CISSP之路开篇杂言文档格式.docx

1、对应届的毕业生来说，持有初级的技术认证也要比其他竞争者在选择工作上要更有竞争力，尤其是在现在招聘单位都要求求职者有工作经验的情况下。 之前和安全频道的编辑Joe讨论过出一个安全认证的专题，但J0ker一直静不下心来好好总结。最近事情比较少，所以J0ker打算用一个系列的文章，给大家介绍下CISSP相关的知识，也和大家交流下备考过程的心得，顺便也通过CISSP的课程体系，给大家介绍一下信息安全的体系和组成。写在前面：J0ker的CISSP之路将由15到20篇文章组成。其中详细的介绍了CISSP的相关知识、认证备考经过和心得，另外J0ker还会从CISSP的角度，向大家简单介绍信息安全的组成。希望

2、J0ker的CISSP之路能给大家都带来帮助。最后你们的支持就是我不断努力向前的动力：正文 作为J0ker的CISSP之路系列的第一篇文章，J0ker打算先简要向读者介绍一下CISSP的背景知识，下面我们先来看CISSP认证的颁发机构（ISC）2：（ISC）2是信息安全领域的顶级认证机构之一，成立于1989年，到现在已经给超过120个国家的五万多名安全专家授予了相关认证。（ISC）2目前提供如下6种认证：SSCP（System Security Certificated Practitioner）认证系统安全实践者CAP（Certification and Accreditation Prof

3、essional）认证和评估专家CISSP （Certificated Information System Security Professional） 认证信息系统安全专家CISSP的升级版本CISSP-ISSAP（Information System Security Architecture Professional） 信息系统安全架构专家CISSP-ISSMP（Information System Security Management Professional）信息系统安全管理专家CISSP-ISSEP（Information System Security Engineering

4、 Professional）信息系统安全工程专家（ISC）2同时也向公众提供信息安全方面的教育和咨询服务。（ISC）2的官方网站是urlhttp:/www.isc2.org/url （ISC）2提供的6种认证中，知名度最高和持有者人数最多的是CISSP。截至2007年4月底，全球共有48598名CISSP，其中人数最多的是美国，现有30385名，中国大陆有371名。因为CISSP的升级版本ISSAP和ISSMP要求考试的报名者必须是CISSP，而且有一定的相关领域工作经验要求，所以在国内除了香港18名台湾4名持有者之外，大陆还没有持有者。至于（ISC）2较为低端的SSCP和CAP认证，由于其定

5、位和考核内容的原因，在国际上的接受程度不高，所以除了美加两国外，其他国家的持有者都很少。 CISSP认证是国际上最权威、最受认可的信息安全认证，它同时也是信息安全领域第一个通过ISO17024:2003标准的认证。CISSP主要的认证对象为在企业处于中高层、已经或将成为CISO（ChiefInformationSecurityOfficer）、CSO（ChiefSecurityOfficer）或高级安全工程师的信息安全专家。 CISSP认证的考核范围包括10个方向，称为CBK（CommonBodyofKnowledge）以下按首字母排序：1、AccessControl访问控制2、Applica

6、tionSecurity应用安全（包括开发）3、BusinessContinuityandDisasterRecoveryPlanning业务持续性和灾难恢复计划4、Cryptography信息加密5、InformationSecurityandRiskManagement信息安全和风险管理6、Legal、Regulation、ComplianceandInvestigation法律、法规、调查7、OperationsSecurity操作安全8、Physical（Environment）Security物理（环境）安全9、SecurityArchitectureandDesign安全架构和设计

7、10、TelecommunicationandNetworkSecurity通讯和网络安全 CISSP认证以考察考生对信息安全技术掌握的全面程度而著称，这10个CBK里面几乎全部包含了当前信息安全领域的知识。不过CISSP的试题难度并不是大家想象中那么难，排除语言的原因之外（CISSP试题是全英文的），几年安全从业经验再加上考前抽时间认真复习，一次通过考试的几率还是挺大的。用一个最恰当的句子来形容CISSP的考试，就是“Onemilewide，Oneinchdeep“，考试范围之广和试题的难易程度可见一斑。 但试题的简单并不说明CISSP的试题可以轻松搞定，因为，即使没有语言障碍，考前也经过充

