直通车降价:CISSP认证考试介绍

阅读提示：CISSP认证是目前世界上最权威、最全面的国际化信息系统安全方面的认证。CISSP认证已成为IT行业的十大资质认证之一。

信息系统安全专业人员CISSP资格认证

CISSP简介

CISSP认证是目前世界上最权威、最全面的国际化信息系统安全方面的认证。CISSP认证已成为IT行业的十大资质认证之一。目前，全球已经有13000多人通过CISSP 专业认证，其中亚洲区有3000多人，覆盖60多个国家和地区，其权威性得到了国际上企业、金融、学术、政府等多个行业的认可。在香港，政府部门、金融机构等已明确规定了他们的信息系统安全从业人员主管级以上的必须获得CISSP专业资格认证，目前香港已拥有800多名CISSP，而且参加考试的人士还在不断呈上升的趋势，而中国目前只有30多名，远远不能满足实际需求，CISSP 目前是中国紧缺之才，前景美好。

随着全球性信息化的深入发展，信息网络技术已广泛应用到企业商务系统、金融业务系统、政府部门信息系统等，由于Internet具有开放性、国际性和自由性等特点，因此为保护机密信息不受黑客和间谍的入侵及破坏，各系统对网络安全的问题日益重视，在此方面的投资比例亦日趋增大。为此，建立一套统一的标准，培养合格的信息安全专业人员来应付网络安全的需要显得尤为迫切。 CISSP（Certified Information Systems Security Professional，信息系统安全专业人员资格认证）正是为了满足此方面的需求发展而来，并在信息系统安全领域发挥了极为重要的作用。CISSP由国际信息系统安全认证协会(ISC)2组织和管理，(ISC)2在全世界各地举办考试，符合考试资格的人员在通过考试后被授予CISSP认证证书。

CISSP可以证明证书持有者具备了符合国际标准要求的信息安全知识水平和经验能力，提升其专业可信度，并为企业和组织提供寻找专业人员的凭证依据，目前已经得到了全世界广泛的认可，在很多跨国公司的职位说明书上已经明确要求应聘者需要具备CISSP等相关资质。

（ISC）2机构简介

国际信息系统安全认证协会（International Information Systems Security Certification Consortium），简称(ISC)2 ，于一九八九年由多个组织在北美共同设立，是一个全球性的非营利组织，其成立的宗旨是为信息安全行业发展出一套业界承认的标准，并致力于国际标准的信息安全专家和从业人员认证和培训，

◆维护一个关于信息安全的公共知识体系（Common Body of Knowledge）

◆依照一套国际性的信息安全标准来认证安全专家（CISSP）和从业者（SSCP）

◆ 管理培训和认证考试，并通过持续教育来确保证书的实效性目前(ISC)2颁发的证书有两种：

◆CISSP（Certified Information Systems Security Professional）SSCP（System Security Certified Practitioner）

◆(ISC)2于1995年在加拿大多伦市多举办第一次公开CISSP考试，截至2002年12月底全球有60多个国家的13,397人获得了CISSP证书。

(ISC)2 网址： http://www.isc2.org

CISSP考试

CISSP认证要求信息系统安全从业人员对安全事项有广泛的认识。根据信息系统安全的共通知识CBK（Common Body of Knowledge），制订CISSP资格考试。

CBK是一门国际性的专业知识，由十个领域组成：

◆ 安全管理实务(Security Management Practices)

◆ 访问控制(Access Control Systems)

◆通信和网络安全(Telecommunications and Network Security)

◆ 密码学(Cryptography)

◆ 安全体系和模型(Security Architecture and Models)

◆运作安全(Operations Security)

◆ 应用程序与系统开发(Applications and Systems Development)

◆ 业务连续性计划与灾难恢复 (Business Continuity Planning and Disaster Recovery Planning)

◆ 法律、犯罪调查及道德规范(Law ,Investigations ,and Ethics)

◆物理安全(Physical Security)

