挑战CISSP

从台湾回来后就没写过blog，究其理由，可能台湾太舒服，一个月就把我养懒了。

当然也不全是，上周开始准备CISSP考试，这项考试挑战性极大，看看某咨询公司的介绍：

培训目的 CISSP 是由国际信息系统安全认证协会－简称(ISC)2 组织和管理。(ISC)2
在全世界各地举办考试，符合考试资格人员于通过考试后授予CISSP 认证证书。CISSP 认证是目前世界上最权威、最全面的国际化信息系统安全方面的认证。CISSP
CBK 培训为业界最理想的CISSP 考试辅导课程，课程是为期5天的密集式课程，涵盖CBK 的十个领域，每个范围都设计信息安全的若干方面，该课程同时也是系统全面学习信息系统安全知识的最佳途径。

适合对象 企业信息安全主管，参与信息系统审计和管理体系规划的人员，提供信息安全咨询服务的专业人员，其他对信息安全全面的知识体系感兴趣的人员。具体培训对象包括：

• 企业信息安全主管
• 信息安全业内人士
• IT 或安全顾问人员
• IT 审计人员
• 安全设备厂商或服务提供商
• 信息安全类讲师或培训人员
• 信息安全事件调查人员
• 其他从事与信息安全相关工作的人员（如系统管理员、程序员、保安人员等）

商业广告难免有夸大的成分，似乎拿到CISSP证书，就堪称安全专家，其实CISSP只是安全领域的入门级考试，通过他只能说明你对安全的各个领域都有了基础知识，而真正的安全专家绝不可能在每个安全领域都做到专家，只要在某一两个领域有所成就就不错了。CISSP包含以下10个Domain：

• 信息安全管理实务
• 电信与网络安全
• 操作安全
• 访问控制系统与方法
• 应用和系统开发
• 密码学
• BCP 和DRP
• 法律、调查和道德
• 安全模型和体系结构
• 物理安全

光听名字都觉得好大，是吧？One inch deep, one mile wide. 相信过了CISSP后，自己在安全领域的眼界将得到很大提高。2000年后CISSP开考，中国大陆目前只有400多位CISSP获得者，其原因主要有：

1. CISSP参考者需要在安全领域有5年工作经验或者相关专业本科毕业证书加2年工作经验，这首先排除掉了一大部分考试党；
2. 10个领域，知识面太广，一般在安全领域有经验的人都需要准备至少1个月；
3. 成本很高，培训加1次考试就要10k，每次考试报名费约450美金，还是挺贵的；
4. 考试时，从上午9点到下午3点一共6个小时，而且全英文，所以一般人体力吃不消，要考趁年轻，^_^

虽然中国人一贯是考遍全世界无敌手，但在CISSP上成绩只能说凄惨，光香港就有1000多位CISSP，印度据说更是疯狂。

一定一鼓作气搞定她。