我對CISP培訓認證的簡評
【51CTO.com 綜合消息】提到CISP,我突然想到了兩種教育“應試教育”和“職業教育”。所謂應試教育,就像我們上學考試拿證書,所有學的一切東西都是為了應付各種考試,和實際工作中需要用的技術有一定的距離。我對此深有體會,大學中學的知識能很好的為我們打下一個很好的基礎,但如果要在實際中應用的話需要我們不斷的學習和摸索,亦或是前輩的指導。
所謂職業教育就是技術教育,就像某些職業技術學校,他們在課程開發的時候,前期做了大量的市場調研,企業中用的什么新技術,然后會根據這些技術開發新的課程,所以培訓的結果會使大家受益非淺,即學即用。當然現在某些大學中也提出職業教育,但對于技術的更新不夠,這會造成教學和實際工作的脫節。
那CISP屬于哪一種呢?在這之前我給大家先介紹一下。CISP即“注冊信息安全專業人員”,英文為Certified Information Security Professional (簡稱CISP),根據實際崗位工作需要,CISP分為三類,分別是“注冊信息安全工程師”,英文為Certified Information Security Engineer(簡稱CISE); “注冊信息安全管理人員”, 英文為Certified Information Security Officer(簡稱CISO),“注冊信息安全審核員” 英文為Certified Information Security Auditor(簡稱CISA)。
其中CISE主要從事信息安全技術開發服務工程建設等工作,CISO從事信息安全管理等相關工作,CISA從事信息系統的安全性審核或評估等工作。這三類注冊信息安全專業人員是有關信息安全企業,信息安全咨詢服務機構、信息安全測評機構、社會各組織、團體、企事業有關信息系統(網絡)建設、運行和應用管理的技術部門(含標準化部門)必備的專業崗位人員,其基本職能是對信息系統的安全提供技術保障,其所具備的專業資質和能力,系經中國信息安全測評中心實施注冊。
從中不難看出我們只要拿到了CISP(CISE,CISO)就證明我們具備了安全管理與安全技術開發等相關的工作實力。我講了CISP有二年,我對此有一些體會。CISP涉及到的知識面很廣,涵蓋了安全工程,信息安全管理,風險管理,各類操作系統安全,數據庫安全等,基本所有安全的知識領域都覆蓋了。經過十天的學習,能讓學生對安全整個領域都有了解,從過去單一的產品安全到了解到現在諸多安全,從思想認識上做了根本的改變。
在教學中發現好多學生都認為放了防火墻,放了IDS,IPS就安全了,經過CISP課程培訓使他們扭轉了這個想法,諸如安全是相對,不安全是才是絕對,安全永遠是個動態過程,沒有一勞永逸的安全等等。所以CISP給我們學生的授益是相當大的,網絡稱贊CISP的文章好多,這些我也不想占過多篇幅來講。我斗膽想談一下CISP培訓的不足:
第一. 時短試快:
也就是時間短考試快,短短十天的培訓,四本厚厚的書,超于CISSP的CBK十大知識域的知識,這么短的時間理解應用及記住知識點,有一定難度,而且培訓后直接考試,沒有長時間準備也很難,所幸的是這些CISP的學生都有一定的安全經驗,所以通過率還不錯。
第二. 廣而不精
CISP的知識點覆蓋范圍很廣,比如CISSP把操作系統類的安全叫訪問控制;而在CISP中會講WINDOWS安全,UNIX安全,實際上操作系統的核心就是訪問控制。而且有的技術相對要落后一些。而且在WINDOWS及UNIX中的安全也不是很深。
第三. 缺乏案例。
比如在講見險評估的時候,應該都有一定的案例,一些文檔能夠讓學生較清楚的認識;我們在大篇幅講理論不去實踐,沒有案例,這會造成紙上談兵的感覺。就相當于我們做BCP,沒有及時演練測試修改等,那么這個BCP毫于意義。講安全入侵的時候,也應該有一些案例,講注入,跨站等攻擊,給學生一些有注入攻擊等漏洞的網站原碼。最好再做一張光盤,里包含了各個模塊的案例,讓學生通過案例來了解知識點,相對來講更簡單更容易一些。
第四. 技術相對落后
諸如在病毒內容方面,“魔高一尺,道高一丈”,我渴望也希望這句話的真實,但往往對于殺毒軟件廠商,如瑞星的主動防御及NOD32的啟如掃描機制,他們的主要目的是用來殺未知病毒的,但真的能做到嗎?我見到一些遠程控制軟件可以過主動防御,而且在今年年初的一篇突破NOD32啟發掃描機制的三種方法,著實給國內外殺毒軟件廠商提了個醒。而且現在的病毒及木馬偏向硬件化,對于這種,我們應該怎么解決和應對呢?
這是本人對CISP培訓及內容的一點真實看法,有不對的地方還請大家多指正!
在文章一開始提到的應試和職業教育,現在也應該有個答案了,我感覺CISP介于應試和職業教育之間,既有為了考試而學的一些,也有實際中的一些技術管理經驗,但學員往往需要更多的實際項目經驗,所以谷安天下的CISP的培訓切切實實可以彌補CISP的不足。
“谷安天下以滿足客戶實際培訓需求為目標,以提供優質培訓服務為宗旨,以定位高端、與時俱進以及案例教學為特色。主要服務于政府、金融、電信、移動等重要行業。我們擁有一套完善成熟的信息安全培訓體系和授課質量服務體系,培訓內容涵蓋信息安全意識、信息安全技術、信息安全理論、以及CISA、CISSP、CISP、ISO27001LA、ITIL等國際、國內認證”。
我們的講師都是安全界的精英,并得到國家信息安全測評中心的認可,有著豐富的項目經驗及授課經驗,所以老師可以把實踐中得到的知識傳授給大家,從根本上解決了CISP的不足。
CISP培訓任重道遠,希望大家也勇于提意見,只有這樣才會使我國的安全不斷的提高,應付將來的各種信息安全變化;只有不斷的修改,不斷的補充,不斷的提升,才能在未來的的信息較量中我們利于不敗!
突然想起偉人的一句話:“革命尚未成功,同志仍須努力”。
【編輯推薦】
