為什么成為CISSP持證專家��?
隨著世界的變化���,社會對安全和技術改進的需求不斷增長��。公司和其他組織迫切需要找到并招募才華橫溢���、經驗豐富的安全專家���,因為只有這些專業人員才能保護公司和組織賴以生存和保持競爭力的寶貴資源。作為一名認證信息系統安全專家(CISSP)���,你將被視為一名能力過硬的安全專家,并已成功滿足了預計的知識和經驗標準��,在整個行業中廣為人知且獲得尊重��。通過保持此認證的有效性��,將證明你致力于跟上安全發展的步伐。
下面列出獲取CISSP認證資格的一些理由:
● 擴展你當前對安全概念和實踐的了解
● 展示你作為經驗豐富的安全專家的專業知識
● 在競爭激烈的勞動力市場中占據優勢
● 增加薪水并有資格獲得更多就業機會
● 為你當前的職業帶來更高的安全專業知識
● 表現出對安全紀律的獻身精神
CISSP認證可幫助公司確定某人具有實施可靠安全措施所需的能力���、知識和經驗;進行風險分析��;確定必要的對策��;并幫助整個組織保護設施���、網絡���、系統和信息��。CISSP認證還向潛在雇主表明你已達到安全行業所需的技能和知識水平。安全對于成功企業的重要性在未來只可能不斷增加���,從而導致對高技能安全專家的更高要求。CISSP認證表明���,受人尊敬的第三方組織已經認可了個人的技術和理論知識以及專業知識,并將該個人與缺乏這種知識水平的人區分開���。
對于優秀的網絡管理員、編程人員或工程師來說���,理解和實現安全應用是一項至關重要的內容。在大量并非針對安全專家的職位描述中���,往往仍要求應聘人員正確理解安全概念及其實現方式���。由于人員規模和預算限制��,許多組織負擔不起聘用單獨的網絡和安全人員的開銷��。但他們仍然認為安全性對組織至關重要;因此���,經常嘗試將技術和安全知識合并到一個角色中。通過CISSP認證���,你就會比其他應聘人員更有優勢。
CISSP考試
因為CISSP考試涵蓋構成CISSP CBK的8個領域,所以它通常被描述為“一英寸深���,一英里寬”��,這是指許多考題不很詳細,也不要求考生是每個學科的專家��;但這些考題確實要求考生熟悉許多不同的安全主題��。
截至2017年12月18日���,CISSP考試有兩個版本���,即英文版和非英文版��。英文版現在是一種計算機自適應測試(CAT),在這個測試中���,考題數量從100道到150道,具體取決于考生的知識水平���;其中,25道題不計入分數���,是為了將來的考試而評估的(有時被稱為預測試)����;旧希瑴y試軟件越容易確定考生的熟練程度,考題就越少��。不管問了多少問題���,考生完成測試的時間都不會超過3小時���。當系統成功評估了考生的知識水平后��,不管考生用了多長時間��,測試都將結束。
考試提示:
英文版CAT考試系統將對CISSP考生的知識掌握程度進行估計��,并相應調整CAT考題��,使考生感到問題“較難”��。不要灰心;只是要注意不能停滯在某一道題上��,因為必須在3小時內至少回答100道題���。
非英文版的CISSP考試也基于計算機���,但不是自適應的���,包括250道題���,回答時間不超過6小時��。與CAT版本一樣���,有25道題是預測試(不得分),將根據考生的其他考題來計分���,共225道題。有25個研究考題被整合到考試中��,所以考生不知道哪一個會影響最終成績��。要通過考試��,考生需要在1000分中得到700分。
不論考生參加哪個考試版本���,都會遇到多項選擇和創新性考題。創新性考題包含拖放(將術語或條目拖到框中的正確位置)或熱點(單擊正確回答考題的條目或術語)界面,但要加權��,與其他任何考題一樣計分��。從更大的題庫中提取考題���,以確保每個考生的考試盡可能唯一���。此外���,題庫不斷變化���,以更準確地反映真實的安全領域������?碱}會不斷輪換���,并根據需要進行替換��。根據考題的難度進行加權;并非所有考題的得分都相同����?荚嚥皇轻槍Ξa品或供應商的��,這意味著沒有考題針對某些產品或供應商(如Windows、UNIX或Cisco)��。相反���,將通過這類系統所用的安全模型和方法進行測試��。
考試提示:
