【51CTO.com 綜合消息】提到CISP，我突然想到了兩種教育“應(yīng)試教育”和“職業(yè)教育”。所謂應(yīng)試教育，就像我們上學(xué)考試拿證書，所有學(xué)的一切東西都是為了應(yīng)付各種考試，和實際工作中需要用的技術(shù)有一定的距離。我對此深有體會，大學(xué)中學(xué)的知識能很好的為我們打下一個很好的基礎(chǔ)，但如果要在實際中應(yīng)用的話需要我們不斷的學(xué)習(xí)和摸索，亦或是前輩的指導(dǎo)。

所謂職業(yè)教育就是技術(shù)教育，就像某些職業(yè)技術(shù)學(xué)校，他們在課程開發(fā)的時候，前期做了大量的市場調(diào)研，企業(yè)中用的什么新技術(shù)，然后會根據(jù)這些技術(shù)開發(fā)新的課程，所以培訓(xùn)的結(jié)果會使大家受益非淺，即學(xué)即用。當(dāng)然現(xiàn)在某些大學(xué)中也提出職業(yè)教育，但對于技術(shù)的更新不夠，這會造成教學(xué)和實際工作的脫節(jié)。

那CISP屬于哪一種呢？在這之前我給大家先介紹一下。CISP即“注冊信息安全專業(yè)人員”，英文為Certified Information Security Professional (簡稱CISP)，根據(jù)實際崗位工作需要，CISP分為三類,分別是“注冊信息安全工程師”,英文為Certified Information Security Engineer（簡稱CISE）; “注冊信息安全管理人員”， 英文為Certified Information Security  Officer(簡稱CISO)，“注冊信息安全審核員” 英文為Certified Information Security Auditor(簡稱CISA)。

其中CISE主要從事信息安全技術(shù)開發(fā)服務(wù)工程建設(shè)等工作，CISO從事信息安全管理等相關(guān)工作，CISA從事信息系統(tǒng)的安全性審核或評估等工作。這三類注冊信息安全專業(yè)人員是有關(guān)信息安全企業(yè)，信息安全咨詢服務(wù)機構(gòu)、信息安全測評機構(gòu)、社會各組織、團體、企事業(yè)有關(guān)信息系統(tǒng)（網(wǎng)絡(luò)）建設(shè)、運行和應(yīng)用管理的技術(shù)部門（含標(biāo)準(zhǔn)化部門）必備的專業(yè)崗位人員，其基本職能是對信息系統(tǒng)的安全提供技術(shù)保障，其所具備的專業(yè)資質(zhì)和能力，系經(jīng)中國信息安全測評中心實施注冊。

從中不難看出我們只要拿到了CISP（CISE，CISO）就證明我們具備了安全管理與安全技術(shù)開發(fā)等相關(guān)的工作實力。我講了CISP有二年，我對此有一些體會。CISP涉及到的知識面很廣，涵蓋了安全工程，信息安全管理，風(fēng)險管理，各類操作系統(tǒng)安全，數(shù)據(jù)庫安全等，基本所有安全的知識領(lǐng)域都覆蓋了。經(jīng)過十天的學(xué)習(xí)，能讓學(xué)生對安全整個領(lǐng)域都有了解，從過去單一的產(chǎn)品安全到了解到現(xiàn)在諸多安全，從思想認識上做了根本的改變。

在教學(xué)中發(fā)現(xiàn)好多學(xué)生都認為放了防火墻，放了IDS，IPS就安全了，經(jīng)過CISP課程培訓(xùn)使他們扭轉(zhuǎn)了這個想法，諸如安全是相對，不安全是才是絕對，安全永遠是個動態(tài)過程，沒有一勞永逸的安全等等。所以CISP給我們學(xué)生的授益是相當(dāng)大的，網(wǎng)絡(luò)稱贊CISP的文章好多，這些我也不想占過多篇幅來講。我斗膽想談一下CISP培訓(xùn)的不足：

