为什么成为CISSP持证专家?
随着世界的变化,社会对安全和技术改进的需求不断增长。公司和其他组织迫切需要找到并招募才华横溢、经验丰富的安全专家,因为只有这些专业人员才能保护公司和组织赖以生存和保持竞争力的宝贵资源。作为一名认证信息系统安全专家(CISSP),你将被视为一名能力过硬的安全专家,并已成功满足了预计的知识和经验标准,在整个行业中广为人知且获得尊重。通过保持此认证的有效性,将证明你致力于跟上安全发展的步伐。
下面列出获取CISSP认证资格的一些理由:
● 扩展你当前对安全概念和实践的了解
● 展示你作为经验丰富的安全专家的专业知识
● 在竞争激烈的劳动力市场中占据优势
● 增加薪水并有资格获得更多就业机会
● 为你当前的职业带来更高的安全专业知识
● 表现出对安全纪律的献身精神
CISSP认证可帮助公司确定某人具有实施可靠安全措施所需的能力、知识和经验;进行风险分析;确定必要的对策;并帮助整个组织保护设施、网络、系统和信息。CISSP认证还向潜在雇主表明你已达到安全行业所需的技能和知识水平。安全对于成功企业的重要性在未来只可能不断增加,从而导致对高技能安全专家的更高要求。CISSP认证表明,受人尊敬的第三方组织已经认可了个人的技术和理论知识以及专业知识,并将该个人与缺乏这种知识水平的人区分开。
对于优秀的网络管理员、编程人员或工程师来说,理解和实现安全应用是一项至关重要的内容。在大量并非针对安全专家的职位描述中,往往仍要求应聘人员正确理解安全概念及其实现方式。由于人员规模和预算限制,许多组织负担不起聘用单独的网络和安全人员的开销。但他们仍然认为安全性对组织至关重要;因此,经常尝试将技术和安全知识合并到一个角色中。通过CISSP认证,你就会比其他应聘人员更有优势。
CISSP考试
因为CISSP考试涵盖构成CISSP CBK的8个领域,所以它通常被描述为“一英寸深,一英里宽”,这是指许多考题不很详细,也不要求考生是每个学科的专家;但这些考题确实要求考生熟悉许多不同的安全主题。
截至2017年12月18日,CISSP考试有两个版本,即英文版和非英文版。英文版现在是一种计算机自适应测试(CAT),在这个测试中,考题数量从100道到150道,具体取决于考生的知识水平;其中,25道题不计入分数,是为了将来的考试而评估的(有时被称为预测试)。基本上,测试软件越容易确定考生的熟练程度,考题就越少。不管问了多少问题,考生完成测试的时间都不会超过3小时。当系统成功评估了考生的知识水平后,不管考生用了多长时间,测试都将结束。
考试提示:
英文版CAT考试系统将对CISSP考生的知识掌握程度进行估计,并相应调整CAT考题,使考生感到问题“较难”。不要灰心;只是要注意不能停滞在某一道题上,因为必须在3小时内至少回答100道题。
非英文版的CISSP考试也基于计算机,但不是自适应的,包括250道题,回答时间不超过6小时。与CAT版本一样,有25道题是预测试(不得分),将根据考生的其他考题来计分,共225道题。有25个研究考题被整合到考试中,所以考生不知道哪一个会影响最终成绩。要通过考试,考生需要在1000分中得到700分。
不论考生参加哪个考试版本,都会遇到多项选择和创新性考题。创新性考题包含拖放(将术语或条目拖到框中的正确位置)或热点(单击正确回答考题的条目或术语)界面,但要加权,与其他任何考题一样计分。从更大的题库中提取考题,以确保每个考生的考试尽可能唯一。此外,题库不断变化,以更准确地反映真实的安全领域。考题会不断轮换,并根据需要进行替换。根据考题的难度进行加权;并非所有考题的得分都相同。考试不是针对产品或供应商的,这意味着没有考题针对某些产品或供应商(如Windows、UNIX或Cisco)。相反,将通过这类系统所用的安全模型和方法进行测试。
考试提示:
猜错不会倒扣分数。如果考生无法在合理时间内回答出正确答案,那么建议猜测答案并继续下一道题。