猜錯不會倒扣分數���。如果考生無法在合理時間內回答出正確答案���,那么建議猜測答案并繼續下一道題��。
(ISC)2(International Information Systems Security Certification Consortium,國際信息系統安全認證聯盟)在CISSP考試中也包括基于場景的考題��。場景題向考生呈現一個簡短場景��,而非要求考生識別術語和/或概念��。場景題的目標是確保考生不僅理解CBK中的概念���,而且可將這些知識應用到實際中。這更實用���,因為在現實中,考生不會因為有人詢問“共謀的定義是什么��?”而受到挑戰��;除了解術語的定義外,考生還需要知道如何檢測和防止共謀的發生。
通過考試后,將要求考生提供由背書人支持的文檔���,以此來證明考生確實具有獲得此認證所需的經驗。背書人必須簽署一份憑證,為考生提交的安全工作經驗提供擔保��。因此���,在注冊考試和付款之前���,請聯系好一位背書人�����?忌隙ú辉敢饪吹竭@樣的局面:在支付費用并通過考試后���,卻發現無法找到背書人幫助考生完成獲得認證所需的最后步驟���。
提出背書要求的原因是為了確保獲得認證的人員具有為組織提供服務的真實經驗��。書面知識對于理解理論、概念���、標準和法規極為重要,但永遠不能替代動手實踐。證明考生的實踐經驗可以證明認證的相關性。
通過考試后��,將隨機抽取一小部分考生作為樣本進行審核。審核人員主要來自(ISC)2的兩個人��,他們將通過拜訪考生的背書人和聯絡人來核實考生的相關經歷��。
使CISSP考試具有挑戰性的因素之一是���,盡管大多數考生都在安全領域工作��,但他們不一定熟悉所有8個CBK安全領域。例如��,如果某個安全專家是漏洞測試或應用程序安全方面的專家���,那么他可能并不熟悉物理安全性���、加密或取證��。因此,學習此考試將拓寬考生對安全領域的了解���。
考題涉及8個CBK安全領域,如下表所示���。
安全領域 描述
安全和風險管理 該領域涵蓋了信息系統安全的許多基本概念。該領域的部分主題包括:
? 可用性、完整性和機密性的原則
? 安全治理和法規遵從性
? 法律和法規問題
? 職業道德
? 人員安全策略
? 風險管理
? 威脅建模
資產安全 該領域解釋了在整個信息資產生命周期中如何對信息資產進行保護。該領域的部分主題包括:
? 資產識別和分類
? 維護信息和資產所有權
? 隱私
? 資產留存
? 數據安全控制
? 信息和資產處理要求
安全架構與工程 該領域解釋了在面對無數威脅的情況下如何保護信息系統發展的安全。該領域的部分主題包括:
? 安全設計原則
? 選擇有效的控制措施
? 緩解脆弱性
? 密碼學
? 站點和基礎設施的安全設計
? 物理安全
(續表)
安全領域 描述
通信與網絡安全 該領域解釋如何保護網絡架構、通信技術和網絡協議的安全��。該領域的部分主題包括:
? 安全網絡架構
? 安全網絡組件
? 安全通信信道
身份與訪問管理 身份與訪問管理是信息安全中最重要的主題之一���。該領域涵蓋了用戶和系統之間���、系統和其他系統之間的相互關系��。該領域的部分主題包括:
? 控制對資產的物理和邏輯訪問
? 身份標識與驗證
? 身份即服務
? 第三方身份服務
? 授權方式
安全評估與測試 該領域解釋了驗證信息系統安全性的方法��。該領域的部分主題包括:
? 評估和測試策略
? 測試安全控制
? 收集安全過程數據
? 分析和報告結果
? 開展和促進審計
運營安全 該領域涵蓋了在我們日常業務中許多維護網絡安全的活動。該領域的部分主題包括:
? 支持調查
? 調查類型及其要求
? 日志和監控
? 安全配置資源
軟件開發安全 該領域解釋了應用安全原則去獲取和開發軟件系統。該領域的部分主題包括:
? 軟件開發生命周期中的安全
? 開發環境中的安全控制
? 評估軟件安全性
? 評估所購軟件的安全性
? 安全編碼準則和標準
(ISC)2試圖通過每年向測試題庫添加許多新考題,來反映安全領域技術和方法的變化���。這些考題基于當前的技術、實踐、方法和標準��。例如��,1998年進行的CISSP考試沒有關于無線安全性���、跨站點腳本攻擊或IPv6的考題���。
書中包含哪些內容?
