引子

我一直從事信息安全咨詢以及CISSP等信息安全培訓工作，2005年10月，我在上海通過CISSP考試的，從最開始接觸CISSP到現(xiàn)在，我和CISSP的緣分就沒有斷過，這些年的工作不斷加深我對信息安全的理解，同時作為信息安全的從業(yè)人員以及CISSP培訓授課的需要，不斷追蹤并同時體驗著信息安全領域技術和管理方面的最新變化。都說教學相長，這話真是太有道理了，一直想用文字記錄我的CISSP的教學體驗，現(xiàn)在在北京谷安天下科技有限公司（簡稱：谷安天下）任職CISSP講師，得培訓部委托，今天總算動筆，跟大家一起分享。本文適合CISSP有一定了解的專業(yè)人員。

1 CISSP CBK的特點

CISSP作為當前全球信息安全行業(yè)最受推崇的高端個人資質認證，其權威和口碑已經(jīng)是無容置疑。在此，從我的體驗和認識的角度去簡單分析這個認證為什么能擔此殊榮。

1.1 核心特點：廣而不深

大家都知道是CISSP 的CBK（Common Bady of Knowledge,公共知識庫）共有十個知識域，從(ISC)2每年發(fā)布的CIB（Candinates Information Bulltin應試信息公告）中來看，每年的CBK的十個知識域的名字都有些區(qū)別，這些區(qū)別體現(xiàn)了信息安全領域的最新的變化，但是主要的知識點變化不大，這點我將在下文中有詳細講述，在此，我僅僅列出2007年(ISC)2發(fā)布的官方備考指南一書（跟當年CIB中所列一致）中列出，如下圖所示：
 
從以上10個知識域中，我們可以看出，CISSP的CBK可以說涵蓋了信息安全領域所需所有的知識，可以說是十分廣泛的。下面，我將從另外一個側面來說明CBK的廣泛性。大家都知道，目前企業(yè)一般都會參照ISO17799:2005信息安全管理體系實踐細則來幫助企業(yè)建立信息安全控制體系，究其原因就是ISO17799里包含了非常全面的領域，這已經(jīng)從實踐當中得到佐證，我亦無須多言。ISO17799的控制域如下圖：
  
下面，我將把CISSP CBK同ISO17799:2005的控制域做個對應，盡管兩個體系的基礎不同，CBK強調的是知識域，從基礎的層面上劃分的，而ISO17799強調的控制域，從實踐的層面上劃分，但是無論從哪個層面上劃分，其本質是還是對“信息安全”的解讀。因此，我們這種對應能夠幫助我們說明問題。如下圖所示：
  
從以上對應圖可以看出CISSP CBK確實非常的廣。自從我認證研讀完CISSP的CBK之后，我發(fā)現(xiàn)我的信息安全認識突然變得寬闊起來，盡管我在大學時的專業(yè)是信息安全，我看待和解決信息安全不再是防火墻、防病毒以及IDS老三樣了，而是一個全新的更為廣泛、全面而立體的視角?？吹竭@里，也許有人就有疑問，如此廣泛的知識領域，安全知識猶如浩瀚海洋，對于應試者來說，豈不是只有望洋興嘆的份了。非也，(ISC)2 要求應試者對CBK的掌握僅僅要求在概念的層次。有一句話來概括CBK的廣度和深度非常合適：一英里寬，一英尺深。因此，大家在準備CISSP考試時，一定要把握這個特點，切忌深入細節(jié)，得不償失。

到這里，也學有人會說，這CISSP的考試就簡單啦，其實也并非如此，(ISC)2通過一系列的手段來提高考試門檻，比如在07年就改為由以前的4年工作經(jīng)驗改為5年的工作經(jīng)驗，增加考試難度，比如長達6個小時250道選擇題，以保持證書的含金量。

1.2 重要特點：與時俱進

與時俱進的特點體現(xiàn)在以下幾個方面，CISSP CBK每年都會更新，體現(xiàn)了信息安全技術的最新變化以及信息安全實踐的最新成果，就這點，我將在下文“CBK近年來的變化”詳細闡述；CISSP的考試中會包含25道不記分也不標記的研究試題；持有CISSP證書的專業(yè)人員每年都必須獲得CPE（Continuing Professional Education）學分,CPE的獲得就要求證書持有者參加專業(yè)會議，參加專業(yè)培訓等等以保持專業(yè)性和時代性.

