20 CISSP的成长之路.doc

下载

下载

16积分

20积分

下载

20积分

VIP价：16积分

CISSP 的成长之路（一）：CISSP 简要介绍 1、 CISSP 的成长之路（一）：CISSP 简要介绍 网络圈中的工程师大概都知道思科的 CCIE 认证。如果有谁说自己没听过 CCIE， 那就好象在说自己是外星人一样。同样，在信息安全圈中，也有权威的国际认证， 那就是 CISSP“Certified Information System Security Professional”（信息系统安全 认证专家）。 关于《怎样成为一名 CISSP》的初衷 本文作者 J0ker 是在安全圈中混迹多年的安全专家，他将自己求学 CISSP 的亲身 经历整理成《CISSP 的成长之路》系列文章，用 J0ker 的话说，出文章的目的最 主要是想把自己的经验与广大网友分享，同时也纪念自己从业以来的一些经历。 J0ker 的话很精练，之前在 安全频道推出了自己的很多文章，现在安 全频道的每周信息安全要闻回顾栏目就是他主持的，我想 J0ker 出《CISSP 的成 长之路》系列，也是对他自己的另一种鞭策。 《CISSP 的成长之路》将由 15 到 20 篇文章组成。其中详细的介绍了 CISSP 的相 关知识、认证备考经过和心得，另外 J0ker 还会从 CISSP 的角度，向大家简单介 绍信息安全的组成。希望《CISSP 的成长之路》能给大家都带来帮助。最后引用 一句 J0ker 常说的话：你们的支持就是我不断努力向前的动力：） 正文 作为《CISSP 的成长之路》系列的第一篇文章，J0ker 打算先简要向读者介绍一 下 CISSP 的背景知识，下面我们先来看 CISSP 认证的颁发机构（ISC）2： （ISC）2 是信息安全领域的顶级认证机构之一，成立于 1989 年，到现在已经给 超过 120 个国家的五万多名安全专家授予了相关认证。（ISC）2 目前提供如下 6 种认证： SSCP（SystemSecurityCertificatedPractitioner）认证系统安全实践者 CAP（CertificationandAccreditationProfessional）认证和评估专家 CISSP(CertificatedInformationSystemSecurityProfessional) 认证信息系统安全专家 CISSP 的 升 级 版 本 CISSP-ISSAP(InformationSystemSecurityArchitectureProfessional) 信息系统安全 架构专家 CISSP-ISSMP（InformationSystemSecurityManagementProfessional）信息系统安 全管理专家 CISSP-ISSEP（InformationSystemSecurityEngineeringProfessional）信息系统安全 工程专家 （ISC）2 同时也向公众提供信息安全方面的教育和咨询服务。(ISC)2 的官方网 站是 （ISC）2 提供的 6 种认证中，知名度最高和持有者人数最多的是 CISSP。截至 2007 年 4 月底，全球共有 48598 名 CISSP，其中人数最多的是美国，现有 30385 名，中国大陆有 371 名。因为 CISSP 的升级版本 ISSAP 和 ISSMP 要求考试的报 名者必须是 CISSP，而且有一定的相关领域工作经验要求，所以在国内除了香 港 18 名台湾 4 名持有者之外，大陆还没有持有者。至于（ISC）2 较为低端的 SSCP 和 CAP 认证，由于其定位和考核内容的原因，在国际上的接受程度不高， 所以除了美加两国外，其他国家的持有者都很少。 CISSP 认证是国际上最权威、最受认可的信息安全认证，它同时也是信息安全领 域第一个通过 ISO17024:2003 标准的认证。CISSP 主要的认证对象为在企业处于 中 高 层 、 已 经 或 将 成 为 CISO(ChiefInformationSecurityOfficer) 、 CSO(ChiefSecurityOfficer)或高级安全工程师的信息安全专家。 CISSP 认证的考核范围包括 10 个方向，称为 CBK（CommonBodyofKnowledge） 以下按首字母排序： 1、AccessControl 访问控制 2、ApplicationSecurity 应用安全（包括开发） 3、BusinessContinuityandDisasterRecoveryPlanning 业务持续性和灾难恢复计划 4、Cryptography 信息加密 5、InformationSecurityandRiskManagement 信息安全和风险管理 6、Legal、Regulation、ComplianceandInvestigation 法律、法规、调查 7、OperationsSecurity 操作安全 8、Physical（Environment）Security 物理（环境）安全 9、SecurityArchitectureandDesign 安全架构和设计 10、TelecommunicationandNetworkSecurity 通讯和网络安全 CISSP 认证以考察考生对信息安全技术掌握的全面程度而著称，这 10 个 CBK 里 面几乎全部包含了当前信息安全领域的知识。