20 CISSP的成长之路

CISSP的成长之路（一）：CISSP简要介绍1、CISSP的成长之路（一）：CISSP简要介绍网络圈中的工程师大概都知道思科的CCIE认证。如果有谁说自己没听过CCIE，那就好象在说自己是外星人一样。同样，在信息安全圈中，也有权威的国际认证，那就是CISSP“CertifiedInformationSystemSecurityProfessional”（信息系统安全认证专家）。关于《怎样成为一名CISSP》的初衷本文作者J0ker是在安全圈中混迹多年的安全专家，他将自己求学CISSP的亲身经历整理成《CISSP的成长之路》系列文章，用J0ker的话说，出文章的目的最主要是想把自己的经验与广大网友分享，同时也纪念自己从业以来的一些经历。J0ker的话很精练，之前在51CTO.com安全频道推出了自己的很多文章，现在安全频道的每周信息安全要闻回顾栏目就是他主持的，我想J0ker出《CISSP的成长之路》系列，也是对他自己的另一种鞭策。《CISSP的成长之路》将由15到20篇文章组成。其中详细的介绍了CISSP的相关知识、认证备考经过和心得，另外J0ker还会从CISSP的角度，向大家简单介绍信息安全的组成。希望《CISSP的成长之路》能给大家都带来帮助。最后引用一句J0ker常说的话：你们的支持就是我不断努力向前的动力：）正文作为《CISSP的成长之路》系列的第一篇文章，J0ker打算先简要向读者介绍一下CISSP的背景知识，下面我们先来看CISSP认证的颁发机构（ISC）2：（ISC）2是信息安全领域的顶级认证机构之一，成立于1989年，到现在已经给超过120个国家的五万多名安全专家授予了相关认证。（ISC）2目前提供如下6种认证：SSCP（SystemSecurityCertificatedPractitioner）认证系统安全实践者CAP（CertificationandAccreditationProfessional）认证和评估专家CISSP(CertificatedInformationSystemSecurityProfessional)认证信息系统安全专家CISSP的升级版本CISSP-ISSAP(InformationSystemSecurityArchitectureProfessional)信息系统安全架构专家CISSP-ISSMP（InformationSystemSecurityManagementProfessional）信息系统安全管理专家CISSP-ISSEP（InformationSystemSecurityEngineeringProfessional）信息系统安全工程专家（ISC）2同时也向公众提供信息安全方面的教育和咨询服务。(ISC)2的官方网站是（ISC）2提供的6种认证中，知名度最高和持有者人数最多的是CISSP。截至2007年4月底，全球共有48598名CISSP，其中人数最多的是美国，现有30385名，中国大陆有371名。因为CISSP的升级版本ISSAP和ISSMP要求考试的报名者必须是CISSP，而且有一定的相关领域工作经验要求，所以在国内除了香港18名台湾4名持有者之外，大陆还没有持有者。至于（ISC）2较为低端的SSCP和CAP认证，由于其定位和考核内容的原因，在国际上的接受程度不高，所以除了美加两国外，其他国家的持有者都很少。CISSP认证是国际上最权威、最受认可的信息安全认证，它同时也是信息安全领域第一个通过ISO17024:2003标准的认证。CISSP主要的认证对象为在企业处于中高层、已经或将成为CISO(ChiefInformationSecurityOfficer)、CSO(ChiefSecurityOfficer)或高级安全工程师的信息安全专家。CISSP认证的考核范围包括10个方向，称为CBK（CommonBodyofKnowledge）以下按首字母排序：1、AccessControl访问控制2、ApplicationSecurity应用安全（包括开发）3、BusinessContinuityandDisasterRecoveryPlanning业务持续性和灾难恢复计划4、Cryptography信息加密5、InformationSecurityandRiskManagement信息安全和风险管理6、Legal、Regulation、ComplianceandInvestigation法律、法规、调查7、OperationsSecurity操作安全8、Physical（Environment）Security物理（环境）安全9、SecurityArchitectureandDesign安全架构和设计10、TelecommunicationandNetworkSecurity通讯和网络安全CISSP认证以考察考生对信息安全技术掌握的全面程度而著称，这10个CBK里面几乎全部包含了当前信息安全领域的知识。不过CISSP的试题难度并不是大家想象中那么难，排除语言的原因之外（CISSP试题是全英文的），几年安全从业经验再加上考前抽时间认真复习，一次通过考试的几率还是挺大的。用一个最恰当的句子来形容CISSP的考试，就是“Onemilewide，Oneinchdeep“，考试范围之广和试题的难易程度可见一斑。但试题的简单并不说明CISSP的试题可以轻松搞定，因为，即使没有语言障碍，考前也经过充分的复习，拿到试卷后考生会发现CISSP的考试将是一场严峻的考验——在6个小时内，考生需要完成250道选择题，平均每道选择题只有一分半钟的时间可以思考，而且由于CISSP考试使用标准化答卷，考生要留出大概半个小时的时间把答案填到答卷上，事实上考生用来完成每道题的时间只有一分钟左右。CISSP考试也不是光靠死记硬背复习资料就能解决的，大部分题目都是给出现实中的一个场景，让考生分析后再选出正确的答案，有些迷惑性比较强的题目不是4选1，而只能凭感觉在2个相似答案中选其一。