《CISSP權威指南(第8版)》涵蓋了成為(ISC)2認證CISSP所需的全部知識。講述企業如何制定和實施策略、程序、指南和標準��,并解釋原因���。涵蓋網絡���、應用程序和系統漏洞��,漏洞被利用情況���,以及如何應對這些威脅������!禖ISSP權威指南(第8版)》解釋物理安全���、操作安全以及系統如何實現其安全機制���。還回顧美國和國際安全標準以及在保證評級系統上執行的評估���,分析這些標準的含義以及使用它們的原因�����!禖ISSP權威指南(第8版)》還解釋了圍繞計算機系統及其所擁有數據的法律和責任問題,包括計算機犯罪��、法證學等主題,以及如何為出庭準備計算機證據。
雖然《CISSP權威指南(第8版)》主要是用作CISSP考試的學習指南��,但在考生通過認證后��,《CISSP權威指南(第8版)》仍不失為一本不可替代的重要參考用書。
參加CISSP考試的提示
很多考生覺得考題很棘手��。一定要仔細閱讀考題和所有備選答案���,而不是看了幾個單詞就斷定自己已知道考題的答案��。有些答案選項可能只有細微差別���,所以要有耐心��,多花時間通讀考題。
有些考生抱怨CISSP考試略帶主觀色彩��。例如��,有這樣兩個考題���。第一個是技術考題���,考查的是防止中間人攻擊的TLS(Transport Layer Security��,傳輸層安全)所用的具體機制;第二個考題則詢問周長為8英尺的柵欄提供的是低級���、中級還是高級安全防護��?忌鷷l現��,前一個考題比后一個考題更容易回答��。許多考題要求考生選擇“最佳”方法,有些考生認為這是令人困惑和主觀的��。這里提到這些抱怨不是為了批評(ISC)2和出題人員���,而是為了幫助考生更好地備考������!禖ISSP權威指南(第8版)》涵蓋了考試必需的所有材料��,并包含了許多問題和自測試卷。大部分問題的格式與實際試題相同���,使考生能更好地準備應對真實考試。所以���,一定要閱讀書中的所有材料,并密切注意問題及其格式。有時��,即使考生對某個主題十分了解���,也可能答錯題���。因此���,考生需要學會如何應試��。
在回答某些問題時���,重要的是要記住��,一些事物比其他東西更有價值。例如���,保護人身安全和福祉總比其他所有應對措施更重要。同樣��,如果其他所有因素都相等���,考生可選擇昂貴和復雜的解決方案��,又可選擇更簡單和便宜的解決方案,那么第二個方法在大多數情況下都會勝出��。專家建議(如律師的建議)比憑據較少的人士提供的建議更有價值。如果某道題的可能答案之一是尋求專家的建議或向其尋求建議,請密切注意該類考題。正確的應對措施很可能就是尋找該專家��。
CISSP考生需要熟悉行業標準��,并了解自己工作之外的技術知識和方法���。必須再次強調的是���,考生可能僅在特定領域是佼佼者��,并不意味著考生對考試涉及的每個領域都做好了充分準備。
當CISSP考生在Pearson VUE測試中心參加CISSP考試時,其他認證考試可能在同一房間同時進行��。如果看到其他考生很早離開房間��,不要著急���;其他人可能正在參加一項時間較短的考試���。
如何使用這本書
《CISSP權威指南(第8版)》的作者盡了很大努力才將所有重要信息匯編成書���;現在��,輪到你盡力從《CISSP權威指南(第8版)》中汲取知識了。要從《CISSP權威指南(第8版)》受益最大,可采用以下學習方法:
● 認真學習每一章,確保理解了每一個概念��。對許多概念必須完全理解��,如果對一些概念似懂非懂��,那么對你來說將是非常不利的。CISSP CBK包含數百個不同主題,因此需要花時間掌握這些內容。
● 確保學習并回答所有問題���。如果有任何疑問使你感到困惑��,那么需要再次閱讀相關的章節���。請記住��,實際考試中的某些問題含糊其辭,看上去較難回答��,不要誤以為這些問題表述不清而將其忽視���。相反��,它們的存在具有明確的目的性���,對此要特別注意���。
● 如果你不熟悉特定主題���,如防火墻��、法律、物理安全或協議功能���,請使用其他信息源(書籍、文章等)來更深入地了解這些主題���。不要僅依靠你自認為需要知道的東西來準備CISSP考試。
● 閱讀《CISSP權威指南(第8版)》后��,你需要學習所有問題和答案���,并進行自測��。然后復習(ISC)2考試大綱��,確保對所呈現的每個條目都很熟悉���。如果對某些條目不夠熟悉��,請重新閱讀相關章節��。
● 如果你參加了其他認證考試(如Cisco、Novell或Microsoft),則可能習慣于記住一些細節和配置參數。但請記住,CISSP測試是“一英寸深,一英里寬”���,因此在嘗試記住具體細節之前��,請確保了解每個主題的概念。
● 記住���,考試是在尋找“最佳”答案。在一些問題上���,你可能不同意其中一個或多個答案。你需要從提供的4個答案中選出其中最合理的那一個���。
在線內容
考生可參考《CISSP權威指南(第8版)》附錄,訪問在線內容��。
新書資訊