cissp认证的介绍(ZT)

mugen

CISSP 认证考试总结 (ZT)
By 贾文军

我通过了2002年5月18日在中国深圳举办的CISSP认证考试。

一、CISSP 认证简介
CISSP 认证是由国际信息系统安全认证协会International Information Systems Security Certification Consortium(简称(ISC)2)在全世界各地所举办的考试，符合考试资格人员于通过考试后授予CISSP认证证书。(ISC)2 成立于1989年，是一个非盈利性组织。CISSP 目前已成为全球公认评价信息安全专业人员资质的重要参考依据，同时为了保持专业知识、技能及竞争优势，(ISC)2 要求取得CISSP认证的人员必须持续进修，在三年内累积120个CPE（进修点数，可以通过从事相关工作或研究等获得），否则必须重新参加考试，才能继续保持CISSP 资格，同时(ISC)2 在网站上公布CISSP 认证证书合格人员的基本资料，供全球查询。

【我国、香港、日本、韩国、新加坡的情况】
CISSP 的考试题目为250 题单项选择题，均为英文试题，所有考题必须在6 小时之内作答完毕，其范围都与信息安全有关，包含信息安全管理、访问控制、通信及网络安全、计算机运作安全、密码学、应用程序及系统开发、信息安全架构及模型、物理安全以及业务连续性规划和灾难恢复、道德法律等共有十个领域(Domain)的专业知识。

二、CISSP 考试
我参考了《SRV的考试指南》和《CISSP All in One》。SRV套书虽然有点老（现在有第二版），但是上面的知识组织形式很不错。练习那本书我没有时间看完，但是相信练习对实际参加考试会有很大帮助。All in One里面的知识比较丰富，但是有些东西很罗嗦，但我还是坚持通读了一遍。

还有一本小册子，叫做CISSP Exam Cram Book,很精练。另外还有几个网站上提供类似Cram的东西，可以用于临阵磨枪，发现复习的遗漏点。

CISSP考的是广泛的安全领域的知识，不可能有那一两本书可以完全覆盖。除了购买考试书籍之外，对信息技术各个领域的知识获取对丰富知识面是很重要的。通过平时的工作实践、阅读各种安全杂志、邮件列表，或者通过网络途径与已经获得认证的人的交流都是很重要的。

参加5.18日的考试，公司给予了很大的支持和帮助。考试是由(ISC)2香港总部在深圳举办的，那几天深圳天气还可以，心情也不错。不过考试还是有压力的，一是国内第一次考试，不敢说有很大把握，二是公司寄予很大的希望，有些担心。考前我们几个各地的同事在一起聊天，谈工作和公司的事情，兴奋得到夜里十一点多又煞有介事地“临阵磨枪”到一点多，实在是担心第二天无法坚持六个小时的考试，这才睡下。

到了考场后，一下子轻松了许多，教室宽阔明亮，感觉得特别亲切（好久没有进过大学的教室了），而且发现很多面孔都很熟悉，都是以前的同事或者同事的朋友或者朋友的同事，见了他们，信心增加了不少。

考前阅读英文考试指令的过程就像大学里的四六级考试，不过更冗长，加上香港普通话的旁白也还是听不大懂。不过这辈子考试经过很多了，无所谓。按照监考的要求，将个人信息和试卷信息涂到答题卡上。试卷拆封后，看到五十多页的英文试卷觉得很兴奋，想了想开始的计划（包括涂卡，每小时50题），就开始答题了。

ISC2建议先做会的题，将没有把握的题做标记，然后再回头仔细推敲。这样的好处是可能从后面的题目中获得相关的信息。这个方法可能有的人喜欢，但是我认为250题太多了，何况做到最后不知道会是什么状态，说不定会混沌一团。我还是按照自己的计划，因为我觉得时间总是够的，平均每个题的时间是近1.5分钟。（考试可以带英汉字典，我只带了一本小字典。专业方面的词汇倒是不怕，就是担心有些日常词汇一下子忘记，会影响对题目的理解。按规定只可以带印刷版的字典，可是考试中竟然有人使用电子字典）。

