在本文中，你將了解(ISC)2 CISSP安全考試、CISSP考試的10個(gè)主要的學(xué)科領(lǐng)域以及Shon Harris和SearchSecurity獨(dú)家提供的CISSP考試準(zhǔn)備材料。

信息系統(tǒng)安全認(rèn)證專(zhuān)家(CISSP)是由國(guó)際信息系統(tǒng)安全認(rèn)證聯(lián)盟[也被稱(chēng)為(ISC)2]獨(dú)立管理的信息安全認(rèn)證。

CISSP認(rèn)證考試涵蓋10個(gè)不同學(xué)科領(lǐng)域，在這里被稱(chēng)為領(lǐng)域。這10個(gè)領(lǐng)域構(gòu)成了(ISC)2通用知識(shí)框架(CBK)--這是包含信息安全最佳做法、方法技術(shù)和理念的知識(shí)框架。CBK代表著(ISC)2 認(rèn)為每個(gè)IT安全專(zhuān)業(yè)人士應(yīng)該掌握的理論和實(shí)踐方面的核心知識(shí)。

CISSP認(rèn)證被認(rèn)為是安全認(rèn)證領(lǐng)域的“黃金標(biāo)準(zhǔn)”。這是信息安全行業(yè)最搶手最受尊敬的認(rèn)證。截至2014年5月，(ISC)²報(bào)道稱(chēng)已經(jīng)有來(lái)自149個(gè)國(guó)家的93391個(gè)人持有這一認(rèn)證。美國(guó)國(guó)防部和國(guó)家安全局已經(jīng)采用了CISSP認(rèn)證，并將其作為處理機(jī)密計(jì)算機(jī)系統(tǒng)和數(shù)據(jù)的政府工作人員的教育為導(dǎo)向的任務(wù)要求。

CISSP考試的學(xué)科領(lǐng)域

CISSP認(rèn)證考試內(nèi)容已經(jīng)不再限于跟上安全領(lǐng)域內(nèi)的變化以及安全行業(yè)的要求。(ISC)²每年都會(huì)添加新的問(wèn)題到考試題庫(kù)，最近還增加了互動(dòng)問(wèn)題類(lèi)型，考生不只是在四個(gè)可能選擇中選出正確答案，還有更多的互動(dòng)操作。

SearchSecurity的CISSP Essential Security School提供了你可能在CISSP考試中遇到的各種問(wèn)題類(lèi)型，讓你可以很好地應(yīng)對(duì)所有類(lèi)型的問(wèn)題和問(wèn)題形式。你還可以嘗試在2014年增加到CISSP考試中的“拖放”和“熱點(diǎn)”問(wèn)題形式。

ISSP CBK的10個(gè)領(lǐng)域如下：

• 信息安全管理和風(fēng)險(xiǎn)管理

• 訪問(wèn)控制

• 加密

• 安全架構(gòu)和設(shè)計(jì)

• 電信和網(wǎng)絡(luò)安全

• 軟件開(kāi)發(fā)安全

• 業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)計(jì)劃

• 法律、法規(guī)、調(diào)查和合規(guī)性

• 物理(環(huán)境)安全

• 操作安全

SearchSecurity的CISSP Essential Security School還提供電子學(xué)習(xí)課程，其中涵蓋了上述這些領(lǐng)域的很多重要課題。雖然并沒(méi)有完全涵蓋所有可能的考試題目或問(wèn)題，這些課程代表著考試中大部分重要課題。在每個(gè)領(lǐng)域的課程后，你將有機(jī)會(huì)才加實(shí)踐考試測(cè)試(前文所提到的)來(lái)測(cè)試你是否完全了解了必要的概念。

CISSP考試內(nèi)容會(huì)隨著時(shí)間的推移來(lái)反應(yīng)我們行業(yè)的新技術(shù)，最近發(fā)生的有趣變化表明整體信息安全行業(yè)正在成熟化。企業(yè)架構(gòu)開(kāi)發(fā)、安全指導(dǎo)、生命周期模型和管理已經(jīng)被納入到考試內(nèi)容中。這些都是讓安全可以作為一門(mén)學(xué)科以可控的方式進(jìn)行的正式的方法和技術(shù)，并且，這與行業(yè)過(guò)去的方法形成鮮明對(duì)比。通過(guò)使用這些新的結(jié)構(gòu)，我們可以更容易地規(guī)劃企業(yè)安全計(jì)劃，追蹤其性能以及在其生命周期以定義的方式逐步提高它。這不僅可以帶來(lái)更有效的安全做法，還可以讓企業(yè)更好地發(fā)現(xiàn)和管理其風(fēng)險(xiǎn)。我們的行業(yè)正在逐漸發(fā)展，而這些變化都反映在這個(gè)最重要的認(rèn)證考試中。