8、分的复习，拿到试卷后考生会发现CISSP的考试将是一场严峻的考验在6个小时内，考生需要完成250道选择题，平均每道选择题只有一分半钟的时间可以思考，而且由于CISSP考试使用标准化答卷，考生要留出大概半个小时的时间把答案填到答卷上，事实上考生用来完成每道题的时间只有一分钟左右。CISSP考试也不是光靠死记硬背复习资料就能解决的，大部分题目都是给出现实中的一个场景，让考生分析后再选出正确的答案，有些迷惑性比较强的题目不是4选1，而只能凭感觉在2个相似答案中选其一。 每次CISSP考试的通过率都不算低，但还是有大概一半的考生无法通过考试。他们并不是说个人能力有问题，很大程度上还是因为CISSP考试

9、考察的范围太广。尽管如此，J0ker依然相信，即使他们没有通过CISSP的考试，但通过学习CISSP的课程，他们对信息安全的知识水平和整体把握能力都会有一个较大的提升，这将成为他们安全从业经历中一份不可多得的宝贵经验。在上一篇文章Whats CISSP里，J0ker简单介绍了CISSP及认证机构（ISC）2的背景。相对于知道CISSP或者（ISC）2这两个抽象的概念，读者肯定对为什么要获得CISSP认证、获得CISSP有什么好处和 CISSP主要从事什么工作这样的问题更感兴趣，J0ker将在本文中结合自己的经历给读者解答一下。第一个问题，为什么要获得CISSP呢？ 信息安全是一个相对的概念，在

10、安全威胁很低的情况下，安全专家通常是被人们所遗忘的对象。但随着信息技术的发展，当年只有精通系统和网络底层，推动技术进步的高手才能被称为黑客，现在随便一个会用网络的再随便找些入侵工具也自称为黑客，技术门槛的降低和对技术的追求转化为对金钱的追逐越来越多的入侵事件、恶意软件的传播、还有时不时出现在媒体上的高智商犯罪等就是这些所谓“后起之秀”的杰作。面对越来越严重的安全威胁，不单在IT技术领域，在各行业的企业组织都越来越意识到信息安全的重要性，但单纯依靠技术方案来并不能解决如何保护企业信息资产的问题，所以市场对专业的信息安全人才的需求也在随之大大增加。而CISSP则可以证明持有者掌握国际公认的信息安全

11、知识和标准、并拥有丰富的安全从业经验，保持CISSP认证的有效性还可以显示持有者对信息安全的发展和技术进步有很高的热情，并愿意为信息安全贡献自己的一份力量。此外，获得CISSP认证还有其他的好处，比如：1、 适应市场中越来越热的对信息安全人才的需求2、 增加对信息安全的知识和概念的理解3、 为当前的工作增加信息安全的理念4、 在日益激烈的职场竞争中增强自身优势5、 在薪水增长和职务提升上更有优势 J0ker是2004年听朋友（国内最早的CISSP之一）说起CISSP是国际上最权威的信息安全认证，也觉得应该要提升一下自己的层次，所以就开始注意上这个认证，但因为种种原因，一直到今年才考。之前一直认

12、为CISSP只是单纯的技术认证，但接触上之后才发现，CISSP其实是涵盖了信息安全的各个方面，着重突出了信息安全是由技术和管理构成的整体这一观点，J0ker在学习CISSP的过程中受益颇多，不单巩固了和自己工作相关的Access Control、Operation Security 和Telecommunication & Network Security 三个CBK的知识，同时好好的补充了其他七个CBK的知识，也对CISSP认证所强调的整体安全和管理高于技术两个观点有了深刻的体会。学习CISSP，本身就是一个对学习者安全知识体系进行完善的过程，相信其他CISSP或学习过CISSP的读者也有相

13、似的体会。OK，我们转到下一个问题，CISSP都从事什么工作？ 先说说国外的情况，以美国为例，刚拿到CISSP认证的人，在企业中大多从事安全管理员、安全产品的开发或安全服务的具体执行工作，头衔一般就是Security Administrator、Security Analyst或Security Engineer。随着工作经验的增加，CISSP会渐渐脱离具体的技术工作，转而从事更偏重管理、处于企业中层的工作，比如安全产品开发团队或安全服务团队的领导、安全咨询、安全培训讲师和安全部门经理等，头衔则变为Senior Security Analyst/Engineer、Security Team L

