J0ker的CISSP之路开篇杂言2011年9月22日14:21J0ker的CISSP之路今天离通过ISC2的Endorsement审批差不多有一个月,一直没有写点东西总结一下备考和考试之中的点点滴滴,自己想想,还是应该写点东西,也当是对自己努力过的一点纪念:)J0ker觉得自己能一次通过CISSP的考试是相当幸运的,虽然CISSP仍然比较偏重技术方面的考核,但安全管理方面的知识占了整个考试相当大的份额,而且考试考核的范围之广,可以用令人发指来形容。。。不过还好,毕竟过了,在ISC2的官方站点上查过,截至今年4月31号,国内的CISSP只有371人,加上5月和6月两次考试的通过者,估计也在400之内(每次考试只有20多人,只有一半多的通过率),算起来J0ker还是Top500:P现在打算在IT行业里面有较好的发展,一两个认证也是必不可少的,虽然从业经验同样是很宝贵的,许多认证本身的参加考试资格就需要有多少多少年的经验,这种认证必然会使持证者的自身价值上有不小的提升。但不可否认,因为国内认证机构或者代理机构的鱼龙混杂,导致不少原来含金量挺高的认证近年来大大贬值,不过认证的学习和考试过程,认真学习的参与者肯定能受益不少。对应届的毕业生来说,持有初级的技术认证也要比其他竞争者在选择工作上要更有竞争力,尤其是在现在招聘单位都要求求职者有工作经验的情况下。之前和安全频道的编辑Joe讨论过出一个安全认证的专题,但J0ker一直静不下心来好好总结。。。最近事情比较少,所以J0ker打算用一个系列的文章,给大家介绍下CISSP相关的知识,也和大家交流下备考过程的心得,顺便也通过CISSP的课程体系,给大家介绍一下信息安全的体系和组成。写在前面:《J0ker的CISSP之路》将由15到20篇文章组成。其中详细的介绍了CISSP的相关知识、认证备考经过和心得,另外J0ker还会从CISSP的角度,向大家简单介绍信息安全的组成。希望《J0ker的CISSP之路》能给大家都带来帮助。最后你们的支持就是我不断努力向前的动力:)正文作为《J0ker的CISSP之路》系列的第一篇文章,J0ker打算先简要向读者介绍一下CISSP的背景知识,下面我们先来看CISSP认证的颁发机构(ISC)2:(ISC)2是信息安全领域的顶级认证机构之一,成立于1989年,到现在已经给超过120个国家的五万多名安全专家授予了相关认证。(ISC)2目前提供如下6种认证:SSCP(SystemSecurityCertificatedPractitioner)认证系统安全实践者CAP(CertificationandAccreditationProfessional)认证和评估专家CISSP(CertificatedInformationSystemSecurityProfessional)认证信息系统安全专家CISSP的升级版本CISSP-ISSAP(InformationSystemSecurityArchitectureProfessional)信息系统安全架构专家CISSP-ISSMP(InformationSystemSecurityManagementProfessional)信息系统安全管理专家CISSP-ISSEP(InformationSystemSecurityEngineeringProfessional)信息系统安全工程专家(ISC)2同时也向公众提供信息安全方面的教育和咨询服务。(ISC)2的官方网站是[url][/url](ISC)2提供的6种认证中,知名度最高和持有者人数最多的是CISSP。截至2007年4月底,全球共有48598名CISSP,其中人数最多的是美国,现有30385名,中国大陆有371名。因为CISSP的升级版本ISSAP和ISSMP要求考试的报名者必须是CISSP,而且有一定的相关领域工作经验要求,所以在国内除了香港18名台湾4名持有者之外,大陆还没有持有者。至于(ISC)2较为低端的SSCP和CAP认证,由于其定位和考核内容的原因,在国际上的接受程度不高,所以除了美加两国外,其他国家的持有者都很少。CISSP认证是国际上最权威、最受认可的信息安全认证,它同时也是信息安全领域第一个通过ISO17024:2003标准的认证。CISSP主要的认证对象为在企业处于中高层、已经或将成为CISO(ChiefInformationSecurityOfficer)、CSO(ChiefSecurityOfficer)或高级安全工程师的信息安全专家。CISSP认证的考核范围包括10个方向,称为CBK(CommonBodyofKnowledge)以下按首字母排序:1、AccessControl访问控制2、ApplicationSecurity应用安全(包括开发)3、BusinessContinuityandDisasterRecoveryPlanning业务持续性和灾难恢复计划4、Cryptography信息加密5、InformationSecurityandRiskManagement信息安全和风险管理6、Legal、Regulation、ComplianceandInvestigation法律、法规、调查7、OperationsSecurity操作安全8、Physical(Environment)Security物理(环境)安全9、SecurityArchitectureandDesign安全架构和设计10、TelecommunicationandNetworkSecurity通讯和网络安全CISSP认证以考察考生对信息安全技术掌握的全面程度而著称,这10个CBK里面几乎全部包含了当前信息安全领域的知识。不过CISSP的试题难度并不是大家想象中那么难,排除语言的原因之外(CISSP试题是全英文的),几年安全从业经验再加上考前抽时间认真复习,一次通过考试的几率还是挺大的。