2 CBK核心知識點

整個CISSP CBK的知識點實在太多，CBK是由全球信息安全領域的精英和專家共同編寫和維護的知識庫，體現(xiàn)了集體的智慧，而我這里所謂“核心知識點”難免有些管中窺豹的局限，在此也希望信息安全的精英大拿們批評指正。另外，我對“核心知識點”做如下定義：所謂核心知識就是基礎知識中的基礎知識。

大家都知道IATF（Information Assurance Technology Framework,信息保障技術框架）是美國國家安全局提出，為保護美國政府和工業(yè)界的信息與信息技術設施提供技術指南。IATF從整體、過程的角度看待信息安全問題，其代表理論 為“深度防護戰(zhàn)略（Defense-in-Depth）”。IATF強調人、技術、操作這三個核心原則，關注四個信息安全保障領域：保護網(wǎng)絡和基礎設施、 保護邊界、保護計算環(huán)境、支撐基礎設施。在IATF的基礎上，結合我自己這么些年對信息安全的研究和實踐，同時吸收了我的優(yōu)秀同事們的經(jīng)驗總結（在此要感謝我的優(yōu)秀的工作團隊啦），提出了大型企業(yè)信息安全保障體系框架，如下圖。說到這里，也許大家都疑問就來了，CISSP CBK與企業(yè)信息安全保障體系有何關聯(lián)？為什么偏偏是大型企業(yè)呢？

(ISC)2規(guī)定參加CISSP考試的條件為在10個知識域中至少2個領域有至少5年的信息安全專業(yè)領域的工作經(jīng)驗，其實也也代表著CISSP對工作實踐以及經(jīng)驗的要求，這要求這些CISSPs們必須從實踐中來，理解更為廣泛的信息安全知識后，又回到實踐中去，因此這種來源實踐同時必須回歸實踐的做法是任何一個CISSP都必須牢記的。信息安全保障框架可以說是信息安全實踐中的結晶，是信息安全實踐的需要，幾乎涵蓋了所有的信息安全領域。另外，之所以說大型企業(yè)信息安全保障體系框架，這更方便說明問題，因為小企業(yè)總會有或這或那的裁剪。

大型企業(yè)信息安全保障體系框架IATF三要素的基礎上擴展成治理、管理、運維和技術四個要素，安全治理通過安全技術支撐，執(zhí)行信息安全管理和日常運維，實現(xiàn)企業(yè)信息資產(chǎn)（包括網(wǎng)絡基礎設施、計算環(huán)境、企業(yè)文檔數(shù)據(jù)以及物理環(huán)境）的分層保護。
 
保障框架四要素概括了信息安全所有領域，如下圖所示，因此可以相應對應到CISSP CBK中的內容。
  
保障體系框架四要素分別對應到CISSP CBK中核心知識點如下圖所示：

 
對以上所列核心知識點在此就不一一解釋為什么是該知識域的核心知識點，僅僅拿一個來做說明一下。比如在密碼學這個知識域，對稱密碼系統(tǒng)和非對稱密碼系統(tǒng)是這個知識域的基礎知識，其他知識比如PKI，VPN，數(shù)字簽名等都是在對稱算法和非對稱算法的基礎上的應用。