14、eader、Security Consultant、Security Manager等。最后， CISSP会进入企业管理高层，管理整个企业的信息安全或IT，头衔则变为Director of IT/Security department、Chief Security Officer或Chief Information Security Officer。 国内的情况稍有不同，除了少部分CISSP做的是安全产品/服务的售前/售后和安全工程师外，有相当一部分CISSP是从事安全咨询、培训方面的工作，更多的是处于企业中高层管理的位置，读者如果有兴趣了解更详细的情况的话，可以从（ISC）2官方站点上的Me

15、mber Directory功能中查询。 最后说说大家最感兴趣的CISSP薪水问题，因为国内CISSP薪水的总体情况J0ker也不是很了解，在此就借用（ISC）2 2006年度的官方报告来说一下，CISSP薪水水平的分布成金字塔型，职务越高薪水越高，人数也越少。还是以美国为例，2006年CISSP的平均年收入为：IT Administrator： $45000-$55000Information Security Administrator：$75000Security Analyst/Engineer：$80000Manager， Information Security : $100000

16、CISO, CSO ：$150000 及以上另外，国内和国外相同的一点是，拿到CISSP认证之后通常待遇都会有所提升。 在上一篇文章Why CISSP里，J0ker介绍了为什么要获得CISSP认证和CISSP的职业发展情况。那需要通过怎样的流程才能成为一个CISSP？J0ker打算在从本文开始的3个文章中，从参加CISSP认证考试的条件及报名流程、CISSP考试的过程和应注意的问题和CISSP考试通过后的取得认证的手续及CISSP认证的维护这三个方面来向大家介绍。一、参加CISSP认证考试的条件： 根据（ISC）2目前的CISSP考试需求，考试的报名者需要具备信息安全领域涉及1个或以上CBK的

17、4年工作经验，注意这个工作经验指的是信息安全领域的全职工作经验，兼职的不能算，（ISC2）认可的工作经验，指报名者在信息安全领域作为实践者、审计师、咨询、工程师等需要有直接的信息安全知识支持的工作经历。如果报名者有本科及以上学历或拥有（ISC）2认可的认证证书，工作经验的要求可以降为3年，但报名者只能通过学历或认证证书减少1年的工作经验要求，并不能同时使用学历和认证证书以减少工作经验要求为2年。 （ISC）2认可的可以减少1年工作经验的证书中，常见的有MCSE、CISA、CISM及一些比较少见的安全认证，有兴趣的读者可以从（ISC）2的官方站点上urlhttps:/www.isc2.org/c

18、gi-bin/content.cgi?page=1016/url 获得更详细的列表。如果读者对CISSP认证很有兴趣，但工作经验又达不到（ISC）2的要求，怎么办？ 不要气馁，（ISC）2专门为这种情况的考试者设立了一个称为“Associate of （ISC）2”的头衔，考试者在通过CISSP考试，在实际工作中积累足够年限的工作经验，便可向（ISC）2申请升级为正式的CISSP。 不过要注意的是，（ISC）2在五月份修改了CISSP认证考试对报名者的工作经验要求，从2007年的10月1日开始，原来的4年全职工作经验要求增加到5年，工作中要涉及到的CBK数目的要求则从至少一个增加为至少两个。报

19、名者依然可以通过学历和认证证书来减少1年的工作经验要求，认证证书列表和年限放宽的限制和原来一样。 CISSP认证考试的报名者在填写报名表之前，还需要同意（ISC）2的认证考试的付款、退款、重付款的规则和考试保密协议及试卷的版权协议，还有最重要的，（ISC）2的CISSP道德准则（Code of Ethic）。另外，报名者在填写报名表时，还需要回答4个关于是否有犯罪记录背景的问题。 相信大家在以上的工作经验要求和个人背景要求都没有问题，CISSP的道德守则就是要求CISSP有诚实的品质，大家按自己的真实情况进行填写即可。二、CISSP认证考试的报名流程： 目前CISSP考试在中国有三个考点，北京

20、的清华大学网络研究中心、上海的交大信息安全学院和广州的软银数码港酒店，大家可以根据自己的方便程度来选择考点。 CISSP考证只能由报名者自己向（ISC）2报名，（ISC）2并没有提供代理报名的方式，这一点请大家注意。目前（ISC）2提供2种CISSP考试的报名方式，在线报名和离线邮件/传真报名。前者适合上网方便、有信用卡的报名者，后者则比较适合没有信用卡的报名者。在线报名的网址是：urlhttps:/www.isc2.org/cgi-bin/cissp_register.cgi?examdateid=2877/url 离线报名方式需要报名者到（ISC）2网站上下载报名表，按表上要求填写后邮寄或

