CISSP之路：CISSP简介

                                                                  作者：安言咨询 J0ker

本文是《J0ker的CISSP之路》系列的第一篇文章，J0ker打算简要向读者介绍一下CISSP的背景知识，下面我们先来看CISSP认证的颁发机构(ISC)²:

(ISC)²组织介绍：

(ISC)²是信息安全领域的顶级认证机构之一，它成立于1989年，到现在为止已经给超过120个国家的五万多名安全专家授予了相关认证。（ISC）2目前提供6种认证，分别是：

SSCP（System Security Certificated Practitioner） 注册系统安全执业者

CAP（Certification and Accreditation Professional）认证和评审专家

CISSP (Certificated Information System Security Professional) 注册信息系统安全专家

以及CISSP的升级版本：

CISSP-ISSAP (Information System Security Architecture Professional) 信息系统安全架构专家

CISSP-ISSMP（Information System Security Management Professional） 信息系统安全管理专家

CISSP-ISSEP（Information System Security Engineering Professional） 信息系统安全工程专家

(ISC)²同时也向公众提供信息安全方面的教育和咨询服务。想了解关于（ISC）2更多信息的朋友可以直接登录(ISC)2的官方网站，(ISC)2的官方网站是http://www.isc2.org。

 CISSP认证的背景:

(ISC)²提供的6种认证中，知名度最高和持有者人数最多的是CISSP。截至2007年4月底，全球共有48598名CISSP，其中人数最多的是美国，现有30385名，中国大陆有371名。因为CISSP的升级版本ISSAP和ISSMP要求考试的报名者必须是CISSP，而且有一定的相关领域工作经验要求，所以在国内除了香港18名台湾4名持有者之外，大陆还没有持有者，而ISSEP因为只在美国国内有效，所以在美国之外地区基本没有持有者。至于(ISC)²较为低端的SSCP和CAP认证，由于其定位和考核内容的原因，在国际上的接受程度不高，所以除了美加两国外，其他国家的持有者都很少。有兴趣的朋友可以到https://www.isc2.org/cgi-bin/constituent_count.cgi查看(ISC)²各种认证的最新持有人数。

CISSP认证是国际上最权威、最受认可的信息安全认证，它同时也是信息安全领域第一个通过ISO17024:2003标准的认证。CISSP针对的主要认证对象为在企业处于中高层、已经或打算成为CISO(Chief Information Security Officer)、CSO(Chief Security Officer)或高级安全工程师的信息安全人员。

CISSP认证的考核范围包括10个方向，称为CBK（Common Body of Knowledge）包括：（按首字母排序）

1、  Access Control 访问控制

2、  Application Security 应用安全（包括开发）

3、  Business Continuity and Disaster Recovery Planning 业务持续性和灾难恢复计划

4、  Cryptography 信息加密

5、  Information Security and Risk Management 信息安全和风险管理

6、  Legal、Regulation、Compliance and Investigation 法律、法规、调查

7、  Operations Security 操作安全

8、  Physical （Environment） Security 物理（环境）安全

9、  Security Architecture and Design 安全架构和设计

10、Telecommunication and Network Security 通讯和网络安全

CISSP认证以考察考生对信息安全技术掌握的全面程度而著称，这10个CBK里面几乎全部包含了当前信息安全领域的知识。不过CISSP的试题难度并不是大家想象中那么难，排除语言的原因之外（CISSP试题是全英文的），几年安全从业经验再加上考前抽时间认真复习，一次通过考试的几率还是比较大的。用一个最恰当的句子来形容CISSP的考试，就是“One mile wide，One inch deep“，考试范围之广和试题的难易程度可见一斑。但试题的简单并不说明CISSP的试题是可以轻松搞定的，因为，即使没有语言障碍，考前也经过充分的复习，拿到试卷后考生会发现CISSP的考试将是一场严峻的考验——在6个小时内，考生需要完成250道选择题，平均每道选择题只有一分半钟的时间可以思考，而且由于CISSP考试使用标准化答卷，考生要留出大概半个小时的时间把答案填到答卷上，事实上考生用来完成每道题的时间只有一分钟左右。CISSP考试也不是光靠死记硬背复习资料就能解决的，大部分题目都是给出现实中的一个场景，让考生分析后再选出正确的答案，有些迷惑性比较强的题目不是4选1，而只能凭感觉在2个相似答案中选其一。

每次CISSP考试的通过率都不算低，但还是有大概一半的考生无法通过考试。他们并不是说个人能力有问题，很大程度上还是因为CISSP考试考察的范围太广。尽管如此，J0ker相信，即使他们没有通过CISSP的考试，但通过学习CISSP的课程，他们对信息安全的知识水平和整体把握能力都会有一个较大的提升，这将成为他们安全从业经历中一份不可多得的宝贵经验。