(ISC)2(International Information Systems Security Certification Consortium,国际信息系统安全认证联盟)在CISSP考试中也包括基于场景的考题。场景题向考生呈现一个简短场景,而非要求考生识别术语和/或概念。场景题的目标是确保考生不仅理解CBK中的概念,而且可将这些知识应用到实际中。这更实用,因为在现实中,考生不会因为有人询问“共谋的定义是什么?”而受到挑战;除了解术语的定义外,考生还需要知道如何检测和防止共谋的发生。
通过考试后,将要求考生提供由背书人支持的文档,以此来证明考生确实具有获得此认证所需的经验。背书人必须签署一份凭证,为考生提交的安全工作经验提供担保。因此,在注册考试和付款之前,请联系好一位背书人。考生肯定不愿意看到这样的局面:在支付费用并通过考试后,却发现无法找到背书人帮助考生完成获得认证所需的最后步骤。
提出背书要求的原因是为了确保获得认证的人员具有为组织提供服务的真实经验。书面知识对于理解理论、概念、标准和法规极为重要,但永远不能替代动手实践。证明考生的实践经验可以证明认证的相关性。
通过考试后,将随机抽取一小部分考生作为样本进行审核。审核人员主要来自(ISC)2的两个人,他们将通过拜访考生的背书人和联络人来核实考生的相关经历。
使CISSP考试具有挑战性的因素之一是,尽管大多数考生都在安全领域工作,但他们不一定熟悉所有8个CBK安全领域。例如,如果某个安全专家是漏洞测试或应用程序安全方面的专家,那么他可能并不熟悉物理安全性、加密或取证。因此,学习此考试将拓宽考生对安全领域的了解。
考题涉及8个CBK安全领域,如下表所示。
安全领域 描述
安全和风险管理 该领域涵盖了信息系统安全的许多基本概念。该领域的部分主题包括:
? 可用性、完整性和机密性的原则
? 安全治理和法规遵从性
? 法律和法规问题
? 职业道德
? 人员安全策略
? 风险管理
? 威胁建模
资产安全 该领域解释了在整个信息资产生命周期中如何对信息资产进行保护。该领域的部分主题包括:
? 资产识别和分类
? 维护信息和资产所有权
? 隐私
? 资产留存
? 数据安全控制
? 信息和资产处理要求
安全架构与工程 该领域解释了在面对无数威胁的情况下如何保护信息系统发展的安全。该领域的部分主题包括:
? 安全设计原则
? 选择有效的控制措施
? 缓解脆弱性
? 密码学
? 站点和基础设施的安全设计
? 物理安全
(续表)
安全领域 描述
通信与网络安全 该领域解释如何保护网络架构、通信技术和网络协议的安全。该领域的部分主题包括:
? 安全网络架构
? 安全网络组件
? 安全通信信道
身份与访问管理 身份与访问管理是信息安全中最重要的主题之一。该领域涵盖了用户和系统之间、系统和其他系统之间的相互关系。该领域的部分主题包括:
? 控制对资产的物理和逻辑访问
? 身份标识与验证
? 身份即服务
? 第三方身份服务
? 授权方式
安全评估与测试 该领域解释了验证信息系统安全性的方法。该领域的部分主题包括:
? 评估和测试策略
? 测试安全控制
? 收集安全过程数据
? 分析和报告结果
? 开展和促进审计
运营安全 该领域涵盖了在我们日常业务中许多维护网络安全的活动。该领域的部分主题包括:
? 支持调查
? 调查类型及其要求
? 日志和监控
? 安全配置资源
软件开发安全 该领域解释了应用安全原则去获取和开发软件系统。该领域的部分主题包括:
? 软件开发生命周期中的安全
? 开发环境中的安全控制
? 评估软件安全性
? 评估所购软件的安全性
? 安全编码准则和标准
(ISC)2试图通过每年向测试题库添加许多新考题,来反映安全领域技术和方法的变化。这些考题基于当前的技术、实践、方法和标准。例如,1998年进行的CISSP考试没有关于无线安全性、跨站点脚本攻击或IPv6的考题。
书中包含哪些内容?
