引子

我一直從事信息安全咨詢以及CISSP等信息安全培訓(xùn)工作，2005年10月，我在上海通過(guò)CISSP考試的，從最開始接觸CISSP到現(xiàn)在，我和CISSP的緣分就沒(méi)有斷過(guò)，這些年的工作不斷加深我對(duì)信息安全的理解，同時(shí)作為信息安全的從業(yè)人員以及CISSP培訓(xùn)授課的需要，不斷追蹤并同時(shí)體驗(yàn)著信息安全領(lǐng)域技術(shù)和管理方面的最新變化。都說(shuō)教學(xué)相長(zhǎng)，這話真是太有道理了，一直想用文字記錄我的CISSP的教學(xué)體驗(yàn)，現(xiàn)在在北京谷安天下科技有限公司（簡(jiǎn)稱：谷安天下）任職CISSP講師，得培訓(xùn)部委托，今天總算動(dòng)筆，跟大家一起分享。本文適合CISSP有一定了解的專業(yè)人員。

1 CISSP CBK的特點(diǎn)

CISSP作為當(dāng)前全球信息安全行業(yè)最受推崇的高端個(gè)人資質(zhì)認(rèn)證，其權(quán)威和口碑已經(jīng)是無(wú)容置疑。在此，從我的體驗(yàn)和認(rèn)識(shí)的角度去簡(jiǎn)單分析這個(gè)認(rèn)證為什么能擔(dān)此殊榮。

1.1 核心特點(diǎn)：廣而不深

大家都知道是CISSP 的CBK（Common Bady of Knowledge,公共知識(shí)庫(kù)）共有十個(gè)知識(shí)域，從(ISC)2每年發(fā)布的CIB（Candinates Information Bulltin應(yīng)試信息公告）中來(lái)看，每年的CBK的十個(gè)知識(shí)域的名字都有些區(qū)別，這些區(qū)別體現(xiàn)了信息安全領(lǐng)域的最新的變化，但是主要的知識(shí)點(diǎn)變化不大，這點(diǎn)我將在下文中有詳細(xì)講述，在此，我僅僅列出2007年(ISC)2發(fā)布的官方備考指南一書（跟當(dāng)年CIB中所列一致）中列出，如下圖所示：
 
從以上10個(gè)知識(shí)域中，我們可以看出，CISSP的CBK可以說(shuō)涵蓋了信息安全領(lǐng)域所需所有的知識(shí)，可以說(shuō)是十分廣泛的。下面，我將從另外一個(gè)側(cè)面來(lái)說(shuō)明CBK的廣泛性。大家都知道，目前企業(yè)一般都會(huì)參照ISO17799:2005信息安全管理體系實(shí)踐細(xì)則來(lái)幫助企業(yè)建立信息安全控制體系，究其原因就是ISO17799里包含了非常全面的領(lǐng)域，這已經(jīng)從實(shí)踐當(dāng)中得到佐證，我亦無(wú)須多言。ISO17799的控制域如下圖：
  
下面，我將把CISSP CBK同ISO17799:2005的控制域做個(gè)對(duì)應(yīng)，盡管兩個(gè)體系的基礎(chǔ)不同，CBK強(qiáng)調(diào)的是知識(shí)域，從基礎(chǔ)的層面上劃分的，而ISO17799強(qiáng)調(diào)的控制域，從實(shí)踐的層面上劃分，但是無(wú)論從哪個(gè)層面上劃分，其本質(zhì)是還是對(duì)“信息安全”的解讀。因此，我們這種對(duì)應(yīng)能夠幫助我們說(shuō)明問(wèn)題。如下圖所示：
  
從以上對(duì)應(yīng)圖可以看出CISSP CBK確實(shí)非常的廣。自從我認(rèn)證研讀完CISSP的CBK之后，我發(fā)現(xiàn)我的信息安全認(rèn)識(shí)突然變得寬闊起來(lái)，盡管我在大學(xué)時(shí)的專業(yè)是信息安全，我看待和解決信息安全不再是防火墻、防病毒以及IDS老三樣了，而是一個(gè)全新的更為廣泛、全面而立體的視角。看到這里，也許有人就有疑問(wèn)，如此廣泛的知識(shí)領(lǐng)域，安全知識(shí)猶如浩瀚海洋，對(duì)于應(yīng)試者來(lái)說(shuō)，豈不是只有望洋興嘆的份了。非也，(ISC)2 要求應(yīng)試者對(duì)CBK的掌握僅僅要求在概念的層次。有一句話來(lái)概括CBK的廣度和深度非常合適：一英里寬，一英尺深。因此，大家在準(zhǔn)備CISSP考試時(shí)，一定要把握這個(gè)特點(diǎn)，切忌深入細(xì)節(jié)，得不償失。