不过 CISSP 的试题难度并不是大 家想象中那么难，排除语言的原因之外（CISSP 试题是全英文的），几年安全从 业经验再加上考前抽时间认真复习，一次通过考试的几率还是挺大的。用一个最 恰当的句子来形容 CISSP 的考试，就是“Onemilewide，Oneinchdeep“，考试范围 之广和试题的难易程度可见一斑。但试题的简单并不说明 CISSP 的试题可以轻 松搞定，因为，即使没有语言障碍，考前也经过充分的复习，拿到试卷后考生会 发现 CISSP 的考试将是一场严峻的考验——在 6 个小时内，考生需要完成 250 道选择题，平均每道选择题只有一分半钟的时间可以思考，而且由于 CISSP 考 试使用标准化答卷，考生要留出大概半个小时的时间把答案填到答卷上，事实上 考生用来完成每道题的时间只有一分钟左右。CISSP 考试也不是光靠死记硬背复 习资料就能解决的，大部分题目都是给出现实中的一个场景，让考生分析后再选 出正确的答案，有些迷惑性比较强的题目不是 4 选 1，而只能凭感觉在 2 个相似 答案中选其一。 每次 CISSP 考试的通过率都不算低，但还是有大概一半的考生无法通过考试。 他们并不是说个人能力有问题，很大程度上还是因为 CISSP 考试考察的范围太 广。尽管如此，J0ker 依然相信，即使他们没有通过 CISSP 的考试，但通过学习 CISSP 的课程，他们对信息安全的知识水平和整体把握能力都会有一个较大的提 升，这将成为他们安全从业经历中一份不可多得的宝贵经验。 2、为什么要获得 CISSP 认证 第一个问题，为什么要获得 CISSP 呢？ 信息安全是一个相对的概念，在安全威胁很低的情况下，安全专家通常是被人们 所遗忘的对象。但随着信息技术的发展，当年只有精通系统和网络底层，推动技 术进步的高手才能被称为黑客，现在随便一个会用网络的再随便找些入侵工具也 自称为黑客，技术门槛的降低和对技术的追求转化为对金钱的追逐——越来越多 的入侵事件、恶意软件的传播、还有时不时出现在媒体上的高智商犯罪等就是这 些所谓“后起之秀”的杰作。面对越来越严重的安全威胁，不单在 IT 技术领域， 在各行业的企业组织都越来越意识到信息安全的重要性，但单纯依靠技术方案来 并不能解决如何保护企业信息资产的问题，所以市场对专业的信息安全人才的需 求也在随之大大增加。而 CISSP 则可以证明持有者掌握国际公认的信息安全知 识和标准、并拥有丰富的安全从业经验，保持 CISSP 认证的有效性还可以显示 持有者对信息安全的发展和技术进步有很高的热情，并愿意为信息安全贡献自己 的一份力量。此外，获得 CISSP 认证还有其他的好处，比如： 1、 适应市场中越来越热的对信息安全人才的需求 2、 增加对信息安全的知识和概念的理解 3、 为当前的工作增加信息安全的理念 4、 在日益激烈的职场竞争中增强自身优势 5、 在薪水增长和职务提升上更有优势 J0ker 是 2004 年听朋友（国内最早的 CISSP 之一）说起 CISSP 是国际上最权威 的信息安全认证，也觉得应该要提升一下自己的层次，所以就开始注意上这个认 证，但因为种种原因，一直到今年才考。之前一直认为 CISSP 只是单纯的技术 认证，但接触上之后才发现，CISSP 其实是涵盖了信息安全的各个方面，着重突 出了信息安全是由技术和管理构成的整体这一观点，J0ker 在学习 CISSP 的过程 中受益颇多，不单巩固了和自己工作相关的 Access Control、Operation Security 和 Telecommunication & Network Security 三个 CBK 的知识，同时好好的补充了 其他七个 CBK 的知识，也对 CISSP 认证所强调的整体安全和管理高于技术两个 观点有了深刻的体会。学习 CISSP，本身就是一个对学习者安全知识体系进行完 善的过程，相信其他 CISSP 或学习过 CISSP 的读者也有相似的体会。 OK，我们转到下一个问题，CISSP 都从事什么工作？ 先说说国外的情况，以美国为例，刚拿到 CISSP 认证的人，在企业中大多从事 安全管理员、安全产品的开发或安全服务的具体执行工作，头衔一般就是 Security Administrator、Security Analyst 或 Security Engineer。