king

(ISC)2 CISSP安全认证考试大起底

king 安全防护 2022-12-24 368浏览 0

在本文中,你将了解(ISC)2 CISSP安全考试、CISSP考试的10个主要的学科领域以及Shon Harris和SearchSecurity独家提供的CISSP考试准备材料。

信息系统安全认证专家(CISSP)是由国际信息系统安全认证联盟[也被称为(ISC)2]独立管理的信息安全认证。

CISSP认证考试涵盖10个不同学科领域,在这里被称为领域。这10个领域构成了(ISC)2通用知识框架(CBK)–这是包含信息安全最佳做法、方法技术和理念的知识框架。CBK代表着(ISC)2 认为每个IT安全专业人士应该掌握的理论和实践方面的核心知识。

CISSP认证被认为是安全认证领域的“黄金标准”。这是信息安全行业最抢手最受尊敬的认证。截至2014年5月,(ISC)²报道称已经有来自149个国家的93391个人持有这一认证。美国国防部和国家安全局已经采用了CISSP认证,并将其作为处理机密计算机系统和数据的政府工作人员的教育为导向的任务要求。

CISSP考试的学科领域

CISSP认证考试内容已经不再限于跟上安全领域内的变化以及安全行业的要求。(ISC)²每年都会添加新的问题到考试题库,最近还增加了互动问题类型,考生不只是在四个可能选择中选出正确答案,还有更多的互动操作。

SearchSecurity的CISSP Essential Security School提供了你可能在CISSP考试中遇到的各种问题类型,让你可以很好地应对所有类型的问题和问题形式。你还可以尝试在2014年增加到CISSP考试中的“拖放”和“热点”问题形式。

ISSP CBK的10个领域如下:

• 信息安全管理和风险管理

• 访问控制

• 加密

• 安全架构和设计

• 电信和网络安全

• 软件开发安全

• 业务连续性和灾难恢复计划

• 法律、法规、调查和合规性

• 物理(环境)安全

• 操作安全

SearchSecurity的CISSP Essential Security School还提供电子学习课程,其中涵盖了上述这些领域的很多重要课题。虽然并没有完全涵盖所有可能的考试题目或问题,这些课程代表着考试中大部分重要课题。在每个领域的课程后,你将有机会才加实践考试测试(前文所提到的)来测试你是否完全了解了必要的概念。

CISSP考试内容会随着时间的推移来反应我们行业的新技术,最近发生的有趣变化表明整体信息安全行业正在成熟化。企业架构开发、安全指导、生命周期模型和管理已经被纳入到考试内容中。这些都是让安全可以作为一门学科以可控的方式进行的正式的方法和技术,并且,这与行业过去的方法形成鲜明对比。通过使用这些新的结构,我们可以更容易地规划企业安全计划,追踪其性能以及在其生命周期以定义的方式逐步提高它。这不仅可以带来更有效的安全做法,还可以让企业更好地发现和管理其风险。我们的行业正在逐渐发展,而这些变化都反映在这个最重要的认证考试中。

CISSP认证考试剖析

CISSP考试包含250道题,每个考生有六个小时的时间来完成。考试内容已经改变,问题形式也有所改变。几年前,场景问题被纳入到考试中,旨在要求考生将其知识运用到真实世界的情况。

在2014年,“拖放”和“热点”问题被加入到了该考试,这两种问题都是互动式活动,它们考查的是考生能否从实际的角度理解考试内容。热点问题使用图表来说明考生必须理解概念才能够选出正确答案。该问题要求考生选取图表的部分来作为问题的最佳答案。拖放题目只是要求考生点击正确的答案,并将其拖动到问题提供的正确位置。在这两种题型中,只有一个正确答案。

考生仅仅知道考试材料并不足以通过CISSP考试。考生还需要满足经验和教育要求才能够参加考试,在过去,很多考生在没有满足这些要求的情况下而通过该考试。如果人们通过该考试,而没有相关领域的实际经验,该证书将会变成“书面认证”,而失去其市场价值。

现在,考生在通过考试后,他或她必须提供由认可保荐人签字的文件。该保荐人可以是既定的CISSP和/或证明考生的经验和工作经历的雇主。实践经验确保了该认证的相关性以及证明新认证专业人士的实力。

CISSP认证考试本身并不容易。很多人抱怨该考试的主观性以及采用容易混淆措辞的问题,但这些年该考试已经有所改进。这个考试最困难的事情是它所涵盖的课题的数量之多。CBK领域包括加密、取证、物理安全到安全软件开发、法律和电信等,为这个考试做准备需要付出很大的努力。