CISSP認(rèn)證考試剖析

CISSP考試包含250道題，每個(gè)考生有六個(gè)小時(shí)的時(shí)間來(lái)完成?？荚噧?nèi)容已經(jīng)改變，問(wèn)題形式也有所改變。幾年前，場(chǎng)景問(wèn)題被納入到考試中，旨在要求考生將其知識(shí)運(yùn)用到真實(shí)世界的情況。

在2014年，“拖放”和“熱點(diǎn)”問(wèn)題被加入到了該考試，這兩種問(wèn)題都是互動(dòng)式活動(dòng)，它們考查的是考生能否從實(shí)際的角度理解考試內(nèi)容。熱點(diǎn)問(wèn)題使用圖表來(lái)說(shuō)明考生必須理解概念才能夠選出正確答案。該問(wèn)題要求考生選取圖表的部分來(lái)作為問(wèn)題的最佳答案。拖放題目只是要求考生點(diǎn)擊正確的答案，并將其拖動(dòng)到問(wèn)題提供的正確位置。在這兩種題型中，只有一個(gè)正確答案。

考生僅僅知道考試材料并不足以通過(guò)CISSP考試。考生還需要滿足經(jīng)驗(yàn)和教育要求才能夠參加考試，在過(guò)去，很多考生在沒(méi)有滿足這些要求的情況下而通過(guò)該考試。如果人們通過(guò)該考試，而沒(méi)有相關(guān)領(lǐng)域的實(shí)際經(jīng)驗(yàn)，該證書(shū)將會(huì)變成“書(shū)面認(rèn)證”，而失去其市場(chǎng)價(jià)值。

現(xiàn)在，考生在通過(guò)考試后，他或她必須提供由認(rèn)可保薦人簽字的文件。該保薦人可以是既定的CISSP和/或證明考生的經(jīng)驗(yàn)和工作經(jīng)歷的雇主。實(shí)踐經(jīng)驗(yàn)確保了該認(rèn)證的相關(guān)性以及證明新認(rèn)證專(zhuān)業(yè)人士的實(shí)力。

CISSP認(rèn)證考試本身并不容易。很多人抱怨該考試的主觀性以及采用容易混淆措辭的問(wèn)題，但這些年該考試已經(jīng)有所改進(jìn)。這個(gè)考試最困難的事情是它所涵蓋的課題的數(shù)量之多。CBK領(lǐng)域包括加密、取證、物理安全到安全軟件開(kāi)發(fā)、法律和電信等，為這個(gè)考試做準(zhǔn)備需要付出很大的努力。

然而，大多數(shù)人只是想要添加CISSP認(rèn)證到其名片中，所以他們都試圖以最快的速度通過(guò)該考試。如果學(xué)習(xí)了所有這些課題而不只是單純的記憶，這種豐富的知識(shí)可以讓考生享用一生。只是在你的名片上添加這個(gè)名稱(chēng)是不夠的，你還需要掌握這些知識(shí)。CISSP考試內(nèi)容涵蓋每個(gè)稱(chēng)職的安全專(zhuān)業(yè)人士不僅應(yīng)該知道而且還要掌握的基本知識(shí)。如果你花時(shí)間學(xué)習(xí)考試所有領(lǐng)域的內(nèi)容，你對(duì)安全的全面了解將會(huì)讓你更有效地參與安全工作。你的就業(yè)機(jī)會(huì)也更加廣闊，工資也會(huì)更加可觀。

CISSP認(rèn)證考試和安全模型

經(jīng)常被誤解的CISSP考試的一個(gè)方面是其中包含看似過(guò)時(shí)或老舊的話題。雖然CISSP考試并不完美，但很多這些課題涵蓋進(jìn)來(lái)是因?yàn)樗鼈兲峁┝藢?duì)構(gòu)成基本知識(shí)庫(kù)的關(guān)鍵概念的難以置信的深度。

例如，很多考生抱怨要學(xué)習(xí)安全模型(即Bell-LaPadula、Biba、Lattice等)，他們稱(chēng)在其職業(yè)生涯中絕不會(huì)碰到這些。但這些模型被用于在架構(gòu)水平開(kāi)發(fā)安全系統(tǒng)和軟件，因此，這對(duì)于在這些專(zhuān)業(yè)領(lǐng)域工作的人來(lái)說(shuō)很重要。更重要的是，世界各地的大學(xué)信息安全研究所課程都在教授這些模型，因?yàn)樗鼈兲峁┝藢?duì)系統(tǒng)應(yīng)該如何從安全的角度來(lái)設(shè)計(jì)的基本知識(shí)。如果我們行業(yè)的更多人真正了解了這些模型的基礎(chǔ)知識(shí)，并知道如何應(yīng)用它們，每個(gè)行業(yè)都將享有更安全的軟件部署。

