First CISSP 简要介绍简要介绍 编者序言：网络圈中的工程师大概都知道思科的 CCIE 认证。如果有谁说自己没听过 CCIE，那就好象在说自己是外星人一样。 同样，在信息安全圈中，也有权威的国际认证，那就是 CISSP“Certified Information System Security Professional”（信息系统 安全认证专家）。 关于怎样成为一名 CISSP的初衷 本文作者 J0ker 是在安全圈中混迹多年的安全专家，他将自己求学 CISSP 的亲身经历整理成CISSP 的成长之路系列 文章，用 J0ker 的话说，出文章的目的最主要是想把自己的经验与广大网友分享，同时也纪念自己从业以来的一些经历。J0ker 的话很精练，之前在 51CTO.com 安全频道推出了自己的很多文章，现在安全频道的每周信息安全要闻回顾栏目就是他主持 的，我想 J0ker 出CISSP 的成长之路系列，也是对他自己的另一种鞭策。 CISSP 的成长之路将由 15 到 20 篇文章组成。其中详细的介绍了 CISSP 的相关知识、认证备考经过和心得，另外 J0 ker 还会从 CISSP 的角度，向大家简单介绍信息安全的组成。希望CISSP 的成长之路能给大家都带来帮助。最后引用一句 J0ker 常说的话：你们的支持就是我不断努力向前的动力：） 正文 作为CISSP 的成长之路系列的第一篇文章，J0ker 打算先简要向读者介绍一下 CISSP 的背景知识，下面我们先来看 C ISSP 认证的颁发机构（ISC）2： （ISC）2 是信息安全领域的顶级认证机构之一，成立于 1989 年，到现在已经给超过 120 个国家的五万多名安全专家授予 了相关认证。（ISC）2 目前提供如下 6 种认证： SSCP（SystemSecurityCertificatedPractitioner）认证系统安全实践者 CAP（CertificationandAccreditationProfessional）认证和评估专家 CISSP(CertificatedInformationSystemSecurityProfessional) 认证信息系统安全专家 CISSP 的升级版本 CISSP-ISSAP(InformationSystemSecurityArchitectureProfessional) 信息系统安全架构专家 CISSP-ISSMP（InformationSystemSecurityManagementProfessional）信息系统安全管理专家 CISSP-ISSEP（InformationSystemSecurityEngineeringProfessional）信息系统安全工程专家 （ISC）2 同时也向公众提供信息安全方面的教育和咨询服务。(ISC)2 的官方网站是 http:/www.isc2.org （ISC）2 提供的 6 种认证中，知名度最高和持有者人数最多的是 CISSP。截至 2007 年 4 月底，全球共有 48598 名 CISS P，其中人数最多的是美国，现有 30385 名，中国大陆有 371 名。因为 CISSP 的升级版本 ISSAP 和 ISSMP 要求考试的报名者 必须是 CISSP，而且有一定的相关领域工作经验要求，所以在国内除了香港 18 名台湾 4 名持有者之外，大陆还没有持有者。 至于（ISC）2 较为低端的 SSCP 和 CAP 认证，由于其定位和考核内容的原因，在国际上的接受程度不高，所以除了美加两国 外，其他国家的持有者都很少。 CISSP 认证是国际上最权威、最受认可的信息安全认证，它同时也是信息安全领域第一个通过 ISO17024:2003 标准的认 证。CISSP 主要的认证对象为在企业处于中高层、已经或将成为 CISO(ChiefInformationSecurityOfficer)、CSO(ChiefSecurity Officer)或高级安全工程师的信息安全专家。 CISSP 认证的考核范围包括 10 个方向，称为 CBK（CommonBodyofKnowledge）以下按首字母排序： 1、AccessControl 访问控制 2、ApplicationSecurity 应用安全（包括开发） 3、BusinessContinuityandDisasterRecoveryPlanning 业务持续性和灾难恢复计划 4、Cryptography 信息加密 5、InformationSecurityandRiskManagement 信息安全和风险管理 6、Legal、Regulation、ComplianceandInvestigation 法律、法规、调查 7、OperationsSecurity 操作安全 8、Physical（Environment）Security 物理（环境）安全 9、SecurityArchitectureandDesign 安全架构和设计 10、TelecommunicationandNetworkSecurity 通讯和网络安全 CISSP 认证以考察考生对信息安全技术掌握的全面程度而著称，这 10 个 CBK 里面几乎全部包含了当前信息安全领域的知 识。不过 CISSP 的试题难度并不是大家想象中那么难，排除语言的原因之外（CISSP 试题是全英文的），几年安全从业经验 再加上考前抽时间认真复习，一次通过考试的几率还是挺大的。用一个最恰当的句子来形容 CISSP 的考试，就是“Onemilewid e，Oneinchdeep“，考试范围之广和试题的难易程度可见一斑。但试题的简单并不说明 CISSP 的试题可以轻松搞定，因为，即 使没有语言障碍，考前也经过充分的复习，拿到试卷后考生会发现 CISSP 的考试将是一场严峻的考验在 6 个小时内，考生 需要完成 250 道选择题，平均每道选择题只有一分半钟的时间可以思考，而且由于 CISSP 考试使用标准化答卷，考生要留出 大概半个小时的时间把答案填到答卷上，事实上考生用来完成每道题的时间只有一分钟左右。