然而,大多数人只是想要添加CISSP认证到其名片中,所以他们都试图以最快的速度通过该考试。如果学习了所有这些课题而不只是单纯的记忆,这种丰富的知识可以让考生享用一生。只是在你的名片上添加这个名称是不够的,你还需要掌握这些知识。CISSP考试内容涵盖每个称职的安全专业人士不仅应该知道而且还要掌握的基本知识。如果你花时间学习考试所有领域的内容,你对安全的全面了解将会让你更有效地参与安全工作。你的就业机会也更加广阔,工资也会更加可观。

CISSP认证考试和安全模型

经常被误解的CISSP考试的一个方面是其中包含看似过时或老旧的话题。虽然CISSP考试并不完美,但很多这些课题涵盖进来是因为它们提供了对构成基本知识库的关键概念的难以置信的深度。

例如,很多考生抱怨要学习安全模型(即Bell-LaPadula、Biba、Lattice等),他们称在其职业生涯中绝不会碰到这些。但这些模型被用于在架构水平开发安全系统和软件,因此,这对于在这些专业领域工作的人来说很重要。更重要的是,世界各地的大学信息安全研究所课程都在教授这些模型,因为它们提供了对系统应该如何从安全的角度来设计的基本知识。如果我们行业的更多人真正了解了这些模型的基础知识,并知道如何应用它们,每个行业都将享有更安全的软件部署。

设计软件和数字系统很困难。而在系统架构的核心嵌入安全性,然后在构建系统前在整个系统嵌入安全性则更加困难。这就是为什么很多系统存在漏洞,而且无法通过补丁来容易地修复的原因。补丁无法修复深植的设计缺陷。这些模型被创建来帮助人们从头开始设计系统安全性。我们的行业一直使用这样的口头禅“安全应该内建,而不是外加”,但构建安全性需要有人能够理解这些模型。我们有这么多不安全系统以及很多人忽视安全模型的事实构成非常有趣(和破坏性)的反比关系。

这些安全模型非常复杂,而且如果没有实际工作的话,人们很难理解它们。很多这些模型可以在数学上得到证明,这意味着基于它们构建的系统比基于传统“最佳做法”构建的系统有着更高的信誉保障。

如果这些模型没有用,那么高层政府系统不会以它们为基础。它们还被用来推导产品的评价标准,这又被用来测试企业每年采购的不同安全产品的保证级别。通用标准使用基于这些某型的评估测试,这意味着它们并没有过时,且很值得我们学习。

虽然你可能永远不需要以直接的方式部署正式的Bell-LaPadula模型,但如果你了解为什么它存在以及它如何在软件或系统的设计内整合安全性提供蓝图,你就会看到这个模型在真实世界的足迹或者缺乏它的证据。如果你只是记住该模型的考试知识,你将无法从了解在编写代码前如何设计安全系统中获益,如果你不“学会它”,你就不能“利用它”。

针对CISSP考试的教学和学习

所有考生都需要具有基础知识;否则他们将无法完全了解这些看似不同的课题之间的相互关系,不会对新学到的内容提供有用的参考。CISSP考试的概念没有正确得到教导或学习的一个原因在于,太多导师和课程都依赖于传统培训模式。对于这个考试,培训通常很密集、专注和技术为导向。培训并不总是能够让考生消化深度的复杂的理论课题,毕竟这些课题通常出现在大学研究生课程中。CISSP培训课程和考试准备材料试图将很多复杂的材料转变成容易消化的内容,而让很多学生错过了真正的含义。

在准备CISSP考试时,不要将通过测试作为最终目标。最终的目标应该是掌握你可以在现实世界中使用的深度的有用的知识。对于以此作为目的的人来说,通过考试是一件轻而易举的事情。如果你不花时间来真正学习考试的课题,这些课题会显得很混乱,以及浪费你的时间。人们对于CISSP考试的常见评论让我真正了解到他们真正所知道的与他们认为他们所知道的之间的对比。

在继续SearchSecurity的CISSP Essential Security School之前,请花时间来完成下个页面的自我评估以了解你还需要学习多少知识才能获得该证书,并最终在该领域建立职业生涯。这些问题来自于McGraw-Hill出版的Shon Harris的CISSP All-In-One学习指导书第7版,这个新版本要到2014年10月出版,届时你将可以获取其他任何地方都无法提供的新的材料。

继续浏览有关 安全 的文章
发表评论