設(shè)計(jì)軟件和數(shù)字系統(tǒng)很困難。而在系統(tǒng)架構(gòu)的核心嵌入安全性，然后在構(gòu)建系統(tǒng)前在整個(gè)系統(tǒng)嵌入安全性則更加困難。這就是為什么很多系統(tǒng)存在漏洞，而且無(wú)法通過(guò)補(bǔ)丁來(lái)容易地修復(fù)的原因。補(bǔ)丁無(wú)法修復(fù)深植的設(shè)計(jì)缺陷。這些模型被創(chuàng)建來(lái)幫助人們從頭開(kāi)始設(shè)計(jì)系統(tǒng)安全性。我們的行業(yè)一直使用這樣的口頭禪“安全應(yīng)該內(nèi)建，而不是外加”，但構(gòu)建安全性需要有人能夠理解這些模型。我們有這么多不安全系統(tǒng)以及很多人忽視安全模型的事實(shí)構(gòu)成非常有趣(和破壞性)的反比關(guān)系。

這些安全模型非常復(fù)雜，而且如果沒(méi)有實(shí)際工作的話，人們很難理解它們。很多這些模型可以在數(shù)學(xué)上得到證明，這意味著基于它們構(gòu)建的系統(tǒng)比基于傳統(tǒng)“最佳做法”構(gòu)建的系統(tǒng)有著更高的信譽(yù)保障。

如果這些模型沒(méi)有用，那么高層政府系統(tǒng)不會(huì)以它們?yōu)榛A(chǔ)。它們還被用來(lái)推導(dǎo)產(chǎn)品的評(píng)價(jià)標(biāo)準(zhǔn)，這又被用來(lái)測(cè)試企業(yè)每年采購(gòu)的不同安全產(chǎn)品的保證級(jí)別。通用標(biāo)準(zhǔn)使用基于這些某型的評(píng)估測(cè)試，這意味著它們并沒(méi)有過(guò)時(shí)，且很值得我們學(xué)習(xí)。

雖然你可能永遠(yuǎn)不需要以直接的方式部署正式的Bell-LaPadula模型，但如果你了解為什么它存在以及它如何在軟件或系統(tǒng)的設(shè)計(jì)內(nèi)整合安全性提供藍(lán)圖，你就會(huì)看到這個(gè)模型在真實(shí)世界的足跡或者缺乏它的證據(jù)。如果你只是記住該模型的考試知識(shí)，你將無(wú)法從了解在編寫(xiě)代碼前如何設(shè)計(jì)安全系統(tǒng)中獲益，如果你不“學(xué)會(huì)它”，你就不能“利用它”。

針對(duì)CISSP考試的教學(xué)和學(xué)習(xí)

所有考生都需要具有基礎(chǔ)知識(shí);否則他們將無(wú)法完全了解這些看似不同的課題之間的相互關(guān)系，不會(huì)對(duì)新學(xué)到的內(nèi)容提供有用的參考。CISSP考試的概念沒(méi)有正確得到教導(dǎo)或?qū)W習(xí)的一個(gè)原因在于，太多導(dǎo)師和課程都依賴(lài)于傳統(tǒng)培訓(xùn)模式。對(duì)于這個(gè)考試，培訓(xùn)通常很密集、專(zhuān)注和技術(shù)為導(dǎo)向。培訓(xùn)并不總是能夠讓考生消化深度的復(fù)雜的理論課題，畢竟這些課題通常出現(xiàn)在大學(xué)研究生課程中。CISSP培訓(xùn)課程和考試準(zhǔn)備材料試圖將很多復(fù)雜的材料轉(zhuǎn)變成容易消化的內(nèi)容，而讓很多學(xué)生錯(cuò)過(guò)了真正的含義。

在準(zhǔn)備CISSP考試時(shí)，不要將通過(guò)測(cè)試作為最終目標(biāo)。最終的目標(biāo)應(yīng)該是掌握你可以在現(xiàn)實(shí)世界中使用的深度的有用的知識(shí)。對(duì)于以此作為目的的人來(lái)說(shuō)，通過(guò)考試是一件輕而易舉的事情。如果你不花時(shí)間來(lái)真正學(xué)習(xí)考試的課題，這些課題會(huì)顯得很混亂，以及浪費(fèi)你的時(shí)間。人們對(duì)于CISSP考試的常見(jiàn)評(píng)論讓我真正了解到他們真正所知道的與他們認(rèn)為他們所知道的之間的對(duì)比。

在繼續(xù)SearchSecurity的CISSP Essential Security School之前，請(qǐng)花時(shí)間來(lái)完成下個(gè)頁(yè)面的自我評(píng)估以了解你還需要學(xué)習(xí)多少知識(shí)才能獲得該證書(shū)，并最終在該領(lǐng)域建立職業(yè)生涯。這些問(wèn)題來(lái)自于McGraw-Hill出版的Shon Harris的CISSP All-In-One學(xué)習(xí)指導(dǎo)書(shū)第7版，這個(gè)新版本要到2014年10月出版，屆時(shí)你將可以獲取其他任何地方都無(wú)法提供的新的材料。