《CISSP权威指南(第8版)》涵盖了成为(ISC)2认证CISSP所需的全部知识。讲述企业如何制定和实施策略、程序、指南和标准,并解释原因。涵盖网络、应用程序和系统漏洞,漏洞被利用情况,以及如何应对这些威胁。《CISSP权威指南(第8版)》解释物理安全、操作安全以及系统如何实现其安全机制。还回顾美国和国际安全标准以及在保证评级系统上执行的评估,分析这些标准的含义以及使用它们的原因。《CISSP权威指南(第8版)》还解释了围绕计算机系统及其所拥有数据的法律和责任问题,包括计算机犯罪、法证学等主题,以及如何为出庭准备计算机证据。
虽然《CISSP权威指南(第8版)》主要是用作CISSP考试的学习指南,但在考生通过认证后,《CISSP权威指南(第8版)》仍不失为一本不可替代的重要参考用书。
参加CISSP考试的提示
很多考生觉得考题很棘手。一定要仔细阅读考题和所有备选答案,而不是看了几个单词就断定自己已知道考题的答案。有些答案选项可能只有细微差别,所以要有耐心,多花时间通读考题。
有些考生抱怨CISSP考试略带主观色彩。例如,有这样两个考题。第一个是技术考题,考查的是防止中间人攻击的TLS(Transport Layer Security,传输层安全)所用的具体机制;第二个考题则询问周长为8英尺的栅栏提供的是低级、中级还是高级安全防护。考生会发现,前一个考题比后一个考题更容易回答。许多考题要求考生选择“最佳”方法,有些考生认为这是令人困惑和主观的。这里提到这些抱怨不是为了批评(ISC)2和出题人员,而是为了帮助考生更好地备考。《CISSP权威指南(第8版)》涵盖了考试必需的所有材料,并包含了许多问题和自测试卷。大部分问题的格式与实际试题相同,使考生能更好地准备应对真实考试。所以,一定要阅读书中的所有材料,并密切注意问题及其格式。有时,即使考生对某个主题十分了解,也可能答错题。因此,考生需要学会如何应试。
在回答某些问题时,重要的是要记住,一些事物比其他东西更有价值。例如,保护人身安全和福祉总比其他所有应对措施更重要。同样,如果其他所有因素都相等,考生可选择昂贵和复杂的解决方案,又可选择更简单和便宜的解决方案,那么第二个方法在大多数情况下都会胜出。专家建议(如律师的建议)比凭据较少的人士提供的建议更有价值。如果某道题的可能答案之一是寻求专家的建议或向其寻求建议,请密切注意该类考题。正确的应对措施很可能就是寻找该专家。
CISSP考生需要熟悉行业标准,并了解自己工作之外的技术知识和方法。必须再次强调的是,考生可能仅在特定领域是佼佼者,并不意味着考生对考试涉及的每个领域都做好了充分准备。
当CISSP考生在Pearson VUE测试中心参加CISSP考试时,其他认证考试可能在同一房间同时进行。如果看到其他考生很早离开房间,不要着急;其他人可能正在参加一项时间较短的考试。
如何使用这本书
《CISSP权威指南(第8版)》的作者尽了很大努力才将所有重要信息汇编成书;现在,轮到你尽力从《CISSP权威指南(第8版)》中汲取知识了。要从《CISSP权威指南(第8版)》受益最大,可采用以下学习方法:
● 认真学习每一章,确保理解了每一个概念。对许多概念必须完全理解,如果对一些概念似懂非懂,那么对你来说将是非常不利的。CISSP CBK包含数百个不同主题,因此需要花时间掌握这些内容。
● 确保学习并回答所有问题。如果有任何疑问使你感到困惑,那么需要再次阅读相关的章节。请记住,实际考试中的某些问题含糊其辞,看上去较难回答,不要误以为这些问题表述不清而将其忽视。相反,它们的存在具有明确的目的性,对此要特别注意。
● 如果你不熟悉特定主题,如防火墙、法律、物理安全或协议功能,请使用其他信息源(书籍、文章等)来更深入地了解这些主题。不要仅依靠你自认为需要知道的东西来准备CISSP考试。
● 阅读《CISSP权威指南(第8版)》后,你需要学习所有问题和答案,并进行自测。然后复习(ISC)2考试大纲,确保对所呈现的每个条目都很熟悉。如果对某些条目不够熟悉,请重新阅读相关章节。
● 如果你参加了其他认证考试(如Cisco、Novell或Microsoft),则可能习惯于记住一些细节和配置参数。但请记住,CISSP测试是“一英寸深,一英里宽”,因此在尝试记住具体细节之前,请确保了解每个主题的概念。
● 记住,考试是在寻找“最佳”答案。在一些问题上,你可能不同意其中一个或多个答案。你需要从提供的4个答案中选出其中最合理的那一个。
在线内容
考生可参考《CISSP权威指南(第8版)》附录,访问在线内容。