第一． 時短試快：

也就是時間短考試快，短短十天的培訓(xùn)，四本厚厚的書，超于CISSP的CBK十大知識域的知識，這么短的時間理解應(yīng)用及記住知識點，有一定難度，而且培訓(xùn)后直接考試，沒有長時間準(zhǔn)備也很難，所幸的是這些CISP的學(xué)生都有一定的安全經(jīng)驗，所以通過率還不錯。

第二． 廣而不精

CISP的知識點覆蓋范圍很廣，比如CISSP把操作系統(tǒng)類的安全叫訪問控制；而在CISP中會講WINDOWS安全，UNIX安全，實際上操作系統(tǒng)的核心就是訪問控制。而且有的技術(shù)相對要落后一些。而且在WINDOWS及UNIX中的安全也不是很深。

第三． 缺乏案例。

比如在講見險評估的時候，應(yīng)該都有一定的案例，一些文檔能夠讓學(xué)生較清楚的認識；我們在大篇幅講理論不去實踐，沒有案例，這會造成紙上談兵的感覺。就相當(dāng)于我們做BCP，沒有及時演練測試修改等，那么這個BCP毫于意義。講安全入侵的時候，也應(yīng)該有一些案例，講注入，跨站等攻擊，給學(xué)生一些有注入攻擊等漏洞的網(wǎng)站原碼。最好再做一張光盤，里包含了各個模塊的案例，讓學(xué)生通過案例來了解知識點，相對來講更簡單更容易一些。

第四． 技術(shù)相對落后

諸如在病毒內(nèi)容方面，“魔高一尺，道高一丈”，我渴望也希望這句話的真實，但往往對于殺毒軟件廠商，如瑞星的主動防御及NOD32的啟如掃描機制，他們的主要目的是用來殺未知病毒的，但真的能做到嗎？我見到一些遠程控制軟件可以過主動防御，而且在今年年初的一篇突破NOD32啟發(fā)掃描機制的三種方法，著實給國內(nèi)外殺毒軟件廠商提了個醒。而且現(xiàn)在的病毒及木馬偏向硬件化，對于這種，我們應(yīng)該怎么解決和應(yīng)對呢？

這是本人對CISP培訓(xùn)及內(nèi)容的一點真實看法，有不對的地方還請大家多指正！

在文章一開始提到的應(yīng)試和職業(yè)教育，現(xiàn)在也應(yīng)該有個答案了，我感覺CISP介于應(yīng)試和職業(yè)教育之間，既有為了考試而學(xué)的一些，也有實際中的一些技術(shù)管理經(jīng)驗，但學(xué)員往往需要更多的實際項目經(jīng)驗，所以谷安天下的CISP的培訓(xùn)切切實實可以彌補CISP的不足。

“谷安天下以滿足客戶實際培訓(xùn)需求為目標(biāo)，以提供優(yōu)質(zhì)培訓(xùn)服務(wù)為宗旨，以定位高端、與時俱進以及案例教學(xué)為特色。主要服務(wù)于政府、金融、電信、移動等重要行業(yè)。我們擁有一套完善成熟的信息安全培訓(xùn)體系和授課質(zhì)量服務(wù)體系，培訓(xùn)內(nèi)容涵蓋信息安全意識、信息安全技術(shù)、信息安全理論、以及CISA、CISSP、CISP、ISO27001LA、ITIL等國際、國內(nèi)認證”。

我們的講師都是安全界的精英，并得到國家信息安全測評中心的認可，有著豐富的項目經(jīng)驗及授課經(jīng)驗，所以老師可以把實踐中得到的知識傳授給大家，從根本上解決了CISP的不足。

CISP培訓(xùn)任重道遠，希望大家也勇于提意見，只有這樣才會使我國的安全不斷的提高，應(yīng)付將來的各種信息安全變化；只有不斷的修改，不斷的補充，不斷的提升，才能在未來的的信息較量中我們利于不敗！
突然想起偉人的一句話：“革命尚未成功，同志仍須努力”。

【編輯推薦】

1. CISP(注冊信息安全專業(yè)人員資質(zhì)認證)全解(1)
2. CISP
3. CISP培訓(xùn)PPT