六个小时的考试太痛苦了，建议大家随时准备一些提神醒脑的食品（不是兴奋剂），饮料不一定很多，我只带了半瓶从北京带去的水（喝多了容易紧张，紧张又想喝水）。两个半小时的时候，我做到了150题，看来时间不是问题。中间出去时看到前面那位还不到到100题（不是偷看），信心又增加了。感觉很疲倦，我准备休息一会儿。吃点东西，看看窗外的风景，又趴在桌子上做了一个梦。
后面的时间很痛苦，做题目的效率明显降低。最后25题用了近一个小时，不过终于是提前半个小时完成题目。最后的时间，应该是看看前面那些做标记的题目。果然如我所想，基本上后面的题目不会给你多大帮助，因为你真的忘记了。而且题目的第一印象往往是你头脑中的意识，很难有什么会帮助你做出改变。有的题目拿不准，想来想去还是选择最初的答案。这半个小时应该算是球场上的“垃圾时间”。

不过考试中间我发现了一个最大的错误，试卷号涂错了。考试中间走神，看到试卷下方的试卷号，想猜猜它是什么意思。我的试卷号是730010，我看看每张试卷都是，又看看封面。最后看看答题卡上，突然发现我在答题卡上涂成了730100，我惊出一头冷汗。一个CISSP差点被封杀！提醒大家开始还是注意考试指令，仔细检查。
考试历经艰难险阻，真是很精彩。试卷交上的时候，感觉很是自信。不过想起传说中三分之一的通过率，还是有些担心。不过总算考完了！

乘北航的飞机回到北京，想到很多的工作，还是把CISSP先忘掉的好。

6月6号的时候，手机日历提醒我两周到了（14个工作日，ISC2承诺的时间），我马上打电话到前台，失望的是没有我的信件。电子信箱里也没有。接下来的周末我还在想，还打电话到公司问有没有我的信件。

终于在6月12日的下午，我看到了(ISC)2 寄来的证书，很多同事向我表示祝贺，并让我请客。

CISSP 考试的范围非常广泛，而且每年都有新加的考题，又要求具备实践经验。在复习的时候我就想，不管怎么样，考完后一定要按照CBK的大纲，充实自己在各个方面的知识。在公司内应该组织这样的以Domain为主题的学习小组，小组内可以充分地交流。同时在工作中也应该去应用并丰富学习到的知识。

三、学习考试总结

1.准备
做好考试的心理准备和物质准备。心理准备自不必多说，参加过高考和考研的都有经验。物质准备无非食品、咖啡、音乐等以备深夜读书熬战之用。

当然，还要花一些银子购买书籍、到网络上搜集各种资源，包括订阅邮件列表，到一些CISSP交流网站注册用户。CISSP考试是英文考试，你的英语能力必须过关，不要寄希望考试时查字典。但是参考书无所谓，只要对知识的描述没有错误，一些关键的地方最好还是参考英文描述。

制定学习计划，重在坚持。每个人从业和擅长的领域不同，不熟悉的领域可以多花些时间。一般安全管理和加密方面的题目最难，考试中的比例也不小。道德法律方面的题目一般很直观，不要花时间去研究美国的法律。

2.学习
CISSP考试不存在侥幸，如此大的题量不允许任何的投机。不过有计划地刻苦学习，加上端正的态度和扎实的基础，还是有可能在短时间内取得很好的效果。

技术方面的知识没有什么好说的，有清晰的概念就可以了，要注意增加一些近期新技术方面的知识。但是安全管理方面的题目就不只是概念的问题了，这种题目有一定的灵活性，有的是场景题。自己不擅长的领域一定要多用时间，弄清楚关键概念，要勤翻书，勤查资料。几种资料在一起对比着学习，可以加深理解。但有的问题可能几种资料说法不一，需要请教有经验的同事或者专家。一定要在考试之前确保没有遗漏，因此执行计划是最重要的。

3.练习和模拟考试
按照(ISC)2的约定，考试者不得将考试题目以任何方式泄漏，通过考试的CISSP大都遵守这个规则。CISSP的考试书籍往往会有一定的练习题，不过这些练习一般是根据书籍本身而定的。在刚读完一个Domain后，做这一章的练习就会觉得太简单。SRV的练习题目太多，适合巩固知识。All in One的题目太少而且简单。Boson的考试模拟机不错，可以用来感受一下真实的考试。
通过大量的练习可以强化记忆，通过对比加深理解。模拟考试只是热身，不要因为模拟考试效果不好而影响情绪，一般现场发挥会更好，就像足球场上一样。

