我的CISSP培训教学体验.docVIP

我的CISSP培训教学体验 作者：谷安天下CISSP讲师 陈岌 引子 我一直从事信息安全咨询以及CISSP等信息安全培训工作，2005年10月，我在上海通过CISSP考试的，从最开始接触CISSP到现在，我和CISSP的缘分就没有断过，这些年的工作不断加深我对信息安全的理解，同时作为信息安全的从业人员以及CISSP培训授课的需要，不断追踪并同时体验着信息安全领域技术和管理方面的最新变化。都说教学相长，这话真是太有道理了，一直想用文字记录我的CISSP的教学体验，现在在北京谷安天下科技有限公司（简称：谷安天下）任职CISSP讲师，得培训部委托，今天总算动笔，跟大家一起分享。本文适合CISSP有一定了解的专业人员。 CISSP CBK的特点 CISSP作为当前全球信息安全行业最受推崇的高端个人资质认证，其权威和口碑已经是无容置疑。在此，从我的体验和认识的角度去简单分析这个认证为什么能担此殊荣。 核心特点：广而不深 大家都知道是CISSP 的CBK（Common Bady of Knowledge,公共知识库）共有十个知识域，从(ISC)2每年发布的CIB（Candinates Information Bulltin应试信息公告）中来看，每年的CBK的十个知识域的名字都有些区别，这些区别体现了信息安全领域的最新的变化，但是主要的知识点变化不大，这点我将在下文中有详细讲述，在此，我仅仅列出2007年(ISC)2发布的官方备考指南一书（跟当年CIB中所列一致）中列出，如下图所示： 从以上10个知识域中，我们可以看出，CISSP的CBK可以说涵盖了信息安全领域所需所有的知识，可以说是十分广泛的。下面，我将从另外一个侧面来说明CBK的广泛性。大家都知道，目前企业一般都会参照ISO17799:2005信息安全管理体系实践细则来帮助企业建立信息安全控制体系，究其原因就是ISO17799里包含了非常全面的领域，这已经从实践当中得到佐证，我亦无须多言。ISO17799的控制域如下图： 下面，我将把CISSP CBK同ISO17799:2005的控制域做个对应，尽管两个体系的基础不同，CBK强调的是知识域，从基础的层面上划分的，而ISO17799强调的控制域，从实践的层面上划分，但是无论从哪个层面上划分，其本质是还是对“信息安全”的解读。因此，我们这种对应能够帮助我们说明问题。如下图所示： 从以上对应图可以看出CISSP CBK确实非常的广。自从我认证研读完CISSP的CBK之后，我发现我的信息安全认识突然变得宽阔起来，尽管我在大学时的专业是信息安全，我看待和解决信息安全不再是防火墙、防病毒以及IDS老三样了，而是一个全新的更为广泛、全面而立体的视角。看到这里，也许有人就有疑问，如此广泛的知识领域，安全知识犹如浩瀚海洋，对于应试者来说，岂不是只有望洋兴叹的份了。非也，(ISC)2 要求应试者对CBK的掌握仅仅要求在概念的层次。有一句话来概括CBK的广度和深度非常合适：一英里宽，一英尺深。因此，大家在准备CISSP考试时，一定要把握这个特点，切忌深入细节，得不偿失。到这里，也学有人会说，这CISSP的考试就简单啦，其实也并非如此，(ISC)2通过一系列的手段来提高考试门槛，比如在07年就改为由以前的4年工作经验改为5年的工作经验，增加考试难度，比如长达6个小时250道选择题，以保持证书的含金量。 重要特点：与时俱进 与时俱进的特点体现在以下几个方面，CISSP CBK每年都会更新，体现了信息安全技术的最新变化以及信息安全实践的最新成果，就这点，我将在下文“CBK近年来的变化”详细阐述；CISSP的考试中会包含25道不记分也不标记的研究试题；持有CISSP证书的专业人员每年都必须获得CPE（Continuing Professional Education）学分,CPE的获得就要求证书持有者参加专业会议，参加专业培训等等以保持专业性和时代性。 CBK核心知识点 整个CISSP CBK的知识点实在太多，CBK是由全球信息安全领域的精英和专家共同编写和维护的知识库，体现了集体的智慧，而我这里所谓“核心知识点”难免有些管中窥豹的局限，在此也希望信息安全的精英大拿们批评指正。另外，我对“核心知识点”做如下定义：所谓核心知识就是基础知识中的基础知识。 大家都知道IATF（Information Assurance Technology Framework,信息保障技术框架）是美国国家安全局提出，为保护美国政府和工业界的信息与信息技术设施提供技术指南。IATF从整体、过程的角度看待信息安全问题，其代表理论 为“深度防护战略（Defense-in-Depth）”。IATF强调人、技术、操作这三