用一个最恰当的句子来形容CISSP的考试,就是“Onemilewide,Oneinchdeep“,考试范围之广和试题的难易程度可见一斑。但试题的简单并不说明CISSP的试题可以轻松搞定,因为,即使没有语言障碍,考前也经过充分的复习,拿到试卷后考生会发现CISSP的考试将是一场严峻的考验——在6个小时内,考生需要完成250道选择题,平均每道选择题只有一分半钟的时间可以思考,而且由于CISSP考试使用标准化答卷,考生要留出大概半个小时的时间把答案填到答卷上,事实上考生用来完成每道题的时间只有一分钟左右。CISSP考试也不是光靠死记硬背复习资料就能解决的,大部分题目都是给出现实中的一个场景,让考生分析后再选出正确的答案,有些迷惑性比较强的题目不是4选1,而只能凭感觉在2个相似答案中选其一。每次CISSP考试的通过率都不算低,但还是有大概一半的考生无法通过考试。他们并不是说个人能力有问题,很大程度上还是因为CISSP考试考察的范围太广。尽管如此,J0ker依然相信,即使他们没有通过CISSP的考试,但通过学习CISSP的课程,他们对信息安全的知识水平和整体把握能力都会有一个较大的提升,这将成为他们安全从业经历中一份不可多得的宝贵经验。在上一篇文章《What'sCISSP》里,J0ker简单介绍了CISSP及认证机构(ISC)2的背景。相对于知道CISSP或者(ISC)2这两个抽象的概念,读者肯定对为什么要获得CISSP认证、获得CISSP有什么好处和CISSP主要从事什么工作这样的问题更感兴趣,J0ker将在本文中结合自己的经历给读者解答一下。第一个问题,为什么要获得CISSP呢?信息安全是一个相对的概念,在安全威胁很低的情况下,安全专家通常是被人们所遗忘的对象。但随着信息技术的发展,当年只有精通系统和网络底层,推动技术进步的高手才能被称为黑客,现在随便一个会用网络的再随便找些入侵工具也自称为黑客,技术门槛的降低和对技术的追求转化为对金钱的追逐——越来越多的入侵事件、恶意软件的传播、还有时不时出现在媒体上的高智商犯罪等就是这些所谓“后起之秀”的杰作。面对越来越严重的安全威胁,不单在IT技术领域,在各行业的企业组织都越来越意识到信息安全的重要性,但单纯依靠技术方案来并不能解决如何保护企业信息资产的问题,所以市场对专业的信息安全人才的需求也在随之大大增加。而CISSP则可以证明持有者掌握国际公认的信息安全知识和标准、并拥有丰富的安全从业经验,保持CISSP认证的有效性还可以显示持有者对信息安全的发展和技术进步有很高的热情,并愿意为信息安全贡献自己的一份力量。此外,获得CISSP认证还有其他的好处,比如:1、适应市场中越来越热的对信息安全人才的需求2、增加对信息安全的知识和概念的理解3、为当前的工作增加信息安全的理念4、在日益激烈的职场竞争中增强自身优势5、在薪水增长和职务提升上更有优势J0ker是2004年听朋友(国内最早的CISSP之一)说起CISSP是国际上最权威的信息安全认证,也觉得应该要提升一下自己的层次,所以就开始注意上这个认证,但因为种种原因,一直到今年才考。之前一直认为CISSP只是单纯的技术认证,但接触上之后才发现,CISSP其实是涵盖了信息安全的各个方面,着重突出了信息安全是由技术和管理构成的整体这一观点,J0ker在学习CISSP的过程中受益颇多,不单巩固了和自己工作相关的AccessControl、OperationSecurity和Telecommunication&NetworkSecurity三个CBK的知识,同时好好的补充了其他七个CBK的知识,也对CISSP认证所强调的整体安全和管理高于技术两个观点有了深刻的体会。学习CISSP,本身就是一个对学习者安全知识体系进行完善的过程,相信其他CISSP或学习过CISSP的读者也有相似的体会。OK,我们转到下一个问题,CISSP都从事什么工作?先说说国外的情况,以美国为例,刚拿到CISSP认证的人,在企业中大多从事安全管理员、安全产品的开发或安全服务的具体执行工作,头衔一般就是SecurityAdministrator、SecurityAnalyst或SecurityEngineer。随着工作经验的增加,CISSP会渐渐脱离具体的技术工作,转而从事更偏重管理、处于企业中层的工作,比如安全产品开发团队或安全服务团队的领导、安全咨询、安全培训讲师和安全部门经理等,头衔则变为SeniorSecurityAnalyst/Engineer、SecurityTeamLeader、SecurityConsultant、SecurityManager等。最后,CISSP会进入企业管理高层,管理整个企业的信息安全或IT,头衔则变为DirectorofIT/Securitydepartment、ChiefSecurityOfficer或ChiefInformationSecurityOfficer。国内的情况稍有不同,除了少部分CISSP做的是安全产品/服务的售前/售后和安全工程师外,有相当一部分CISSP是从事安全咨询、培训方面的工作,更多的是处于企业中高层管理的位置,读者如果有兴趣了解更详细的情况的话,可以从(ISC)2官方站点上的MemberDirectory功能中查询。最后说说大家最感兴趣的CISSP薪水问题,因为国内CISSP薪水的总体情况J0ker也不是很了解,在此就借用(ISC)22006年度的官方报告来说一下,CISSP薪水水平的分布成金字塔型,职务越高薪水越高,人数也越少。还是以美国为例,2006年CISSP的平均年收入为:ITAdministrator:$45000-$55000InformationSecurityAdministrator:$75000SecurityAnalyst/Engineer:$80000Manager,InformationSecurity:$100000CISO,CSO:$150000及以上另外,国内和国外相同的一点是,拿到CISSP认证之