在本文中，你將了解(ISC)2 CISSP安全考試、CISSP考試的10個主要的學科領域以及Shon Harris和SearchSecurity獨家提供的CISSP考試準備材料。

信息系統安全認證專家(CISSP)是由國際信息系統安全認證聯盟[也被稱為(ISC)2]獨立管理的信息安全認證。

CISSP認證考試涵蓋10個不同學科領域，在這里被稱為領域。這10個領域構成了(ISC)2通用知識框架(CBK)--這是包含信息安全最佳做法、方法技術和理念的知識框架。CBK代表著(ISC)2 認為每個IT安全專業人士應該掌握的理論和實踐方面的核心知識。

CISSP認證被認為是安全認證領域的“黃金標準”。這是信息安全行業最搶手最受尊敬的認證。截至2014年5月，(ISC)²報道稱已經有來自149個國家的93391個人持有這一認證。美國國防部和國家安全局已經采用了CISSP認證，并將其作為處理機密計算機系統和數據的政府工作人員的教育為導向的任務要求。

CISSP考試的學科領域

CISSP認證考試內容已經不再限于跟上安全領域內的變化以及安全行業的要求。(ISC)²每年都會添加新的問題到考試題庫，最近還增加了互動問題類型，考生不只是在四個可能選擇中選出正確答案，還有更多的互動操作。

SearchSecurity的CISSP Essential Security School提供了你可能在CISSP考試中遇到的各種問題類型，讓你可以很好地應對所有類型的問題和問題形式。你還可以嘗試在2014年增加到CISSP考試中的“拖放”和“熱點”問題形式。

ISSP CBK的10個領域如下：

• 信息安全管理和風險管理

• 訪問控制

• 加密

• 安全架構和設計

• 電信和網絡安全

• 軟件開發安全

• 業務連續性和災難恢復計劃

• 法律、法規、調查和合規性

• 物理(環境)安全

• 操作安全

SearchSecurity的CISSP Essential Security School還提供電子學習課程，其中涵蓋了上述這些領域的很多重要課題。雖然并沒有完全涵蓋所有可能的考試題目或問題，這些課程代表著考試中大部分重要課題。在每個領域的課程后，你將有機會才加實踐考試測試(前文所提到的)來測試你是否完全了解了必要的概念。

CISSP考試內容會隨著時間的推移來反應我們行業的新技術，最近發生的有趣變化表明整體信息安全行業正在成熟化。企業架構開發、安全指導、生命周期模型和管理已經被納入到考試內容中。這些都是讓安全可以作為一門學科以可控的方式進行的正式的方法和技術，并且，這與行業過去的方法形成鮮明對比。通過使用這些新的結構，我們可以更容易地規劃企業安全計劃，追蹤其性能以及在其生命周期以定義的方式逐步提高它。這不僅可以帶來更有效的安全做法，還可以讓企業更好地發現和管理其風險。我們的行業正在逐漸發展，而這些變化都反映在這個最重要的認證考試中。

CISSP認證考試剖析

CISSP考試包含250道題，每個考生有六個小時的時間來完成。考試內容已經改變，問題形式也有所改變。幾年前，場景問題被納入到考試中，旨在要求考生將其知識運用到真實世界的情況。

在2014年，“拖放”和“熱點”問題被加入到了該考試，這兩種問題都是互動式活動，它們考查的是考生能否從實際的角度理解考試內容。熱點問題使用圖表來說明考生必須理解概念才能夠選出正確答案。該問題要求考生選取圖表的部分來作為問題的最佳答案。拖放題目只是要求考生點擊正確的答案，并將其拖動到問題提供的正確位置。在這兩種題型中，只有一個正確答案。

考生僅僅知道考試材料并不足以通過CISSP考試。考生還需要滿足經驗和教育要求才能夠參加考試，在過去，很多考生在沒有滿足這些要求的情況下而通過該考試。如果人們通過該考試，而沒有相關領域的實際經驗，該證書將會變成“書面認證”，而失去其市場價值。

現在，考生在通過考試后，他或她必須提供由認可保薦人簽字的文件。該保薦人可以是既定的CISSP和/或證明考生的經驗和工作經歷的雇主。實踐經驗確保了該認證的相關性以及證明新認證專業人士的實力。