到這里，也學(xué)有人會(huì)說(shuō)，這CISSP的考試就簡(jiǎn)單啦，其實(shí)也并非如此，(ISC)2通過(guò)一系列的手段來(lái)提高考試門檻，比如在07年就改為由以前的4年工作經(jīng)驗(yàn)改為5年的工作經(jīng)驗(yàn)，增加考試難度，比如長(zhǎng)達(dá)6個(gè)小時(shí)250道選擇題，以保持證書的含金量。

1.2 重要特點(diǎn)：與時(shí)俱進(jìn)

與時(shí)俱進(jìn)的特點(diǎn)體現(xiàn)在以下幾個(gè)方面，CISSP CBK每年都會(huì)更新，體現(xiàn)了信息安全技術(shù)的最新變化以及信息安全實(shí)踐的最新成果，就這點(diǎn)，我將在下文“CBK近年來(lái)的變化”詳細(xì)闡述；CISSP的考試中會(huì)包含25道不記分也不標(biāo)記的研究試題；持有CISSP證書的專業(yè)人員每年都必須獲得CPE（Continuing Professional Education）學(xué)分,CPE的獲得就要求證書持有者參加專業(yè)會(huì)議，參加專業(yè)培訓(xùn)等等以保持專業(yè)性和時(shí)代性.

2 CBK核心知識(shí)點(diǎn)

整個(gè)CISSP CBK的知識(shí)點(diǎn)實(shí)在太多，CBK是由全球信息安全領(lǐng)域的精英和專家共同編寫和維護(hù)的知識(shí)庫(kù)，體現(xiàn)了集體的智慧，而我這里所謂“核心知識(shí)點(diǎn)”難免有些管中窺豹的局限，在此也希望信息安全的精英大拿們批評(píng)指正。另外，我對(duì)“核心知識(shí)點(diǎn)”做如下定義：所謂核心知識(shí)就是基礎(chǔ)知識(shí)中的基礎(chǔ)知識(shí)。

大家都知道IATF（Information Assurance Technology Framework,信息保障技術(shù)框架）是美國(guó)國(guó)家安全局提出，為保護(hù)美國(guó)政府和工業(yè)界的信息與信息技術(shù)設(shè)施提供技術(shù)指南。IATF從整體、過(guò)程的角度看待信息安全問(wèn)題，其代表理論 為“深度防護(hù)戰(zhàn)略（Defense-in-Depth）”。IATF強(qiáng)調(diào)人、技術(shù)、操作這三個(gè)核心原則，關(guān)注四個(gè)信息安全保障領(lǐng)域：保護(hù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、 保護(hù)邊界、保護(hù)計(jì)算環(huán)境、支撐基礎(chǔ)設(shè)施。在IATF的基礎(chǔ)上，結(jié)合我自己這么些年對(duì)信息安全的研究和實(shí)踐，同時(shí)吸收了我的優(yōu)秀同事們的經(jīng)驗(yàn)總結(jié)（在此要感謝我的優(yōu)秀的工作團(tuán)隊(duì)啦），提出了大型企業(yè)信息安全保障體系框架，如下圖。說(shuō)到這里，也許大家都疑問(wèn)就來(lái)了，CISSP CBK與企業(yè)信息安全保障體系有何關(guān)聯(lián)？為什么偏偏是大型企業(yè)呢？

(ISC)2規(guī)定參加CISSP考試的條件為在10個(gè)知識(shí)域中至少2個(gè)領(lǐng)域有至少5年的信息安全專業(yè)領(lǐng)域的工作經(jīng)驗(yàn)，其實(shí)也也代表著CISSP對(duì)工作實(shí)踐以及經(jīng)驗(yàn)的要求，這要求這些CISSPs們必須從實(shí)踐中來(lái)，理解更為廣泛的信息安全知識(shí)后，又回到實(shí)踐中去，因此這種來(lái)源實(shí)踐同時(shí)必須回歸實(shí)踐的做法是任何一個(gè)CISSP都必須牢記的。信息安全保障框架可以說(shuō)是信息安全實(shí)踐中的結(jié)晶，是信息安全實(shí)踐的需要，幾乎涵蓋了所有的信息安全領(lǐng)域。另外，之所以說(shuō)大型企業(yè)信息安全保障體系框架，這更方便說(shuō)明問(wèn)題，因?yàn)樾∑髽I(yè)總會(huì)有或這或那的裁剪。

