我的CISSP培训教学体验

引子

我一直从事信息安全咨询以及CISSP等信息安全培训工作，2005年10月，我在上海通过CISSP考试的，从最开始接触CISSP到现在，我和CISSP的缘分就没有断过，这些年的工作不断加深我对信息安全的理解，同时作为信息安全的从业人员以及CISSP培训授课的需要，不断追踪并同时体验着信息安全领域技术和管理方面的最新变化。都说教学相长，这话真是太有道理了，一直想用文字记录我的CISSP的教学体验，现在在北京谷安天下科技有限公司（简称：谷安天下）任职CISSP讲师，得培训部委托，今天总算动笔，跟大家一起分享。本文适合CISSP有一定了解的专业人员。

1 CISSP CBK的特点

CISSP作为当前全球信息安全行业最受推崇的高端个人资质认证，其权威和口碑已经是无容置疑。在此，从我的体验和认识的角度去简单分析这个认证为什么能担此殊荣。

1.1 核心特点：广而不深

大家都知道是CISSP 的CBK（Common Bady of Knowledge,公共知识库）共有十个知识域，从(ISC)2每年发布的CIB（Candinates Information Bulltin应试信息公告）中来看，每年的CBK的十个知识域的名字都有些区别，这些区别体现了信息安全领域的最新的变化，但是主要的知识点变化不大，这点我将在下文中有详细讲述，在此，我仅仅列出2007年(ISC)2发布的官方备考指南一书（跟当年CIB中所列一致）中列出，如下图所示：

从以上10个知识域中，我们可以看出，CISSP的CBK可以说涵盖了信息安全领域所需所有的知识，可以说是十分广泛的。下面，我将从另外一个侧面来说明CBK的广泛性。大家都知道，目前企业一般都会参照ISO17799:2005信息安全管理体系实践细则来帮助企业建立信息安全控制体系，究其原因就是ISO17799里包含了非常全面的领域，这已经从实践当中得到佐证，我亦无须多言。ISO17799的控制域如下图：
 
下面，我将把CISSP CBK同ISO17799:2005的控制域做个对应，尽管两个体系的基础不同，CBK强调的是知识域，从基础的层面上划分的，而ISO17799强调的控制域，从实践的层面上划分，但是无论从哪个层面上划分，其本质是还是对“信息安全”的解读。因此，我们这种对应能够帮助我们说明问题。如下图所示：
 
从以上对应图可以看出CISSP CBK确实非常的广。自从我认证研读完CISSP的CBK之后，我发现我的信息安全认识突然变得宽阔起来，尽管我在大学时的专业是信息安全，我看待和解决信息安全不再是防火墙、防病毒以及IDS老三样了，而是一个全新的更为广泛、全面而立体的视角。看到这里，也许有人就有疑问，如此广泛的知识领域，安全知识犹如浩瀚海洋，对于应试者来说，岂不是只有望洋兴叹的份了。非也，(ISC)2 要求应试者对CBK的掌握仅仅要求在概念的层次。有一句话来概括CBK的广度和深度非常合适：一英里宽，一英尺深。因此，大家在准备CISSP考试时，一定要把握这个特点，切忌深入细节，得不偿失。

到这里，也学有人会说，这CISSP的考试就简单啦，其实也并非如此，(ISC)2通过一系列的手段来提高考试门槛，比如在07年就改为由以前的4年工作经验改为5年的工作经验，增加考试难度，比如长达6个小时250道选择题，以保持证书的含金量。

1.2 重要特点：与时俱进

与时俱进的特点体现在以下几个方面，CISSP CBK每年都会更新，体现了信息安全技术的最新变化以及信息安全实践的最新成果，就这点，我将在下文“CBK近年来的变化”详细阐述；CISSP的考试中会包含25道不记分也不标记的研究试题；持有CISSP证书的专业人员每年都必须获得CPE（Continuing Professional Education）学分,CPE的获得就要求证书持有者参加专业会议，参加专业培训等等以保持专业性和时代性.

2 CBK核心知识点

整个CISSP CBK的知识点实在太多，CBK是由全球信息安全领域的精英和专家共同编写和维护的知识库，体现了集体的智慧，而我这里所谓“核心知识点”难免有些管中窥豹的局限，在此也希望信息安全的精英大拿们批评指正。另外，我对“核心知识点”做如下定义：所谓核心知识就是基础知识中的基础知识。

大家都知道IATF（Information Assurance Technology Framework,信息保障技术框架）是美国国家安全局提出，为保护美国政府和工业界的信息与信息技术设施提供技术指南。IATF从整体、过程的角度看待信息安全问题，其代表理论 为“深度防护战略（Defense-in-Depth）”。IATF强调人、技术、操作这三个核心原则，关注四个信息安全保障领域：保护网络和基础设施、 保护边界、保护计算环境、支撑基础设施。在IATF的基础上，结合我自己这么些年对信息安全的研究和实践，同时吸收了我的优秀同事们的经验总结（在此要感谢我的优秀的工作团队啦），提出了大型企业信息安全保障体系框架，如下图。说到这里，也许大家都疑问就来了，CISSP CBK与企业信息安全保障体系有何关联？为什么偏偏是大型企业呢？

(ISC)2规定参加CISSP考试的条件为在10个知识域中至少2个领域有至少5年的信息安全专业领域的工作经验，其实也也代表着CISSP对工作实践以及经验的要求，这要求这些CISSPs们必须从实践中来，理解更为广泛的信息安全知识后，又回到实践中去，因此这种来源实践同时必须回归实践的做法是任何一个CISSP都必须牢记的。信息安全保障框架可以说是信息安全实践中的结晶，是信息安全实践的需要，几乎涵盖了所有的信息安全领域。另外，之所以说大型企业信息安全保障体系框架，这更方便说明问题，因为小企业总会有或这或那的裁剪。

大型企业信息安全保障体系框架IATF三要素的基础上扩展成治理、管理、运维和技术四个要素，安全治理通过安全技术支撑，执行信息安全管理和日常运维，实现企业信息资产（包括网络基础设施、计算环境、企业文档数据以及物理环境）的分层保护。

保障框架四要素概括了信息安全所有领域，如下图所示，因此可以相应对应到CISSP CBK中的内容。
 
保障体系框架四要素分别对应到CISSP CBK中核心知识点如下图所示：

 
对以上所列核心知识点在此就不一一解释为什么是该知识域的核心知识点，仅仅拿一个来做说明一下。比如在密码学这个知识域，对称密码系统和非对称密码系统是这个知识