CISSP考试的内容覆盖CBK的10个专业范畴，题目的范围很广但深度并不深。对于从事具体工作的专业人士，非常深入的掌握所有CBK覆盖的知识是不现实的，并不要求考生是每个安全领域经验丰富的专家，但应该对信息安全所覆盖的各个不同的知识点都必须了解。根据笔者的经验，CISSP考试对物理安全、法律和密码学部分不会出现非常深入的题目。

CISSP的考试由250道单项选择题构成，目前只有英文试题，需要在6个小时内（上午9时至下午3时）完成，一般来说没有时间压力。题目来自(ISC)2的题库，每次考试题目都会有所变化，根据笔者的经验，每次考试的题目都会有所侧重当前的安全热点问题。在250道题目中只有225道题目计分，其余的25道题目是用于调查的目的，但这些题目并不明确的标注出来。通过成绩一般是答对计分的225题中的70%。

考试的题型比较简介，缩写形式都会有注明，题目的设置是与厂商或操作系统无关的，不会出现基于某种具体应用（如Windows或UNIX）的问题。由于参加考试的前提是考生至少具备3年的工作经验，所以考试题目重视的是考核考生是否具备专业的实际经验。虽然书面知识对于理解理论、概念、标准和法规等非常重要，但不能取代处理实际问题的能力。

CISSP考试的最大挑战就在于每个考生并非对于安全的10个范畴都熟悉。比如一个考生可能对安全测试和攻击手法非常精通，但他不一定熟悉物理安全、密码学或安全管理。为迎接考试而准备的学习，非常有助于拓展考生的安全知识领域。

CISSP考试资格

1、签署及遵守(ISC)2的道德规范（Code of Ethics）

2、在CBK的10个领域中的一个或以上最少具备三年经验

为保持其资格，CISSP持有人须每三年获取120个持续专业教育（Continuing Professional Education）的学分, 或者重新参加考试。

考试、报名日程

由各授权考试中心计划，向ISC2申请安排，基本上每年举行5次。

CISSP CBK培训

CISSP CBK培训为业界最理想的CISSP考试辅导课程，课程是为期5天的密集式课程，涵盖CBK的十个领域，每个范围都设计信息安全的若干方面。培训教材根据信息安全专业的实践制定，其中包括妥善的运作实务及国际考虑因素。

认证培训对象：

◆企业信息安全主管

◆信息安全业内人士

◆IT或安全顾问人员

◆IT审计人员

◆安全设备厂商或服务提供商

◆信息安全类讲师或培训人员

◆ 信息安全事件调查人员

一、CISSP 考试内容

CISSP 的考试题目为250 题单项选择题，均为英文试题，所有考题必须在6 小时之内作答完毕，其范围都与信息安全有关，包含信息安全管理、访问控制、通信及网络安全、计算机运作安全、密码学、应用程序及 系统开发、信息安全架构及模型、物理安全以及业务连续性规划和灾难恢复、道德法律等共有十个领域(Domain)的专业知识。

二、学习考试总结

1.准备

首先要花一些银子购买书籍、到网络上搜集各种资源，包括订阅邮件列表，到一些CISSP交流网站注册用户。CISSP考试是英文 考试，你的英语能力必须过关，不然会很痛苦（如果CISSP改成中文考试，我想通过的人会更多），不要寄希望考试时查字典。但是 参考书无所谓，只要对知识的描述没有错误，一些关键的地方最好还是参考英文描述。

制定学习计划，重在坚持。每个人从业和擅长的领域不同，不熟悉的领域可以多花些时间。一般安全管理和加密方面的题目最难，考试中 的比例也不小。道德法律方面的题目一般很直观，不要花时间去研究美国的法律。

我参考了《CISSP认证考试指南》、《CISSP All in One》、《Handbook of Information Security Management》和《The CISSP Prep Guide》。CISSP认证考试指南是colobaby翻译的，比较直观易懂，但是上面的知识组织形式还不错，可以先看看这本书，了解一下CISSP的十个领域。All in One里面的知识比较丰富，但很多考试用不上，不过还是全文通读一下比较好，我看了两遍。Prep Guide里面完全覆盖ISC2的CBK（Common Body of Knowledge）知识点，比起ALL in One精炼很多，是一本很好的复习资料。Handbook of Information Security Management是一本关于信息安全管理方面的书，对CISSP的考试没有针对性的帮助，但对于理解信息安全方面的一些知识 很有帮助，如果有时间，看看这边书将获益非浅。 
有一本小册子，叫做CISSP Exam Cram Book,很精练，可以用于临阵磨枪，发现复习的遗漏点。