大型企業(yè)信息安全保障體系框架IATF三要素的基礎(chǔ)上擴(kuò)展成治理、管理、運(yùn)維和技術(shù)四個(gè)要素，安全治理通過(guò)安全技術(shù)支撐，執(zhí)行信息安全管理和日常運(yùn)維，實(shí)現(xiàn)企業(yè)信息資產(chǎn)（包括網(wǎng)絡(luò)基礎(chǔ)設(shè)施、計(jì)算環(huán)境、企業(yè)文檔數(shù)據(jù)以及物理環(huán)境）的分層保護(hù)。
 
保障框架四要素概括了信息安全所有領(lǐng)域，如下圖所示，因此可以相應(yīng)對(duì)應(yīng)到CISSP CBK中的內(nèi)容。
  
保障體系框架四要素分別對(duì)應(yīng)到CISSP CBK中核心知識(shí)點(diǎn)如下圖所示：

 
對(duì)以上所列核心知識(shí)點(diǎn)在此就不一一解釋為什么是該知識(shí)域的核心知識(shí)點(diǎn)，僅僅拿一個(gè)來(lái)做說(shuō)明一下。比如在密碼學(xué)這個(gè)知識(shí)域，對(duì)稱密碼系統(tǒng)和非對(duì)稱密碼系統(tǒng)是這個(gè)知識(shí)域的基礎(chǔ)知識(shí)，其他知識(shí)比如PKI，VPN，數(shù)字簽名等都是在對(duì)稱算法和非對(duì)稱算法的基礎(chǔ)上的應(yīng)用。

3 CBK近年的變化

從2005年到2009年這5年間，CISSP的CBK每年都有些變化，但是變化最大要數(shù)06年到07年，這種變化凸顯了信息安全變化發(fā)展的趨勢(shì)。以下對(duì)06到07年的變化稍做分析。
(1) 安全管理，這個(gè)知識(shí)域的標(biāo)題由security management practice 改為information security and risk management；新增內(nèi)容有身份管理，強(qiáng)調(diào)了風(fēng)險(xiǎn)管理；把道德以前“道德、法律、調(diào)查”移至這個(gè)知識(shí)域。
(2) 訪問(wèn)控制，這個(gè)知識(shí)域的標(biāo)題由access control systems and methodology改為access control；增加了身份管理；
(3) 系統(tǒng)開發(fā)，這個(gè)知識(shí)域的標(biāo)題由application system development and maintainance該為application security;

其他的章節(jié)變化不是很大，增加的內(nèi)容不多，但是以上的變化其實(shí)也反映了當(dāng)前信息安全的一些趨勢(shì)：

(1) 信息安全管理凸顯了風(fēng)險(xiǎn)的管理，風(fēng)險(xiǎn)的概念在80年代引入信息安全領(lǐng)域，很快被安全從業(yè)者所廣泛接受，信息安全的概念（比較科學(xué)的）基本上都是建立在風(fēng)險(xiǎn)的基礎(chǔ)上的。隨著實(shí)踐的不斷深入，從業(yè)者對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)越來(lái)越深刻，建立完整完善的信息安風(fēng)險(xiǎn)管理流程是降低安全相關(guān)威脅和事故必經(jīng)之道。

(2) 信息安全管理引入了安全治理的概念，治理的概念常常見諸于各種媒體、報(bào)紙，如公司治理、IT治理。信息安全治理應(yīng)該是我們關(guān)注的，它要求公司建立一個(gè)充足的技術(shù)控制框架和和安全管理層，以風(fēng)險(xiǎn)管理為基礎(chǔ)，管理企業(yè)信息安全活動(dòng)以及依靠IT的業(yè)務(wù)活動(dòng)；

(3) 身份管理將成為今后幾年關(guān)注的焦點(diǎn)，建立統(tǒng)一的開放的身份管理平臺(tái)將某種程度上是對(duì)互聯(lián)網(wǎng)應(yīng)用的一種顛覆（互聯(lián)網(wǎng)的最大特點(diǎn)之一就是匿名），同是某種程度上又是規(guī)范當(dāng)前的互聯(lián)網(wǎng)的使用。身份管理同樣也是企業(yè)信息安全管理的基礎(chǔ)。