随着工作经验的增加，CISSP 会渐渐脱离具体的技术工作，转而从事更偏重管理、处于企业中层的工作，比如 安全产品开发团队或安全服务团队的领导、安全咨询、安全培训讲师和安全部门 经理等，头衔则变为 Senior Security Analyst/Engineer、Security Team Leader、 Security Consultant、Security Manager 等。最后， CISSP 会进入企业管理高层， 管理整个企业的信息安全或 IT，头衔则变为 Director of IT/Security department、 Chief Security Officer 或 Chief Information Security Officer。 国内的情况稍有不同，除了少部分 CISSP 做的是安全产品/服务的售前/售后和安 全工程师外，有相当一部分 CISSP 是从事安全咨询、培训方面的工作，更多的 是处于企业中高层管理的位置，读者如果有兴趣了解更详细的情况的话，可以从 (ISC)2 官方站点上的 Member Directory 功能中查询。 最后说说大家最感兴趣的 CISSP 薪水问题，因为国内 CISSP 薪水的总体情况 J0ker 也不是很了解，在此就借用（ISC）2 2006 年度的官方报告来说一下，CISSP 薪水水平的分布成金字塔型，职务越高薪水越高，人数也越少。还是以美国为例， 2006 年 CISSP 的平均年收入为： IT Administrator： $45000-$55000 Information Security Administrator：$75000 Security Analyst/Engineer：$80000 Manager， Information Security : $100000 CISO, CSO ：$150000 及以上 另外，国内和国外相同的一点是，拿到 CISSP 认证之后通常待遇都会有所提升。 3、怎样获得 CISSP 认证（1） J0ker 打算在从本文开始的 3 个文章中，从参加 CISSP 认证考试的条件及报名流 程、CISSP 考试的过程和应注意的问题和 CISSP 考试通过后的取得认证的手续 及 CISSP 认证的维护这三个方面来向大家介绍。 一、参加 CISSP 认证考试的条件： 根据（ISC）2 目前的 CISSP 考试需求，考试的报名者需要具备信息安全领域涉 及 1 个或以上 CBK 的 4 年工作经验，注意这个工作经验指的是信息安全领域的 全职工作经验，兼职的不能算，(ISC2)认可的工作经验，指报名者在信息安全领 域作为实践者、审计师、咨询、工程师等需要有直接的信息安全知识支持的工作 经历。如果报名者有本科及以上学历或拥有（ISC）2 认可的认证证书，工作经 验的要求可以降为 3 年，但报名者只能通过学历或认证证书减少 1 年的工作经验 要求，并不能同时使用学历和认证证书以减少工作经验要求为 2 年。 (ISC)2 认 可的可以减少 1 年工作经验的证书中，常见的有 MCSE、CISA、CISM 及一些比 较 少 见 的 安 全 认 证 ， 有 兴 趣 的 读 者 可 以 从 (ISC)2 的 官 方 站 点 上 获得更详细的列表。如果读者 对 CISSP 认证很有兴趣，但工作经验又达不到（ISC）2 的要求，怎么办？ 不要 气馁，（ISC）2 专门为这种情况的考试者设立了一个称为“Associate of (ISC)2”的 头衔，考试者在通过 CISSP 考试，在实际工作中积累足够年限的工作经验，便 可向(ISC)2 申请升级为正式的 CISSP。 不过要注意的是，(ISC)2 在五月份修改了 CISSP 认证考试对报名者的工作经验 要求，从 2007 年的 10 月 1 日开始，原来的 4 年全职工作经验要求增加到 5 年， 工作中要涉及到的 CBK 数目的要求则从至少一个增加为至少两个。报名者依然 可以通过学历和认证证书来减少 1 年的工作经验要求，认证证书列表和年限放宽 的限制和原来一样。 CISSP 认证考试的报名者在填写报名表之前，还需要同意(ISC)2 的认证考试的付 款、退款、重付款的规则和考试保密协议及试卷的版权协议，还有最重要的， (ISC)2 的 CISSP 道德准则(Code of Ethic)。另外，报名者在填写报名表时，还需 要回答 4 个关于是否有犯罪记录背景的问题。 相信大家在以上的工作经验要求和个人背景要求都没有问题，CISSP 的道德守则 就是要求 CISSP 有诚实的品质，大家按自己的真实情况进行填写即可。 二、CISSP 认证考试的报名流程： 目前 CISSP 考试在中国有三个考点，北京的清华大学网络研究中心、上海的交 大信息安全学院和广州的软银数码港酒店，大家可以根据自己的方便程度来选择 考点。 CISSP 考证只能由报名者自己向（ISC）2 报名，(ISC)2 并没有提供代理报名的 方式，这一点请大家注意。