我对CISP培训认证的简评

所谓职业教育就是技术教育，就像某些职业技术学校，他们在课程开发的时候，前期做了大量的市场调研，企业中用的什么新技术，然后会根据这些技术开发新的课程，所以培训的结果会使大家受益非浅，即学即用。当然现在某些大学中也提出职业教育，但对于技术的更新不够，这会造成教学和实际工作的脱节。

那CISP属于哪一种呢？在这之前我给大家先介绍一下。CISP即“注册信息安全专业人员”，英文为Certified Information Security Professional (简称CISP)，根据实际岗位工作需要，CISP分为三类,分别是“注册信息安全工程师”,英文为Certified Information Security Engineer（简称CISE）; “注册信息安全管理人员”， 英文为Certified Information Security  Officer(简称CISO)，“注册信息安全审核员” 英文为Certified Information Security Auditor(简称CISA)。

其中CISE主要从事信息安全技术开发服务工程建设等工作，CISO从事信息安全管理等相关工作，CISA从事信息系统的安全性审核或评估等工作。这三类注册信息安全专业人员是有关信息安全企业，信息安全咨询服务机构、信息安全测评机构、社会各组织、团体、企事业有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部门）必备的专业岗位人员，其基本职能是对信息系统的安全提供技术保障，其所具备的专业资质和能力，系经中国信息安全测评中心实施注册。

从中不难看出我们只要拿到了CISP（CISE，CISO）就证明我们具备了安全管理与安全技术开发等相关的工作实力。我讲了CISP有二年，我对此有一些体会。CISP涉及到的知识面很广，涵盖了安全工程，信息安全管理，风险管理，各类操作系统安全，数据库安全等，基本所有安全的知识领域都覆盖了。经过十天的学习，能让学生对安全整个领域都有了解，从过去单一的产品安全到了解到现在诸多安全，从思想认识上做了根本的改变。

在教学中发现好多学生都认为放了防火墙，放了IDS，IPS就安全了，经过CISP课程培训使他们扭转了这个想法，诸如安全是相对，不安全是才是绝对，安全永远是个动态过程，没有一劳永逸的安全等等。所以CISP给我们学生的授益是相当大的，网络称赞CISP的文章好多，这些我也不想占过多篇幅来讲。我斗胆想谈一下CISP培训的不足：

第一． 时短试快：

也就是时间短考试快，短短十天的培训，四本厚厚的书，超于CISSP的CBK十大知识域的知识，这么短的时间理解应用及记住知识点，有一定难度，而且培训后直接考试，没有长时间准备也很难，所幸的是这些CISP的学生都有一定的安全经验，所以通过率还不错。

第二． 广而不精

CISP的知识点覆盖范围很广，比如CISSP把操作系统类的安全叫访问控制；而在CISP中会讲WINDOWS安全，UNIX安全，实际上操作系统的核心就是访问控制。而且有的技术相对要落后一些。而且在WINDOWS及UNIX中的安全也不是很深。

第三． 缺乏案例。

比如在讲见险评估的时候，应该都有一定的案例，一些文档能够让学生较清楚的认识；我们在大篇幅讲理论不去实践，没有案例，这会造成纸上谈兵的感觉。就相当于我们做BCP，没有及时演练测试修改等，那么这个BCP毫于意义。讲安全入侵的时候，也应该有一些案例，讲注入，跨站等攻击，给学生一些有注入攻击等漏洞的网站原码。最好再做一张光盘，里包含了各个模块的案例，让学生通过案例来了解知识点，相对来讲更简单更容易一些。

第四． 技术相对落后

诸如在病毒内容方面，“魔高一尺，道高一丈”，我渴望也希望这句话的真实，但往往对于杀毒软件厂商，如瑞星的主动防御及NOD32的启如扫描机制，他们的主要目的是用来杀未知病毒的，但真的能做到吗？我见到一些远程控制软件可以过主动防御，而且在今年年初的一篇突破NOD32启发扫描机制的三种方法，着实给国内外杀毒软件厂商提了个醒。而且现在的病毒及木马偏向硬件化，对于这种，我们应该怎么解决和应对呢？

这是本人对CISP培训及内容的一点真实看法，有不对的地方还请大家多指正！

在文章一开始提到的应试和职业教育，现在也应该有个答案了，我感觉CISP介于应试和职业教育之间，既有为了考试而学的一些，也有实际中的一些技术管理经验，但学员往往需要更多的实际项目经验，所以谷安天下的CISP的培训切切实实可以弥补CISP的不足。

“谷安天下以满足客户实际培训需求为目标，以提供优质培训服务为宗旨，以定位高端、与时俱进以及案例教学为特色。主要服务于政府、金融、电信、移动等重要行业。我们拥有一套完善成熟的信息安全培训体系和授课质量服务体系，培训内容涵盖信息安全意识、信息安全技术、信息安全理论、以及CISA、CISSP、CISP、ISO27001LA、ITIL等国际、国内认证”。

我们的讲师都是安全界的精英，并得到国家信息安全测评中心的认可，有着丰富的项目经验及授课经验，所以老师可以把实践中得到的知识传授给大家，从根本上解决了CISP的不足。

CISP培训任重道远，希望大家也勇于提意见，只有这样才会使我国的安全不断的提高，应付将来的各种信息安全变化；只有不断的修改，不断的补充，不断的提升，才能在未来的的信息较量中我们利于不败！
突然想起伟人的一句话：“革命尚未成功，同志仍须努力”。