CISSP 考试也不是光靠死记硬背 复习资料就能解决的，大部分题目都是给出现实中的一个场景，让考生分析后再选出正确的答案，有些迷惑性比较强的题目不 是 4 选 1，而只能凭感觉在 2 个相似答案中选其一。 每次 CISSP 考试的通过率都不算低，但还是有大概一半的考生无法通过考试。他们并不是说个人能力有问题，很大程度上 还是因为 CISSP 考试考察的范围太广。尽管如此，J0ker 依然相信，即使他们没有通过 CISSP 的考试，但通过学习 CISSP 的 课程，他们对信息安全的知识水平和整体把握能力都会有一个较大的提升，这将成为他们安全从业经历中一份不可多得的宝贵 经验。 The Second 为什么要获得为什么要获得 CISSP 认证认证 J0ker 简单介绍了 CISSP 及认证机构（ISC）2 的背景。相对于知道 CISSP 或者（ISC）2 这两个抽象的概念，读者肯定对为什 么要获得 CISSP 认证、获得 CISSP 有什么好处和 CISSP 主要从事什么工作这样的问题更感兴趣，J0ker 将在本文中结合自己 的经历给读者解答一下。 第一个问题，为什么要获得 CISSP 呢？ 信息安全是一个相对的概念，在安全威胁很低的情况下，安全专家通常是被人们所遗忘的对象。但随着信息技术的发展， 当年只有精通系统和网络底层，推动技术进步的高手才能被称为黑客，现在随便一个会用网络的再随便找些入侵工具也自称为 黑客，技术门槛的降低和对技术的追求转化为对金钱的追逐越来越多的入侵事件、恶意软件的传播、还有时不时出现在媒 体上的高智商犯罪等就是这些所谓“后起之秀”的杰作。面对越来越严重的安全威胁，不单在 IT 技术领域，在各行业的企业组织 都越来越意识到信息安全的重要性，但单纯依靠技术方案来并不能解决如何保护企业信息资产的问题，所以市场对专业的信息 安全人才的需求也在随之大大增加。而 CISSP 则可以证明持有者掌握国际公认的信息安全知识和标准、并拥有丰富的安全从业 经验，保持 CISSP 认证的有效性还可以显示持有者对信息安全的发展和技术进步有很高的热情，并愿意为信息安全贡献自己的 一份力量。此外，获得 CISSP 认证还有其他的好处，比如： 1、 适应市场中越来越热的对信息安全人才的需求 2、 增加对信息安全的知识和概念的理解 3、 为当前的工作增加信息安全的理念 4、 在日益激烈的职场竞争中增强自身优势 5、 在薪水增长和职务提升上更有优势 J0ker 是 2004 年听朋友（国内最早的 CISSP 之一）说起 CISSP 是国际上最权威的信息安全认证，也觉得应该要提升一下 自己的层次，所以就开始注意上这个认证，但因为种种原因，一直到今年才考。之前一直认为 CISSP 只是单纯的技术认证，但 接触上之后才发现，CISSP 其实是涵盖了信息安全的各个方面，着重突出了信息安全是由技术和管理构成的整体这一观点，J0 ker 在学习 CISSP 的过程中受益颇多，不单巩固了和自己工作相关的 Access Control、Operation Security 和 Telecommunicati on & Network Security 三个 CBK 的知识，同时好好的补充了其他七个 CBK 的知识，也对 CISSP 认证所强调的整体安全和管 理高于技术两个观点有了深刻的体会。学习 CISSP，本身就是一个对学习者安全知识体系进行完善的过程，相信其他 CISSP 或学习过 CISSP 的读者也有相似的体会。 OK，我们转到下一个问题，CISSP 都从事什么工作？ 先说说国外的情况，以美国为例，刚拿到 CISSP 认证的人，在企业中大多从事安全管理员、安全产品的开发或安全服务的 具体执行工作，头衔一般就是 Security Administrator、Security Analyst 或 Security Engineer。随着工作经验的增加，CISSP 会渐渐脱离具体的技术工作，转而从事更偏重管理、处于企业中层的工作，比如安全产品开发团队或安全服务团队的领导、安 全咨询、安全培训讲师和安全部门经理等，头衔则变为 Senior Security Analyst/Engineer、Security Team Leader、Security C onsultant、Security Manager 等。最后， CISSP 会进入企业管理高层，管理整个企业的信息安全或 IT，头衔则变为 Director o f IT/Security department、Chief Security Officer 或 Chief Information Security Officer。 国内的情况稍有不同，除了少部分 CISSP 做的是安全产品/服务的售前/售后和安全工程师外，有相当一部分 CISSP 是从事 安全咨询、培训方面的工作，更多的是处于企业中高层管理的位置，读者如果有兴趣了解更详细的情况的话，可以从(ISC)2 官 方站点上的 Member Directory 功能中查询。 最后说说大家最感兴趣的 CISSP 薪水问题，因为国内 CISSP 薪水的总体情况 J0ker 也不是很了解，在此就借用（ISC）2 2006 年度的官方报告来说一下，CISSP 薪水水平的分布成金字塔型，职务越高薪水越高，人数也越少。还是以美国为例，200 6 年 CISSP 的平均年收入为： IT Administrator： $45000-$55000 Information Security Administrator：$75000 Security Analyst/Engineer：$80000 Manager， Information Security : $100000 CI