目前(ISC)2 提供 2 种 CISSP 考试的报名方式，在线 报名和离线邮件/传真报名。前者适合上网方便、有信用卡的报名者，后者则比 较适合没有信用卡的报名者。在线报名的网址是： 离线报名方式需要报名者到（ISC）2 网站上下载报名表，按表上要求填写后邮 寄或传真到表格上所写明的地址。亚洲区域的报名者使用以下地址的报名表： J0ker 在这里要提一下，因为邮寄或传真有可能有延时，所以建议报名者尽量采 用在线报名的方式注册 CISSP 考试。 报名者在选择报名方式的同时也选择了考试费的支付方式，如果是在线报名方式， 报名者需要用信用卡支付，请确保信用卡的可用额度足以支付报名费用，使用支 持 RMB 和美元的双币信用卡即可，比如招商银行的信用卡。另外，没有信用卡 的报名者还可以请别人代为支付，按在线报名表格的要求填写信用卡信息就可以 了，但听有的朋友说请别人用某些银行的信用卡代为支付的时候，会因为（ISC） 2 提供的支付回执上写的是报名者的名字而非信用卡主人的名字，从而导致支付 失败。J0ker 报名也遇到的这种情况，支付回执上写的就是 J0ker 的名字而不是信 用卡主人的名字，但支付是成功的，当时用的就是招行的信用卡。对于没有信用 卡的报名者来说，还有一种方法可以付款，那就是到银行去购买一张汇票 （Draft），填写好相关信息后和打印出来填写好的报名表一块邮寄到(ISC)2 香港 办事处就可以了，不过这种方法会比较耗时。 CISSP 考试的报名费在预定考试 15 天之前支付为 499 美元，15 天之内为 599 美 元。如果报名者因为各种原因需要取消或改时间考试，则需要最少比考试提前 15 天用书面通知（ISC）2，并且还要支付 100 美元的退考费或改时间考试费。如果 某一次考试的报名人数超过了考场可以容纳的最大人数，(ISC)2 会根据报名费的 到达顺序按先到先得的原则安排考试。 三、最后 J0ker 带大家简单走一下 CISSP 考试在线报名的流程 进入(ISC)2 的官方站点 打开(ISC)2 考试预约页面，地址为： 在出现的页面上可以按照考试的城市、国家或月份进行查询，我们选国家为 China，搜索列出当前年份将在中国进行的 CISSP 考试，然后在随后的两个页面 中选择考试的时间（Register）及考试的类型（CISSP） 下一个页面就是（ISC）2 的考试收费规则、保密协议和道德准则，请报名者先 仔细阅读，同意的话按底下的“Iagree”按钮继续 报名表填写： 第一栏的 Personal Information 和第二栏的 Business Information 就是报名者的个 人信息、联系信息，按规定填写即可。 有 2 个细节需要注意一下，第一个是姓名填写的地方，Title 就填 Mr、Miss 之类 的，Last Name 填名，Family Name 填姓，报名者不用担心倒过来写在考试时会 遇到麻烦，监考官手上的名单的考试者名字顺序是对的。另外一个细节是 Business Information 的最底一行有选择 Home Address 或 Business Address 的选 项，这个选项决定（ISC）2 按哪个地址和报名者进行 E-mail 的联系和证书的寄 送，请报名者确保填写的地址有效。 接着就是报名者的背景信息，第三项是上面说过的是否有犯罪背景和报名者是否 曾经持有 CISSP 认证，第四项是报名者的工作经验和学历，按实际情况填写即 可。不过要注意 CBK 的填写是多少个月从事什么 CBK 的工作，总 CBK 工作的 时长应该满足（ISC）2 所规定的 CISSP 考试的工作经验需求。 再下来就是考试地点选择和信用卡付款信息，选好考试时间和地点、试卷语言、 支付币种，再根据信用卡信息填妥，检查一遍。确认无误之后，就可以点击页面 最下方的”Sumit“提交报名表格和支付考试费。注意不要多次点击提交按钮或重 复提交表单，否则就会造成多次支付。 提交成功后，页面会重定向到一个支付回执页面，上面是报名者信息、支付款项 和考试协议，最好用网页另存为将它保存下来。报名者还需要将它打印出来，签 上自己的名字，考试时需要给监考官看，以证明报名者同意考试协议。 另外，交易成功后，(ISC)2 会发送一个 Order Confirmation 邮件，确认报名者已 经交款成功。在第二天(ISC)2 还会发送一个 Admission Letter，里面就是报名者 的准考证，上面有考号、考场位置、考试时间等内容，报名者也需要把它打印出 来保存好，考试时同样需要带到考场。至此，CISSP 考试的报名即告完成。 4、怎样获得 CISSP 认证（2） 接下来 J0ker 打算先介绍 CISSP 考试的进行情况和考试通过后的手续，然后再用 10 个文章的篇幅详细介绍读者最关心的 CISSP 考试的备考。 