3 CBK近年的變化

從2005年到2009年這5年間，CISSP的CBK每年都有些變化，但是變化最大要數(shù)06年到07年，這種變化凸顯了信息安全變化發(fā)展的趨勢。以下對06到07年的變化稍做分析。
(1) 安全管理，這個知識域的標題由security management practice 改為information security and risk management；新增內容有身份管理，強調了風險管理；把道德以前“道德、法律、調查”移至這個知識域。
(2) 訪問控制，這個知識域的標題由access control systems and methodology改為access control；增加了身份管理；
(3) 系統(tǒng)開發(fā)，這個知識域的標題由application system development and maintainance該為application security;

其他的章節(jié)變化不是很大，增加的內容不多，但是以上的變化其實也反映了當前信息安全的一些趨勢：

(1) 信息安全管理凸顯了風險的管理，風險的概念在80年代引入信息安全領域，很快被安全從業(yè)者所廣泛接受，信息安全的概念（比較科學的）基本上都是建立在風險的基礎上的。隨著實踐的不斷深入，從業(yè)者對風險的認識越來越深刻，建立完整完善的信息安風險管理流程是降低安全相關威脅和事故必經(jīng)之道。

(2) 信息安全管理引入了安全治理的概念，治理的概念常常見諸于各種媒體、報紙，如公司治理、IT治理。信息安全治理應該是我們關注的，它要求公司建立一個充足的技術控制框架和和安全管理層，以風險管理為基礎，管理企業(yè)信息安全活動以及依靠IT的業(yè)務活動；

(3) 身份管理將成為今后幾年關注的焦點，建立統(tǒng)一的開放的身份管理平臺將某種程度上是對互聯(lián)網(wǎng)應用的一種顛覆（互聯(lián)網(wǎng)的最大特點之一就是匿名），同是某種程度上又是規(guī)范當前的互聯(lián)網(wǎng)的使用。身份管理同樣也是企業(yè)信息安全管理的基礎。

(4) 應用安全提到了一個前所未有的高度，這一方面是由于應用系統(tǒng)的問題給用戶帶來很大麻煩，另外一個方面就是SOX法案的推動，使用戶不得不去關注自己的應用安全；

(5) 信息系統(tǒng)的審計（信息安全審計或者說IT審計）越來越受重視，隨著企業(yè)的所有業(yè)務，特別是財務越來越依靠信息技術時，這將導致信息系統(tǒng)的審計必將成和財務審計一樣，無論是作用還是其地位，同時又伴隨著財務審計，成為一大產(chǎn)業(yè)；

(6) 安全管理的有效度量以及輔助一定的度量工具必將成為企業(yè)安全管理的迫切需求，特別是行業(yè)大客戶，信息化程度非常高的企業(yè)，在信息安全方面投入了大量的安全產(chǎn)品以及相關的安全管理體系建立起來之后，安全的有效度量則勢在必行；

4 我的教學方法

我在培訓課堂上用得比較多是思維導圖法、比較法以及聯(lián)想法，這些方法不僅方便以及幫助我更好的講授CISSP，同時也可以供自學的朋友參考。

4.1 思維導圖法

我用思維導圖已經(jīng)很多年了（如還有不知道思維導圖的朋友趕緊去google一把），思維導圖幫助我學習CISSP CBK，我當初備考CISSP時，就是用思維導圖軟件MindManager做的筆記，筆記已作，感覺記憶力不斷下降的我似乎恢復了年輕時代的記憶力，基本記住看過的知識點。并且思維導圖還幫助我立體展示要講的知識。在本文的開始到結尾，到處都有思維導圖的身影。

4.2 比較法

在信息安全領域，對于同一問題，解決這個問題的方法或者技術一般不止一種，這在其他領域也存在同樣的特點，因此CISSP的CBK中就同一知識點會從多個方面去闡述。下面，我將羅列部分：
 