CISSP考的是广泛的安全领域的知识，不可能有那一两本书可以完全覆盖。除了购买考试书籍之外，对信息技术各个领域的知识获取 对丰富知识面是很重要的。通过平时的工作实践、阅读各种安全杂志、邮件列表，或者通过网络途径与已经获得认证的人的交流都是很重 要的。如果有信息安全方面两年以上的工作经验，我觉得准备一到两个月就差不多了。我实际准备了两周不到（呆在家看书，中间出了一 趟差）。

2.学习

CISSP考试不存在侥幸，如此大的题量不允许任何的投机，虽然有些题不算分，但期望你不会的题都是不算分的题也有点夸张。不过 有计划地刻苦学习，加上端正的态度和扎实的基础，还是有可能在短时间内取得很好的效果。

技术方面的知识没有什么好说的，有清晰的概念就可以了，要注意增加一些近期新技术方面的知识。但是安全管理方面的题目就不只是概 念的问题了，这种题目有一定的灵活性，有的是场景题。

自己不擅长的领域一定要多用时间，弄清楚关键概念，要勤翻书，勤查资料。几种资料在一起对比着学习，可以加深理解。但有的问题可 能几种资料说法不一，需要请教有经验的同事或者专家。一定要在考试之前确保没有遗漏，因此执行计划是最重要的。 

3.练习和模拟考试

CISSP的考试书籍往往会有一定的练习题，不过这些练习一般是根据书籍本身而定的。在刚读完一个Domain后，做这一章的练 习就会觉得太简单。All in One的题目太少而且简单，Prep Guide的题目难度适中，Boson的考试模拟机还不错，可以用来检验一下准备的情况，我用的是5.3的版本，有三套题，第一 套是完全针对All in One里的知识点，做一边等于复习一下，第二套是参考Handbook of Information Security Management做的考题，如果没看过这本书，你会信心大减（准确率会比较低），不过没关系，通过这套题你可以学到一些知识 ，第三套题是参考其它资料，主要就是Prep Guide。做完BOSON的题，应该对巩固CBK的知识点很有帮助，但大家不要希望在考试中会有类似题目，实际考试中，直接考 察知识点的题很少，大多是要你理解概念，需要你分析情况得出最好的答案。

4.考试

考试前的报名准备工作要提前进行，包括正确充分的报名材料。收到确认函后，到考试地点的交通和住宿，一定不要出错。如果通过考试 ，确认函上面的ID就是你的CISSP证书ID。

六个小时笔试考试比较辛苦，一定要做好充分的准备，可以带一本英汉字典（不能是电子的）。

考试答题卡的填写一定不要自己随意填，在监考人员的指导下进行，时间足够的：）

所有的题目均为单选，选择最恰当的答案。

考试中的技巧自不多言，根据自己的习惯和实际情况。

5.等待

等待考试结果和CISSP证书的到来。

CISSP考试总分1000分，700分通过，但老外的计分标准和中国不太一样，考过托福就能理解。而且考试时有四套题，根据难 度，计分标准也不一样。如果考试结束后收到的邮件里告诉你考试的分数，那就需要再考一次了：（。

这次考试结果出来非常快，我在4月7日就收到了邮件。一般结果会在3周内给出，如果到时没有收到，可以去ISC2问询。收到邮件 后，需要找一位CISSP进行推荐，然后ISC2会寄给你证书。

附：参考资料

书籍：

CISSP Exam Cram Book

Handbook of Information Security Management

The CISSP Prep Guide

网站：

www.cissp.com

www.ccure.org

www.cissp.org.cn

rr.sans.org

www.securityfocus.com