在本文中大家可以了解到 CISSP 考试需要做的准备和考试中应当注意的问题： 考试前的食、住、行 CISSP 考试在国内的考点只有北京、上海和广州三地，常有不少外地考生参加 CISSP，因此参加 CISSP 考试首先要考虑的是交通问题，对本地考生来说这个问 题同样需要考虑。以 J0ker 参加的在上海举行的 CISSP 考试为例，考场在位于浦 东张江高科的上海交大信息安全学院，从市内到考场需要坐地铁到终点站，下地 铁后还需要换乘一趟区县公交车，全程约需一个半小时左右。而 CISSP 考试的 时间是从上午 9 点开始，8 点半之前就要进场，也就是说，如果是从市内出发去 考场，考生 6 点刚过就要起床，然后匆忙洗刷之后就要赶车去考场，这样很容易 影响到考试的状态，当然，如果考生自己有车就很方便了。更好一点的选择是提 前在考场附近找住的地方，这样次日早上考生就不需要起那么早，对考试状态的 保持更有好处。 说了 CISSP 考试的住和行的问题，食的问题也相当重要，如果考生选择在考点 附近找地方住，就得考虑晚上吃饭是否方便，第二天考前的早餐吃什么。还是以 上海考点为例，因为张江高科是高科技工业园区，超市和饭馆只有在地铁站附近 才有，而第二天早上出去吃早餐时间很紧，所以当时 J0ker 就提前买好了面包和 牛奶冲到早餐。另外，由于 CISSP 考试的时间很长，从上午 9 点到下午 3 点， 正好跨过午饭时间，考生还得准备好饮料和食物。虽然 CISSP 考试允许考试时 考生离座到考场的后面吃东西，但体积较小，不会污染试卷的食物是允许在座位 中吃的，建议考生最好准备巧克力、肉干等食物，可以边吃边继续考虑试卷上的 考题，而不用浪费宝贵的答题时间。至于饮料就看各人口味了，推荐清淡一点的 茶饮料或水，既解渴又有轻微的提神作用。 考生还需要携带最重要的考试材料： （ISC）2 提供的 Registration Confirmation 和 Admission Letter，考生在（ISC）2 站点上注册考试并经过（ISC）2 确认后，（ISC）会通过 E-mail 提供这两份材料， 考生自己打印出来并签上名字。 考生还需随身带着带照片的证件，(ISC)2 认可的有身份证或者驾照，如果没有上 述材料，考生将不允许参加考试。另外，考生最好再准备 2 支 2B 铅笔（考场也 会提供，（ISC）2 牌 2B 铅笔…不过自己备上总是好的），1 块比较软的橡皮，还 有一本英汉词典，（ISC）2 规定母语非英语的考生可以使用词典，但词典只能够 是 Word to word 对词翻译的，不允许使用电子词典类的工具，牛津之类的词典 即可。 考试用的材料物品准备好，去考场的行程计划好之后，就可以放松一下自己的心 情了。CISSP 考试说到底也只是一次普通考试而已，用不着对它很紧张，紧张反 而会影响考试状态的。考前的晚上可以早点睡，随便看看考试参考材料也可以缓 解一下紧张的情绪，J0ker 推荐看看《CISSP All in One》的每个章节后的 Quick Tips，既可以对 CISSP 各 CBK 里面的关键知识点进行回顾，量也不至于太多。 或者也可以稍微做点题练练手，找一下考试做题的感觉。 CISSP 考试在上午 9 点开始，考生需要在 8 点半之前到考场，进场之后可以先找 个地方把自己的物品放下，休息一下或者上洗手间什么的。 J0ker 当时参加的 CISSP 上海考试是这样的： 上海考场设在在上海交大安全学院的一个教室，J0ker 是 8 点 10 分的样子到场， 当时考官还没有来，大概有 10 多个考生在里面，聊天或自己看资料。 8 点 20 分，2 个考官进场，看起来像是上海交大的老师（也有可能是参加监考 的 CISSP 志愿者），所有的考生在 8 点 30 分之前都到场了。 8 点 30 分至 50 分，考官检查考生的证件、(ISC)2 提供的材料、并按照之前排好 的座位给考生安排座位，考生进行签到。其中出了个小小的意外，有个考生一直 没有收到 Admission Letter，而负责（ISC）2 亚洲区联络事务的(ISC)2 香港正好 换负责人，也一直联络不上，拿不到 Admission Letter，不过考生跟考官沟通了 一下就解决问题了，考官手上的名单中有这个考生的名字和考试号，考生拿到考 号就可以参加考试。如果有朋友在参加 CISSP 考试时遇到这样的问题，可以尝 试下和考官沟通下，一般都可以解决的。 8 点 50 分，考官分发试卷、答题卡，考生就可以按照试卷上的说明，填好考号、 试卷号、地址等信息，签署考试保密协议。一位考官用中文和英文宣读考试注意 事项，另一位考官则进行巡查，帮助考生解决填涂试卷信息的问题。考生要特别 注意这些试卷信息的填涂，要是填错的话，就拿不到成绩了。 上午 9 点钟，CISSP 考试正式开始，考生就可以打开试卷了，打开试卷证明考生 同意(ISC)2 的保密协议和考试守则，如果考生不同意，不要打开并将试卷交还考 官（不过 J0ker 没听说过有谁这样干 :) ）。