4.考试
考试前的报名准备工作要提前进行，包括正确充分的报名材料。收到确认函后，到考试地点的交通和住宿，一定不要出错。如果通过考试，确认函上面的ID就是你的CISSP证书ID。
六个小时笔试考试可能很少有人经历过，一定要做好充分的准备。所有的题目均为单选，选择最恰当的答案。
考试中的技巧自不多言，根据自己的习惯和实际情况。

5.等待
等待考试结果和CISSP证书的到来。

四、认证之后
CISSP需要遵守(ISC)2道德规范－Code of Ethics，并为信息安全做出贡献。考试并不是CISSP的终点，为了保持CISSP认证的先进性和竞争力，(ISC)2要求CISSP在三年内取得120个CPE，否则需要重新参加认证考试。

CISSP考试的CBK覆盖了安全的各个方面，但是考试的深度不够。信息安全方面的其它认证可以弥补这一点，向GIAC、SANS及CISCO、CheckPoint等专业厂商提供的安全认证。

五、后记
传言中国人善于考试，有的考试到了中国会做的很滥。仅仅取得认证不是CISSP的真正目的，与(ISC)2的宗旨相违背。也许，未来的两年CISSP将热遍中国，但愿这些CISSP能够在中国信息安全领域做出真正的贡献，成为未来中国信息安全的中坚，而不仅仅是一张纸文凭。

附：参考资料
书籍：
SRV Examination Book (vol1&2, Version 2)
CISSP Certification All-in-One Exam Guide
CISSP Exam Cram Book
Secured Computing: A Cissp Study Guide
The CISSP Prep Guide: Mastering the Ten Domains of Computer Security
网站：学习交流
www.cissp.com
www.ccure.org
rr.sans.org
www.securityfocus.com
groups.yahoo.com

我的email: chinajwj@yahoo.com
维护一个学习小组： http://groups.yahoo.com/group/CN_CISSP_STUDY/