這些技術要么具有優(yōu)缺點置換的特點、要么就是非常容易混淆。比如對稱算法和非對稱算法，對稱算法有點是運算速度按快缺點是密鑰分發(fā)困難，而非對稱算法恰好反過來，非對稱算法運算速度慢但是能在非安全的環(huán)境中安全傳遞密鑰的特點，解決了對稱算法密鑰分發(fā)困難的問題。比如適度勤勉和適度關照就非常容易混淆，前者強調管理者（custodian，一般指信息安全經(jīng)理或者系統(tǒng)管理員等）要履行其職責維持某個資產(chǎn)的風險在可接受的水平之下，而后者強調所有者(owner,一般指企業(yè)領導人員)必須投入必要的人力、財力等去發(fā)現(xiàn)并處置企業(yè)存在的且在風險可接受水平之上的風險。比較的方法能夠幫助學員加深對知識點的理解同時也加強了記憶。

4.3 聯(lián)想法

信息安全技術不是孤立的，而是相互聯(lián)系的。因此，我在講授CISSP培訓課程時特別注意各個知識點之間的聯(lián)系，夸知識域的知識點的聯(lián)系。下面僅僅舉個例子：
 
信息分類分級是“信息安全治理和風險管理”知識域的知識點，而強制訪問控制是“訪問控制”知識域的知識點，這兩者是有聯(lián)系的，在技術實現(xiàn)上，前者是后者的基礎。而強制訪問必須依賴標簽，標簽的本質是表示訪問主客體的安全屬性的，安全屬性除了C,I,A之外還有真實性等等…………，這樣知識點就串起來，不斷加深理解，而且鍛煉了整體看信息安全問題的思維。

5 結束語

第一次講授CISSP培訓課程的情景還歷歷在目，誠惶誠恐，小心翼翼，到現(xiàn)在，已經(jīng)講過了幾十場CISSP培訓，培訓的學員也上好幾百了。盡管教學相長，自己的授課經(jīng)驗不斷精進，但是離一位優(yōu)秀的培訓講師還有距離，到現(xiàn)在每次培訓前都花數(shù)小時備課，但是還是小心翼翼，生怕自己辜負了學員的銀子。在CISSP培訓的路上，盡管充滿了艱辛，但是只要能夠得到學員的肯定，那就心滿意足了。我在06年培訓的一位學員現(xiàn)在移民去了澳洲，今年的一次跟他MSN聊天，他跟我說，參加了我的培訓，他從一位系統(tǒng)管理員變成了一位信息安全咨詢師，改變了他職業(yè)生涯，說感謝我。哈，得此消息，我心足矣，CISSP培訓前進的道路上又多了雙助推的手。

作者簡介：

陳 岌   CISSP國際認證信息系統(tǒng)安全專，CISP注冊信息安全專業(yè)人員，CISA 國際認證信息系統(tǒng)審計師， ISO 27001 LA ， ITIL Foundation IT服務管理證書。

7年信息安全領域研究與從業(yè)經(jīng)驗，主要從事信息安全實施規(guī)劃、信息安全風險評估、信息安全管理體系建立和實施、等級保護等方面工作，具備豐富的信息安全管理咨詢與IT審計實踐經(jīng)驗。目前主要專業(yè)領域集中于IT風險管理與控制、信息安全等方面，曾服務的主要客戶有：中國電信、工商銀行、用友軟件、北京NTT DATA、太平洋保險等。長期從事CISSP等信息安全培訓工作。

現(xiàn)任谷安天下咨詢經(jīng)理，為客戶提供IT風險管理與控制、信息安全等咨詢服務，谷安天下IT風險管理學院CISA、CISSP資深講師。

曾是北京某信息安全公司信息安全咨詢團隊核心成員之一，主要負責為客戶提供安全技術解決方案、安全管理咨詢與服務。
曾擔任上海某咨詢公司高級顧問，主要負責信息安全管理咨詢與服務以及CISSP、CISA等培訓工作。
曾在上海交通大學信息安全學院擔任助教，負責互聯(lián)網(wǎng)內容分級管控系統(tǒng)的研究以及信息安全基礎、密碼學、PKI等課程助教。