试卷一共有 30 多页，250 道题，都是 单项选择题，题型有一个问题一道题的，而场景类的题目通常有三到五个问题， 考生需要考虑好怎么在 6 个小时的有限时间内完成 250 道题，因为做错没有倒扣 分，所以即使不懂试卷也不要留空，随便填一个也好的。 当时 J0ker 是这样的，因为刚开始考试时进入状态比较慢，所以 J0ker 习惯第一 遍凭自己的感觉和经验做题，尽量少在某一个题目上思考，所以 J0ker 在 2 个小 时 15 分钟的时候粗略的做完了题目（答案可以先划在试卷上，但只有填涂到答 题卡上的才有效），有的题一时做不出来就随便选了个答案之后跳过。做完正好 11 点过，喝了点红茶吃了点巧克力，再休息了下，然后开始认真的边检查边将 答案填涂到答题卡上，检查的过程中 J0ker 一共改了 35 道题， 有不少是在 2 个 答案中选其一的，不是十分有把握的还是保留原来答案。检查并填涂的过程相当 的慢，弄完大概 200 道题就过去 3 个小时了，剩下的 50 多道题也就匆匆检查了 一遍就填到答题卡上。按照这样算的话，J0ker 估计认真做完成试卷的时间大概 在 5 个小时出头的样子，还需要留出半个小时左右把答案填涂到答题卡上，所以 考生需要掌握好时间。 另外还有一个大家可能比较关心的问题，CISSP 考试其实不限制中途上洗手间的 次数，不过一次只能去一个人，而且出入考场还需要 Sign in 和 Sign Out，为了 节省宝贵的考试时间，考生最好控制一下喝水的量。 放松，合理安排时间，保持平和的心态… 每个人都有自己的考试方法，J0ker 上 面所说的考试流程和需要注意的问题也是仅供朋友们参考，剩下的还需要靠朋友 们自己努力了，Good luck to you！ 5、怎样获得 CISSP 认证（3） 那么，成功通过 CISSP 考试之后还要通过什么手续才能拿到 CISSP 认证？获得 CISSP 认证之后如果保持认证？J0ker 将在本文中为大家一一解答。 收到考试成绩单 参加 CISSP 考试之后，考生大概要等 2 个星期才能收到（ISC）2 用 E-mail 发来 的考试成绩，通过的考生会收到一封祝贺信，并带有一个 PDF 附件（Endorsement 表格），另外，信中还介绍了如何进行下一步手续的简单介绍。考生如果收到的 是一封包含考试成绩和 10 个 CBK 评价的 E-mail，则说明考生没有通过考试，而 考生对 10 个 CBK 的掌握程度与评价的分值成反比。没有通过的考生也不要气馁， 可以针对(ISC)2 考试结果邮件中的 CBK 评价，有重点的再次进行复习，Good Luck! 背景证明——Endorsement (ISC)2 为了保证 CISSP 认证的可信性，采用了第三方确认的方式对通过 CISSP 考试的考生进行专业知识和工作经验进行确认，这个流程称为背景证明，也是常 说的 Endorsement，（ISC）2 会把 Endorsement 表格随 CISSP 考试的结果邮件一 起发送给通过考试的考生。(ISC)2 规定 Endorsement 的签署人必须持有(ISC)2 认 可的认证，比如 CISSP、CCIE、MCSE、BS7799LA 等，或者必须是考生所在单 位的高层领导（通常是 CTO、CEO，部门经理级别的不可以），这样签署的 Endorsement 才会被(ISC)2 所接受。需要注意的是，从 2007 年 9 月开始，(ISC)2 修改了对 Endorsement 签署人的要求，要求签署人必须持有(ISC)2 系列认证 （CISSP/SSCP），这样签署的 Endorsement 才会被(ISC)2 所接受的。J0ker 认为， （ISC）2 提高 Endorsement 的签署人要求，更有利于控制新进 CISSP 的质量， 防止出现现在国内某些认证泛滥和贬值的情况，另外，由(ISC)2 认证持有者来 做 Endorsement 的签署人，也能更好的根据 CBK 来对考生的经验进行二次确认。 准备好英文简历 除了 Endorsement 之外，通过 CISSP 考试的考生还需要准备一份个人的英文简历， 按照常规的简历写法来写就可以。不过要注意一下工作经历的写法，应该在工作 经历里面的每一个项目后面说明该项目涉及到哪些 CBK，比如，CBK: Access control 这样写就可以了。准备好英文简历后，考生要将英文简历和 Endorsement 表格交给自己的 Endorsement 签署人，让签署人填好 Endorsement 表格并签名。 考生可以用电子邮件或传真的方式将材料送达(ISC)2 的审核负责人，如果是采用 电子邮件方式，可以将材料准备好后扫描成 PDF 文档，再通过电子邮件发送到 Audit@，不过要注意只能由 Endorsement 的签署人来发送这两份材料， 考生自己发是无效的。如果是采用传真方式，只需把材料传真到(ISC)2 香港办事 处即可。