21、传真到表格上所写明的地址。亚洲区域的报名者使用以下地址的报名表：/www.isc2.org/download/ExamRegistrationFormAsia.pdf/url J0ker在这里要提一下，因为邮寄或传真有可能有延时，所以建议报名者尽量采用在线报名的方式注册CISSP考试。 报名者在选择报名方式的同时也选择了考试费的支付方式，如果是在线报名方式，报名者需要用信用卡支付，请确保信用卡的可用额度足以支付报名费用，使用支持RMB和美元的双币信用卡即可，比如招商银行的信用卡。另外，没有信用卡的报名者还可以请别人代为支付，按在线报名表格的要求填写信用卡信息就可以了，但听有的朋友说请别人用某些

22、银行的信用卡代为支付的时候，会因为（ISC）2提供的支付回执上写的是报名者的名字而非信用卡主人的名字，从而导致支付失败。J0ker报名也遇到的这种情况，支付回执上写的就是J0ker的名字而不是信用卡主人的名字，但支付是成功的，当时用的就是招行的信用卡。对于没有信用卡的报名者来说，还有一种方法可以付款，那就是到银行去购买一张汇票（Draft），填写好相关信息后和打印出来填写好的报名表一块邮寄到（ISC）2香港办事处就可以了，不过这种方法会比较耗时。 CISSP考试的报名费在预定考试15天之前支付为499美元，15天之内为599美元。如果报名者因为各种原因需要取消或改时间考试，则需要最少比考试提前

23、15天用书面通知（ISC）2，并且还要支付100美元的退考费或改时间考试费。如果某一次考试的报名人数超过了考场可以容纳的最大人数，（ISC）2会根据报名费的到达顺序按先到先得的原则安排考试。三、最后J0ker带大家简单走一下CISSP考试在线报名的流程进入（ISC）2的官方站点 打开（ISC）2考试预约页面，地址为：/www.isc2.org/cgi/exam_schedule.cgi/url 在出现的页面上可以按照考试的城市、国家或月份进行查询，我们选国家为China，搜索列出当前年份将在中国进行的CISSP考试，然后在随后的两个页面中选择考试的时间（Register）及考试的类型（CISS

24、P） 下一个页面就是（ISC）2的考试收费规则、保密协议和道德准则，请报名者先仔细阅读，同意的话按底下的“Iagree”按钮继续报名表填写： 第一栏的Personal Information和第二栏的Business Information就是报名者的个人信息、联系信息，按规定填写即可。 有2个细节需要注意一下，第一个是姓名填写的地方，Title就填Mr、Miss之类的，Last Name填名，Family Name填姓，报名者不用担心倒过来写在考试时会遇到麻烦，监考官手上的名单的考试者名字顺序是对的。另外一个细节是Business Information的最底一行有选择Home Addres

25、s或Business Address的选项，这个选项决定（ISC）2按哪个地址和报名者进行E-mail的联系和证书的寄送，请报名者确保填写的地址有效。 接着就是报名者的背景信息，第三项是上面说过的是否有犯罪背景和报名者是否曾经持有CISSP认证，第四项是报名者的工作经验和学历，按实际情况填写即可。不过要注意CBK的填写是多少个月从事什么CBK的工作，总CBK工作的时长应该满足（ISC）2所规定的CISSP考试的工作经验需求。 再下来就是考试地点选择和信用卡付款信息，选好考试时间和地点、试卷语言、支付币种，再根据信用卡信息填妥，检查一遍。确认无误之后，就可以点击页面最下方的”Sumit“提交报名

26、表格和支付考试费。注意不要多次点击提交按钮或重复提交表单，否则就会造成多次支付。 提交成功后，页面会重定向到一个支付回执页面，上面是报名者信息、支付款项和考试协议，最好用网页另存为将它保存下来。报名者还需要将它打印出来，签上自己的名字，考试时需要给监考官看，以证明报名者同意考试协议。 另外，交易成功后，（ISC）2会发送一个Order Confirmation邮件，确认报名者已经交款成功。在第二天（ISC）2还会发送一个Admission Letter，里面就是报名者的准考证，上面有考号、考场位置、考试时间等内容，报名者也需要把它打印出来保存好，考试时同样需要带到考场。至此，CISSP考试的报名即告完成。 目前CISSP考试在中国有三个考点，北京的清华大学网络研究中心、上海的交大信息安全学院和广州的软银