我的CISSP培训教学体验.docVIP

我的CISSP培训教学体验 作者：谷安天下CISSP讲师 陈岌 引子 我一直从事信息安全咨询以及CISSP等信息安全培训工作，2005年10月，我在上海通过CISSP考试的，从最开始接触CISSP到现在，我和CISSP的缘分就没有断过，这些年的工作不断加深我对信息安全的理解，同时作为信息安全的从业人员以及CISSP培训授课的需要，不断追踪并同时体验着信息安全领域技术和管理方面的必威体育精装版变化。都说教学相长，这话真是太有道理了，一直想用文字记录我的CISSP的教学体验，现在在北京谷安天下科技有限公司（简称：谷安天下）任职CISSP讲师，得培训部委托，今天总算动笔，跟大家一起分享。本文适合CISSP有一定了解的专业人员。 CISSP CBK的特点 CISSP作为当前全球信息安全行业最受推崇的高端个人资质认证，其权威和口碑已经是无容置疑。在此，从我的体验和认识的角度去简单分析这个认证为什么能担此殊荣。 核心特点：广而不深 大家都知道是CISSP 的CBK（Common Bady of Knowledge,公共知识库）共有十个知识域，从(ISC)2每年发布的CIB（Candinates Information Bulltin应试信息公告）中来看，每年的CBK的十个知识域的名字都有些区别，这些区别体现了信息安全领域的必威体育精装版的变化，但是主要的知识点变化不大，这点我将在下文中有详细讲述，在此，我仅仅列出2007年(ISC)2发布的官方备考指南一书（跟当年CIB中所列一致）中列出，如下图所示： 从以上10个知识域中，我们可以看出，CISSP的CBK可以说涵盖了信息安全领域所需所有的知识，可以说是十分广泛的。下面，我将从另外一个侧面来说明CBK的广泛性。大家都知道，目前企业一般都会参照ISO17799:2005信息安全管理体系实践细则来帮助企业建立信息安全控制体系，究其原因就是ISO17799里包含了非常全面的领域，这已经从实践当中得到佐证，我亦无须多言。ISO17799的控制域如下图： 下面，我将把CISSP CBK同ISO17799:2005的控制域做个对应，尽管两个体系的基础不同，CBK强调的是知识域，从基础的层面上划分的，而ISO17799强调的控制域，从实践的层面上划分，但是无论从哪个层面上划分，其本质是还是对“信息安全”的解读。因此，我们这种对应能够帮助我们说明问题。如下图所示： 从以上对应图可以看出CISSP CBK确实非常的广。自从我认证研读完CISSP的CBK之后，我发现我的信息安全认识突然变得宽阔起来，尽管我在大学时的专业是信息安全，我看待和解决信息安全不再是防火墙、防病毒以及IDS老三样了，而是一个全新的更为广泛、全面而立体的视角。看到这里，也许有人就有疑问，如此广泛的知识领域，安全知识犹如浩瀚海洋，对于应试者来说，岂不是只有望洋兴叹的份了。非也，(ISC)2 要求应试者对CBK的掌握仅仅要求在概念的层次。有一句话来概括CBK的广度和深度非常合适：一英里宽，一英尺深。因此，大家在准备CISSP考试时，一定要把握这个特点，切忌深入细节，得不偿失。到这里，也学有人会说，这CISSP的考试就简单啦，其实也并非如此，(ISC)2通过一系列的手段来提高考试门槛，比如在07年就改为由以前的4年工作经验改为5年的工作经验，增加考试难度，比如长达6个小时250道选择题，以保持证书的含金量。 重要特点：与时俱进 与时俱进的特点体现在以下几个方面，CISSP CBK每年都会更新，体现了信息安全技术的必威体育精装版变化以及信息安全实践的必威体育精装版成果，就这点，我将在下文“CBK近年来的变化”详细阐述；CISSP的考试中会包含25道不记分也不标记的研究试题；持有CISSP证书的专业人员每年都必须获得CPE（Continuing Professional Education）学分,CPE的获得就要求证书持有者参加专业会议，参加专业培训等等以保持专业性和时代性。 CBK核心知识点 整个CISSP CBK的知识点实在太多，CBK是由全球信息安全领域的精英和专家共同编写和维护的知识库，体现了集体的智慧，而我这里所谓“核心知识点”难免有些管中窥豹的局限，在此也希望信息安全的精英大拿们批评指正。另外，我对“核心知识点”做如下定义：所谓核心知识就是基础知识中的基础知识。 大家都知道IATF（Information Assurance Technology Framework,信息保障技术框架）是美国国家安全局提出，为保护美国政府和工业界的信息与信息技术设施提供技术指南。IATF从整体、过程的角度看待信息安全问题，其代表理论 为“深度防护战略（Defense-in-Depth）”。IATF强调人、技术、操作这三