J0ker 建议考生尽量选用电子邮件的方式来发送审核材料，这样处理的 速度会比较快，也可以防止因为传真引起的审核材料丢失。 教育经历审核 (ISC)2 每次还会随机抽取 10%左右的通过者再做一下教育经历的审核，被挑选到 的通过者会在所收到 CISSP 考试结果邮件中看到教育经历审核的要求和具体步 骤。J0ker 当时没有被抽中，后来问了一下曾经被要求进行审核的 CISSP 朋友， 所谓的教育经历审核需要提供两份材料，其中一份是声明，声明被审核者确认所 提供的所有材料都是真实无误的，另外一份资料是被审核者的学历证书复印件。 被 审 核 者 准 备 好 材 料 之 后 ， 可 以 将 材 料 扫 描 编 辑 成 PDF 文 档 ， 发 送 到 Audit@，也可以将材料传真到(ISC)2 香港办事处。 送出审核材料后，考生大概会在 2 到 3 天后收到（ISC）2 的资格审核确认邮件， 如果审核通过，大概 2 个星期后，考生就能收到（ISC）2 用航空邮件发来的 CISSP 证书，成为 CISSP 中的一员。可能大家比较担心证书投递的问题，不用担心的， 国内的邮局都有专门的翻译负责国外邮件的分发，只要在 CISSP 考试报名时填 写地址信息正确，一般都能很快收到。如果考生收到了(ISC)2 的资格审核确认邮 件，却又在 2 至 3 个星期内没有收到 CISSP 证书，还可以向审核确认邮件里提 供的 E-mail 地址发邮件询问，(ISC)2 确认后会重新寄送 CISSP 证书的。随 CISSP 证书一块寄来的还有一个 CISSP 名片、一封(ISC)2 的欢迎信，信上介绍了 CISSP 的(ISC)2 的会员权利，并附带了(ISC)2 网站的初始登陆密码。 如何保持 CISSP 认证 （ISC）2 规定，CISSP 认证的持有周期只有 3 年，CISSP 只有按时缴纳每年的 会员费(AMF)，并在三年内赚取 120 CPE（Continuing Professional Education，继 续教育点数），才能在三年后更新所持有的 CISSP 认证。 CISSP 的会员费是每年 85 美元，CISSP 在(ISC)2 网站上登陆自己账户之后便可 查到自己下一次交会员费的时间，如果在该时间 60 天之内不缴纳会员费，就需 要多交 20 美元的滞纳金。交会员费同样需要 CISSP 登陆自己账户后才能操作， 在会员费信息下面有一个”PAY AMFs NOW“按钮，点击进入后，选择缴费币种、 缴费年限、填好信用卡信息，验证无误后提交，便可完成会员费的缴纳过程。 (ISC)2 对 CISSP 有 120 CPE 的要求是为了督促 CISSP 不断的提升自己的知识和 经验，使自己能和技术的发展保持同步。规定只有 CISSP 本职工作之外的额外 发展活动才能算 CPE 点数，而根据额外发展活动的不同，CPE 的种类又分成 A 类和 B 类两种，A 类 CPE（Direct Information Security Activity）即是与 CISSP 10 个 CBK 直接相关的活动，而 B 类 CPE(Professional Skills Activity)则是 CISSP 自 身能力发展的活动，120 个 CPE 中必须包含 80 个 A 类 CPE 和 40 个 B 类 CPE。 120 个 CPE 提交的最迟时间是 3 年周期之后的 90 天之内，如果 CISSP 在 3 年内 不能赚够 120 个 CPE，将会把取消 CISSP 资格，而在 3 年周期的最后 6 个月中 提交的超过 120 的额外 CPE 点数，可以带到下一个 3 年周期。CISSP 提交 CPE 的方法也需要登陆到自己的(ISC)2 账户，然后使用”SUMIT CPEs NOW“ 功能进 行 CPE 的提交，提交的 CPE 申请一般会在 2 到 3 天内得到通过并更新到 CISSP 的账户信息中。另外，（ISC）2 还有随机抽查 CISSP CPE 的制度，如果 CISSP 被抽到要求审核 CPE 的话，则需要提供该 CPE 的有效证明材料，比如有 CPE 是 CISSP 自学某本安全方面的书籍，那(ISC)2 会要求 CISSP 提供这本书的发票， 因此提交 CPE 时，CISSP 应保存好 CPE 的相关有效证明材料。 CPE 提交和 CPE 点数具体如何计算的资料，都可以在(ISC)2 网站上找到，J0ker 在此就不再详述。 6、CISSP 复习流程及资源 对于想要进一步深入了解 CISSP 认证体系、或者想要获得一个 CISSP 认证的朋 友来说，内容还是稍微简单了点。所以，从本文开始，J0ker 将用大概 15 篇文章 的篇幅，向大家详细的介绍 CISSP 认证考试的复习流程、各种复习资源和 CISSP 的 10 个 CBK 的内容，本文要介绍的即是 CISSP 认证考试的复习流程及资源。 