,推荐清淡一点的茶饮料或水,既解渴又有轻微的提神作用。
考生还需要携带最重要的考试材料:
(ISC)2提供的RegistrationConfirmation和AdmissionLetter,考生在(ISC)2站点上注册考试并经过(ISC)2确认后,(ISC)会通过E-mail提供这两份材料,考生自己打印出来并签上名字。
考生还需随身带着带照片的证件,(ISC)2认可的有身份证或者驾照,如果没有上述材料,考生将不允许参加考试。
另外,考生最好再准备2支2B铅笔(考场也会提供,(ISC)2牌2B铅笔…不过自己备上总是好的),1块比较软的橡皮,还有一本英汉词典,(ISC)2规定母语非英语的考生可以使用词典,但词典只能够是Wordtoword对词翻译的,不允许使用电子词典类的工具,牛津之类的词典即可。
考试用的材料物品准备好,去考场的行程计划好之后,就可以放松一下自己的心情了。
CISSP考试说到底也只是一次普通考试而已,用不着对它很紧张,紧张反而会影响考试状态的。
考前的晚上可以早点睡,随便看看考试参考材料也可以缓解一下紧张的情绪,J0ker推荐看看《CISSPAllinOne》的每个章节后的QuickTips,既可以对CISSP各CBK里面的关键知识点进行回顾,量也不至于太多。
或者也可以稍微做点题练练手,找一下考试做题的感觉。
CISSP考试在上午9点开始,考生需要在8点半之前到考场,进场之后可以先找个地方把自己的物品放下,休息一下或者上洗手间什么的。
J0ker当时参加的CISSP上海考试是这样的:
上海考场设在在上海交大安全学院的一个教室,J0ker是8点10分的样子到场,当时考官还没有来,大概有10多个考生在里面,聊天或自己看资料。
8点20分,2个考官进场,看起来像是上海交大的老师(也有可能是参加监考的CISSP志愿者),所有的考生在8点30分之前都到场了。
8点30分至50分,考官检查考生的证件、(ISC)2提供的材料、并按照之前排好的座位给考生安排座位,考生进行签到。
其中出了个小小的意外,有个考生一直没有收到AdmissionLetter,而负责(ISC)2亚洲区联络事务的(ISC)2香港正好换负责人,也一直联络不上,拿不到AdmissionLetter,不过考生跟考官沟通了一下就解决问题了,考官手上的名单中有这个考生的名字和考试号,考生拿到考号就可以参加考试。
如果有朋友在参加CISSP考试时遇到这样的问题,可以尝试下和考官沟通下,一般都可以解决的。
8点50分,考官分发试卷、答题卡,考生就可以按照试卷上的说明,填好考号、试卷号、地址等信息,签署考试保密协议。
一位考官用中文和英文宣读考试注意事项,另一位考官则进行巡查,帮助考生解决填涂试卷信息的问题。
考生要特别注意这些试卷信息的填涂,要是填错的话,就拿不到成绩了。
上午9点钟,CISSP考试正式开始,考生就可以打开试卷了,打开试卷证明考生同意(ISC)2的保密协议和考试守则,如果考生不同意,不要打开并
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 20 CISSP的成长之路 CISSP 成长