每次CISSP考试的通过率都不算低，但还是有大概一半的考生无法通过考试。他们并不是说个人能力有问题，很大程度上还是因为CISSP考试考察的范围太广。尽管如此，J0ker依然相信，即使他们没有通过CISSP的考试，但通过学习CISSP的课程，他们对信息安全的知识水平和整体把握能力都会有一个较大的提升，这将成为他们安全从业经历中一份不可多得的宝贵经验。2、为什么要获得CISSP认证第一个问题，为什么要获得CISSP呢？信息安全是一个相对的概念，在安全威胁很低的情况下，安全专家通常是被人们所遗忘的对象。但随着信息技术的发展，当年只有精通系统和网络底层，推动技术进步的高手才能被称为黑客，现在随便一个会用网络的再随便找些入侵工具也自称为黑客，技术门槛的降低和对技术的追求转化为对金钱的追逐——越来越多的入侵事件、恶意软件的传播、还有时不时出现在媒体上的高智商犯罪等就是这些所谓“后起之秀”的杰作。面对越来越严重的安全威胁，不单在IT技术领域，在各行业的企业组织都越来越意识到信息安全的重要性，但单纯依靠技术方案来并不能解决如何保护企业信息资产的问题，所以市场对专业的信息安全人才的需求也在随之大大增加。而CISSP则可以证明持有者掌握国际公认的信息安全知识和标准、并拥有丰富的安全从业经验，保持CISSP认证的有效性还可以显示持有者对信息安全的发展和技术进步有很高的热情，并愿意为信息安全贡献自己的一份力量。此外，获得CISSP认证还有其他的好处，比如：1、适应市场中越来越热的对信息安全人才的需求2、增加对信息安全的知识和概念的理解3、为当前的工作增加信息安全的理念4、在日益激烈的职场竞争中增强自身优势5、在薪水增长和职务提升上更有优势J0ker是2004年听朋友（国内最早的CISSP之一）说起CISSP是国际上最权威的信息安全认证，也觉得应该要提升一下自己的层次，所以就开始注意上这个认证，但因为种种原因，一直到今年才考。之前一直认为CISSP只是单纯的技术认证，但接触上之后才发现，CISSP其实是涵盖了信息安全的各个方面，着重突出了信息安全是由技术和管理构成的整体这一观点，J0ker在学习CISSP的过程中受益颇多，不单巩固了和自己工作相关的AccessControl、OperationSecurity和Telecommunication&NetworkSecurity三个CBK的知识，同时好好的补充了其他七个CBK的知识，也对CISSP认证所强调的整体安全和管理高于技术两个观点有了深刻的体会。学习CISSP，本身就是一个对学习者安全知识体系进行完善的过程，相信其他CISSP或学习过CISSP的读者也有相似的体会。OK，我们转到下一个问题，CISSP都从事什么工作？先说说国外的情况，以美国为例，刚拿到CISSP认证的人，在企业中大多从事安全管理员、安全产品的开发或安全服务的具体执行工作，头衔一般就是SecurityAdministrator、SecurityAnalyst或SecurityEngineer。随着工作经验的增加，CISSP会渐渐脱离具体的技术工作，转而从事更偏重管理、处于企业中层的工作，比如安全产品开发团队或安全服务团队的领导、安全咨询、安全培训讲师和安全部门经理等，头衔则变为SeniorSecurityAnalyst/Engineer、SecurityTeamLeader、SecurityConsultant、SecurityManager等。最后，CISSP会进入企业管理高层，管理整个企业的信息安全或IT，头衔则变为DirectorofIT/Securitydepartment、ChiefSecurityOfficer或ChiefInformationSecurityOfficer。国内的情况稍有不同，除了少部分CISSP做的是安全产品/服务的售前/售后和安全工程师外，有相当一部分CISSP是从事安全咨询、培训方面的工作，更多的是处于企业中高层管理的位置，读者如果有兴趣了解更详细的情况的话，可以从(ISC)2官方站点上的MemberDirectory功能中查询。最后说说大家最感兴趣的CISSP薪水问题，因为国内CISSP薪水的总体情况J0ker也不是很了解，在此就借用（ISC）22006年度的官方报告来说一下，CISSP薪水水平的分布成金字塔型，职务越高薪水越高，人数也越少。还是以美国为例，2006年CISSP的平均年收入为：ITAdministrator：$45000-$55000InformationSecurityAdministrator：$75000SecurityAnalyst/Engineer：$80000Manager，InformationSecurity:$100000CISO,CSO：$150000及以上另外，国内和国外相同的一点是，拿到CISSP认证之后通常待遇都会有所提升。3、怎样获得CISSP认证（1）J0ker打算在从本文开始的3个文章中，从参加CISSP认证考试的条件及报名流程、CISSP考试的过程和应注意的问题和CISSP考试通过后的取得认证的手续及CISSP认证的维护这三个方面来向大家介绍。一、参加CISSP认证考试的条件：根据（ISC）2目前的CISSP考试需求，考试的报名者需要具备信息安全领域涉及1个或以上CBK的4年工作经验，注意这个工作经验指的是信息安全领域的全职工作经验，兼职的不能算，(ISC2)认可的工作经验，指报名者在信息安全领域作为实践者、审计师、咨询、工程师等需要有直接的信息安全知识支持的工作经历。如果报名者有本科及以上学历或拥有（ISC）2认可的认证证书，工作经验的要求可以降为3年，但报名者只能通过学历或认证证书减少1年的工作经验要求，并不能同时使用学历和认证证书以减少工作经验要求为2年。(ISC)2认可的可以减少1年工作经验的证书中，常见的有MCSE、CISA、CISM及一些比较少见的安全认证，有兴趣的读者