mugen

文：深圳浪人/ChinaITLab
　　(ISC)2
　　 CISSP考试由国际信息系统安全认证协会(Internationa Information Systems Security Cerification Consortium)管理.(ISC)2是一个全球性的非盈利性组织,它有四个主要的任务目标:
　　 * 维护信息系统安全领域的通用知识体系;
　　 *为信息系统安全专业人士和从业者提供认证;
　　 *从事认证考试的培训和对认证考试进行的管理;
　　 *通过连续教育培训,对有资格的认证候选人的授权工作进行管理.
　　 (ISC)2由董事会运作,董事会成员从经过认证的从业者中按级别进行选举.有关(ISC)2更多信息,可以从网站www.isc2.org中获得.
　　 CISSP和SSCP
　　 (ISC)2支持并提供两种主要的认证考试:CISSP和SSCP.这些认证考试用来对所有行业的IT安全专业人士进行知识和技能的强化。CISSP是为从事组织机构中负责实施安全基础体系的安全专业人士设计的认证考试.CISSP认证考试涵盖了先前列出的10个CBK领域的知识.SSCP认证考试涵盖了7个CBK邻域的知识.
　　 *访问控制
　　 *管理
　　 *审计和监控
　　 *密码技术
　　 *数据通信
　　 *恶意代码/Malware
　　 *风险、响应和灾难恢复
　　 CISSP和SCP认证考试内容所涉及的领域有重复的地方,但它们有各自不同的侧重点,CISSP关注理论和设计而SSCP更多关注安全实施的内容。
　　
　　道德规范
　　 (ISC)2已经定义了成为CISSP所必须满足的几项资格.首先,你必须是一位至少有4年安全从业经验或3年经验加学士学位的专业人士.专业经验的定义是:在10个CBK领域中的一个或多个领域从事有工资收入的安全工作.
　　 其次,你必须同意遵守道德规范,CISSP的道德规范是一套准则,为了维护信息系统安全领域的职业道德,(ISC)2希望所有的CISSP候选人都要遵守.你可以在(ISC)2网站www.isc2.org的信息部分找到这些规范准则.
　　 要想报名参加考试,请访问(ISC)2的网站,并按照所列出的参加CISSP考试的指导完成注册,请提供你的联系方式,付款信息和有关安全行业的专业经验,你还要选择可以参加考试的时间和地点,一旦(ISC)2同意你参加考试,你将会收到一封进行确认的电子邮件,在邮件中你会找到有关测试中心和如何参加考试的详细信息.
　　 CISSP考试概述
　　 CISSP考试由250个问题组成,用6个小时完成.考试时使用一本小册子和答案纸,也就是说,你要使用铅笔来填写答案框.
　　 CISSP考试从很深的角度关注安全,它更注重安全理论和概念,面不是实施过程和方法考试所涉及的范围非常宽,但不是很深,为了成功通考试,你需要熟悉每个领域,但没有必要成为每个邻域的专家.
　　 你需要通过(ISC)2的网站ww.isc2.org来进行考试注册
　　 (ISC)2负责管理考试,在大多数情况下,考试在酒店的大会议室中举行,CISSP现在的所有者作为考试的监考人或系统管理员,请保证在早上8:00左右到达考试中心,并且记住早上8:30之后进入考场是不允许的.
　　 CISSP考试问题的类型
　　 CISSP考试的每一道题有四个选项,但只有一个正确答案.下面是一个例子:
　　1.What is the most important goal and top priority of a security solution?
　　A.Prevention of disclosure
　　B.Maintaining integrity
　　C.Human safety
　　D.Sustaining availability
　　 你必须选择一个正确的或是最合适的答案,并把它标记在你的答案纸上,在一些情况中,正确答案是非常明显的,但在有些情况中,可能会有几个答案看上去都是正确的.在这个时候,你必须选择对于这道问题最合适的答案.留意那些一般性的、明确的、全面的、扩展集和子集的答案选项。如果在某些情况下,似乎没有一个答案正确,那么你就要选择错误的可能性最小的答案.
　　参加考试的建议
　　 参加CISSP考试时有两个关键要素.首先,需要了解10个CBK领域所涉及的内容,其次,一定要有很好的参加测试的技巧,要想在6个小时内完成250个问题的考试,回答每个问题所需的时间不能超过90秒.因此,速度快很重要,虽然不能仓促但也不要浪费时间.
　　 要记住,猜测答案也比不回答问题强,如果你跳过一个问题,将没有得分,但是,如果猜测答案,至少有25%的正确机会,答案错误码率是不扣分的,因此,在6个小时考试快结束的时候,确认答案纸上的每一道题都有答案.
　　 你可以在测试的小册子上写字,但字在上面的任何东西都不会用来计算得分,可以使用小册子做笔记和掌握考试进度,我们建议,在你把答案标记在答案纸上之前,再看一下你选择的每一个答案.
　　 为了激发你参加考试的最大潜能,以下是一些一般性的指导原则:
　　 1.首选项回答容易的问题
　　 2.跳过较难的问题,稍后再返回来思考.为了记住被跳过的问题,在测试小册子的封面上记下它们的题号.
　　 3.在选择正确的答案之前,先排除错误的答案
　　 4.注意双重否定的问题.
　　 5.确认了解问题问的是什么.
　　 合理安排时间,你应该在一小时之内回答大约50个问题.这样,可以留下一个小左右的时间用来重新考虑跳过的问题.
　　 一定注意要把答案填写在答案纸上的正确的题号下,最容易犯的错误就是考试小册子上的题号与答案纸上的题号顺序发生了错位.
　　 学习和考试的准备要领
　　 在CISSP考试学习的过程中,我们建议安排一个月的时间进行学习或每晚强化学习,这里有一些提议,可以帮助你充分利用学习时间.你可以根据自已的学习习惯来安排它们:
　　 花一到两个晚上阅读每一章的内容并进行复习.
　　 参加本书和选配光碟上所提供的所有练习考试.
　　 从网站www.isc2.org上查阅(ISC)2的教程.
　　 使用闪存卡强化你对概念的理解.