(4) 應(yīng)用安全提到了一個(gè)前所未有的高度，這一方面是由于應(yīng)用系統(tǒng)的問(wèn)題給用戶帶來(lái)很大麻煩，另外一個(gè)方面就是SOX法案的推動(dòng)，使用戶不得不去關(guān)注自己的應(yīng)用安全；

(5) 信息系統(tǒng)的審計(jì)（信息安全審計(jì)或者說(shuō)IT審計(jì)）越來(lái)越受重視，隨著企業(yè)的所有業(yè)務(wù)，特別是財(cái)務(wù)越來(lái)越依靠信息技術(shù)時(shí)，這將導(dǎo)致信息系統(tǒng)的審計(jì)必將成和財(cái)務(wù)審計(jì)一樣，無(wú)論是作用還是其地位，同時(shí)又伴隨著財(cái)務(wù)審計(jì)，成為一大產(chǎn)業(yè)；

(6) 安全管理的有效度量以及輔助一定的度量工具必將成為企業(yè)安全管理的迫切需求，特別是行業(yè)大客戶，信息化程度非常高的企業(yè)，在信息安全方面投入了大量的安全產(chǎn)品以及相關(guān)的安全管理體系建立起來(lái)之后，安全的有效度量則勢(shì)在必行；

4 我的教學(xué)方法

我在培訓(xùn)課堂上用得比較多是思維導(dǎo)圖法、比較法以及聯(lián)想法，這些方法不僅方便以及幫助我更好的講授CISSP，同時(shí)也可以供自學(xué)的朋友參考。

4.1 思維導(dǎo)圖法

我用思維導(dǎo)圖已經(jīng)很多年了（如還有不知道思維導(dǎo)圖的朋友趕緊去google一把），思維導(dǎo)圖幫助我學(xué)習(xí)CISSP CBK，我當(dāng)初備考CISSP時(shí)，就是用思維導(dǎo)圖軟件MindManager做的筆記，筆記已作，感覺(jué)記憶力不斷下降的我似乎恢復(fù)了年輕時(shí)代的記憶力，基本記住看過(guò)的知識(shí)點(diǎn)。并且思維導(dǎo)圖還幫助我立體展示要講的知識(shí)。在本文的開始到結(jié)尾，到處都有思維導(dǎo)圖的身影。

4.2 比較法

在信息安全領(lǐng)域，對(duì)于同一問(wèn)題，解決這個(gè)問(wèn)題的方法或者技術(shù)一般不止一種，這在其他領(lǐng)域也存在同樣的特點(diǎn)，因此CISSP的CBK中就同一知識(shí)點(diǎn)會(huì)從多個(gè)方面去闡述。下面，我將羅列部分：
 
這些技術(shù)要么具有優(yōu)缺點(diǎn)置換的特點(diǎn)、要么就是非常容易混淆。比如對(duì)稱算法和非對(duì)稱算法，對(duì)稱算法有點(diǎn)是運(yùn)算速度按快缺點(diǎn)是密鑰分發(fā)困難，而非對(duì)稱算法恰好反過(guò)來(lái)，非對(duì)稱算法運(yùn)算速度慢但是能在非安全的環(huán)境中安全傳遞密鑰的特點(diǎn)，解決了對(duì)稱算法密鑰分發(fā)困難的問(wèn)題。比如適度勤勉和適度關(guān)照就非常容易混淆，前者強(qiáng)調(diào)管理者（custodian，一般指信息安全經(jīng)理或者系統(tǒng)管理員等）要履行其職責(zé)維持某個(gè)資產(chǎn)的風(fēng)險(xiǎn)在可接受的水平之下，而后者強(qiáng)調(diào)所有者(owner,一般指企業(yè)領(lǐng)導(dǎo)人員)必須投入必要的人力、財(cái)力等去發(fā)現(xiàn)并處置企業(yè)存在的且在風(fēng)險(xiǎn)可接受水平之上的風(fēng)險(xiǎn)。比較的方法能夠幫助學(xué)員加深對(duì)知識(shí)點(diǎn)的理解同時(shí)也加強(qiáng)了記憶。

4.3 聯(lián)想法

信息安全技術(shù)不是孤立的，而是相互聯(lián)系的。因此，我在講授CISSP培訓(xùn)課程時(shí)特別注意各個(gè)知識(shí)點(diǎn)之間的聯(lián)系，夸知識(shí)域的知識(shí)點(diǎn)的聯(lián)系。下面僅僅舉個(gè)例子：
 