J0ker 先给大家说说 CISSP 考试的复习流程，和其他考试一样，CISSP 考试的复 习也需要循序渐进，不断巩固，由于 CISSP 考试的广度和深度——”One Mile wide, One inch deep”，决定了复习的同时也是一个学习过程。因为要报考 CISSP 的朋友大多是各自单位的技术骨干和中高层管理，日常事务十分繁忙，所以复习 的时间安排和计划对考试的成功显得无比重要。 怎么制定复习计划 知己知彼，方可百战不殆。考生应该先了解一下 CISSP 考试的 10 个 CBK 的组 成和内容，根据自己的情况将掌握得较好、较差的 CBK 分别列到表里，并以此 为根据安排各 CBK 复习的优先度。考生还需要根据自己空闲时间的多少，合理 的进行分配，比如，如果有半年的准备时间的话，每天保证 1 到 1 个半小时复习 即可，如果准备的时间较短，可以斟酌增加每天复习的时长。 进行复习 制定好复习计划之后，考生便可每天按照计划好的优先度和时间安排进行复习。 复习中有 2 个要点，其一复习贵在坚持，持续的复习可以保持考生对 CISSP 知 识的掌握程度，三天打鱼，两天晒网只不过是在浪费时间；其二复习不可偏颇， 考生应该对自己掌握较好的章节也进行全面复习，CISSP 考试的广度往往出乎过 分自信的考生意料之外。 如何巩固复习效果 在 CISSP 考试的复习过程中做些模拟题是必须的，但因为 CISSP 考试出题相当 灵活，如果考生想靠猜题、押题来通过 CISSP 考试，恐怕只会换来一个失败的 结果。J0ker 的建议是，CISSP 考试说到底是考察考生的能力和经验，如果考生 有条件的话，对掌握不好，平时也没有机会接触的内容自己做个模拟环境来实践 一 下 ， 比 如 Telecommunication and Network security 、 Operational Security 等 CBK，都可以自己实验一下。另外，考生可以精选 1 到 2 个模拟题库，时不时对 自己的复习情况进行检查，做错的题目应该记录起来，重新对涉及到的 CBK 内 容进行复习。 CISSP 考试复习中可以用到的资源： 复习书籍 目前市面上 CISSP 考试复习的书籍不少，内容虽然大同小异，但写作风格写作 水平是大不相同，有的追求语言生动易懂，有的则比较详细枯燥。考生如何选择 适合自己的 CISSP 复习材料？J0ker 觉得选择的标准应该由考生自身的语言水平、 信息安全从业经验等来决定，在语言水平差不多的情况下，如果考生的从业经验 较多，但对概念的把握上仍有欠缺，可以选择 CISSP official guide 解释概念较为 详细的材料；如果考生平时主要从事咨询或管理类的工作，具体技术方面的经验 不足，则可以选择 CISSP All in One 3rd 或者 Pre guide 2nd 这样的材料，它们生 动的描述会使技术方面的难题变得容易理解；还可以准备一本 Exam Cram 的 CISSP 小书，出差或旅行时可以随手翻阅。 在线资源 在准备 CISSP 考试时，考生同样有丰富的在线资源可以选择，不过首选的依然 是(ISC)2 的官方网站，考生可以从上面得到最新的考试通知、考试资源等，(ISC)2 官方所提供的 Resource Guide 也包含了许多对 CISSP 考试很有用的在线资源、参 考资料等。另外，国外的 也有不少的在线资源可供选择，比如电子杂 志、论坛、免费的在线视频等。 模拟题库 模拟题库在 CISSP 考试的复习中可以起到查漏补缺的作用，也可以帮助考生熟 悉 CISSP 考试的难度和出题方式，不过选择模拟题库也不是题越多越好，关键 还是要看模拟题库的题量是否适中，出题的难度和问法是否和真实考试接近。 J0ker 认为， 上所提供的 CISSP 在线测试题库（1000 题）和 Acutaltest 提供的 CISSP 模拟题库都比较好用， 的题较浅但覆盖知识点也较全， Acutaltest 的题的问法更接近真实的 CISSP 考试。J0ker 当时主要用的就是 Acutaltest 的题库，尽管在真实 CISSP 考试中找不到和 Acutaltest 题库相同的题目， 但 Acutaltest 题贴近真实考题的特点使 J0ker 在考试能得以提高不小作答的速度 和准确率。 Where to ask 如果考生在复习 CISSP 知识的过程中遇到问题，可以选择论坛等在线途径向 CISSP 们请教，国外较好的是 的论坛，因为在 的论坛上回答 一定数量的问题可以得到 CPE 的奖励，CISSP 们通常会比较乐意回答论坛上的 问题。中文方面的资源可以选择国内的 的论坛，上面同样有许多 热心的 CISSP 会回答考生各方面问题，不仅仅是 CISSP 知识点，还包括 CISSP 考试的方方面面。J0ker 也欢迎大家来询问 CISSP 方面的问题，J0ker 会尽自己一 份微薄之力为大家的 CISSP 历程提供尽可能多的帮助 : )