信息分類分級(jí)是“信息安全治理和風(fēng)險(xiǎn)管理”知識(shí)域的知識(shí)點(diǎn)，而強(qiáng)制訪問(wèn)控制是“訪問(wèn)控制”知識(shí)域的知識(shí)點(diǎn)，這兩者是有聯(lián)系的，在技術(shù)實(shí)現(xiàn)上，前者是后者的基礎(chǔ)。而強(qiáng)制訪問(wèn)必須依賴標(biāo)簽，標(biāo)簽的本質(zhì)是表示訪問(wèn)主客體的安全屬性的，安全屬性除了C,I,A之外還有真實(shí)性等等…………，這樣知識(shí)點(diǎn)就串起來(lái)，不斷加深理解，而且鍛煉了整體看信息安全問(wèn)題的思維。

5 結(jié)束語(yǔ)

第一次講授CISSP培訓(xùn)課程的情景還歷歷在目，誠(chéng)惶誠(chéng)恐，小心翼翼，到現(xiàn)在，已經(jīng)講過(guò)了幾十場(chǎng)CISSP培訓(xùn)，培訓(xùn)的學(xué)員也上好幾百了。盡管教學(xué)相長(zhǎng)，自己的授課經(jīng)驗(yàn)不斷精進(jìn)，但是離一位優(yōu)秀的培訓(xùn)講師還有距離，到現(xiàn)在每次培訓(xùn)前都花數(shù)小時(shí)備課，但是還是小心翼翼，生怕自己辜負(fù)了學(xué)員的銀子。在CISSP培訓(xùn)的路上，盡管充滿了艱辛，但是只要能夠得到學(xué)員的肯定，那就心滿意足了。我在06年培訓(xùn)的一位學(xué)員現(xiàn)在移民去了澳洲，今年的一次跟他MSN聊天，他跟我說(shuō)，參加了我的培訓(xùn)，他從一位系統(tǒng)管理員變成了一位信息安全咨詢師，改變了他職業(yè)生涯，說(shuō)感謝我。哈，得此消息，我心足矣，CISSP培訓(xùn)前進(jìn)的道路上又多了雙助推的手。

作者簡(jiǎn)介：

陳 岌   CISSP國(guó)際認(rèn)證信息系統(tǒng)安全專，CISP注冊(cè)信息安全專業(yè)人員，CISA 國(guó)際認(rèn)證信息系統(tǒng)審計(jì)師， ISO 27001 LA ， ITIL Foundation IT服務(wù)管理證書。

7年信息安全領(lǐng)域研究與從業(yè)經(jīng)驗(yàn)，主要從事信息安全實(shí)施規(guī)劃、信息安全風(fēng)險(xiǎn)評(píng)估、信息安全管理體系建立和實(shí)施、等級(jí)保護(hù)等方面工作，具備豐富的信息安全管理咨詢與IT審計(jì)實(shí)踐經(jīng)驗(yàn)。目前主要專業(yè)領(lǐng)域集中于IT風(fēng)險(xiǎn)管理與控制、信息安全等方面，曾服務(wù)的主要客戶有：中國(guó)電信、工商銀行、用友軟件、北京NTT DATA、太平洋保險(xiǎn)等。長(zhǎng)期從事CISSP等信息安全培訓(xùn)工作。

現(xiàn)任谷安天下咨詢經(jīng)理，為客戶提供IT風(fēng)險(xiǎn)管理與控制、信息安全等咨詢服務(wù)，谷安天下IT風(fēng)險(xiǎn)管理學(xué)院CISA、CISSP資深講師。

曾是北京某信息安全公司信息安全咨詢團(tuán)隊(duì)核心成員之一，主要負(fù)責(zé)為客戶提供安全技術(shù)解決方案、安全管理咨詢與服務(wù)。
曾擔(dān)任上海某咨詢公司高級(jí)顧問(wèn)，主要負(fù)責(zé)信息安全管理咨詢與服務(wù)以及CISSP、CISA等培訓(xùn)工作。
曾在上海交通大學(xué)信息安全學(xué)院擔(dān)任助教，負(fù)責(zé)互聯(lián)網(wǎng)內(nèi)容分級(jí)管控系統(tǒng)的研究以及信息安全基礎(chǔ)、密碼學(xué)、PKI等課程助教。