CISSP認證考試本身并不容易。很多人抱怨該考試的主觀性以及采用容易混淆措辭的問題，但這些年該考試已經有所改進。這個考試最困難的事情是它所涵蓋的課題的數量之多。CBK領域包括加密、取證、物理安全到安全軟件開發、法律和電信等，為這個考試做準備需要付出很大的努力。

然而，大多數人只是想要添加CISSP認證到其名片中，所以他們都試圖以最快的速度通過該考試。如果學習了所有這些課題而不只是單純的記憶，這種豐富的知識可以讓考生享用一生。只是在你的名片上添加這個名稱是不夠的，你還需要掌握這些知識。CISSP考試內容涵蓋每個稱職的安全專業人士不僅應該知道而且還要掌握的基本知識。如果你花時間學習考試所有領域的內容，你對安全的全面了解將會讓你更有效地參與安全工作。你的就業機會也更加廣闊，工資也會更加可觀。

CISSP認證考試和安全模型

經常被誤解的CISSP考試的一個方面是其中包含看似過時或老舊的話題。雖然CISSP考試并不完美，但很多這些課題涵蓋進來是因為它們提供了對構成基本知識庫的關鍵概念的難以置信的深度。

例如，很多考生抱怨要學習安全模型(即Bell-LaPadula、Biba、Lattice等)，他們稱在其職業生涯中絕不會碰到這些。但這些模型被用于在架構水平開發安全系統和軟件，因此，這對于在這些專業領域工作的人來說很重要。更重要的是，世界各地的大學信息安全研究所課程都在教授這些模型，因為它們提供了對系統應該如何從安全的角度來設計的基本知識。如果我們行業的更多人真正了解了這些模型的基礎知識，并知道如何應用它們，每個行業都將享有更安全的軟件部署。

設計軟件和數字系統很困難。而在系統架構的核心嵌入安全性，然后在構建系統前在整個系統嵌入安全性則更加困難。這就是為什么很多系統存在漏洞，而且無法通過補丁來容易地修復的原因。補丁無法修復深植的設計缺陷。這些模型被創建來幫助人們從頭開始設計系統安全性。我們的行業一直使用這樣的口頭禪“安全應該內建，而不是外加”，但構建安全性需要有人能夠理解這些模型。我們有這么多不安全系統以及很多人忽視安全模型的事實構成非常有趣(和破壞性)的反比關系。

這些安全模型非常復雜，而且如果沒有實際工作的話，人們很難理解它們。很多這些模型可以在數學上得到證明，這意味著基于它們構建的系統比基于傳統“最佳做法”構建的系統有著更高的信譽保障。

如果這些模型沒有用，那么高層政府系統不會以它們為基礎。它們還被用來推導產品的評價標準，這又被用來測試企業每年采購的不同安全產品的保證級別。通用標準使用基于這些某型的評估測試，這意味著它們并沒有過時，且很值得我們學習。

雖然你可能永遠不需要以直接的方式部署正式的Bell-LaPadula模型，但如果你了解為什么它存在以及它如何在軟件或系統的設計內整合安全性提供藍圖，你就會看到這個模型在真實世界的足跡或者缺乏它的證據。如果你只是記住該模型的考試知識，你將無法從了解在編寫代碼前如何設計安全系統中獲益，如果你不“學會它”，你就不能“利用它”。

針對CISSP考試的教學和學習

所有考生都需要具有基礎知識;否則他們將無法完全了解這些看似不同的課題之間的相互關系，不會對新學到的內容提供有用的參考。CISSP考試的概念沒有正確得到教導或學習的一個原因在于，太多導師和課程都依賴于傳統培訓模式。對于這個考試，培訓通常很密集、專注和技術為導向。培訓并不總是能夠讓考生消化深度的復雜的理論課題，畢竟這些課題通常出現在大學研究生課程中。CISSP培訓課程和考試準備材料試圖將很多復雜的材料轉變成容易消化的內容，而讓很多學生錯過了真正的含義。

在準備CISSP考試時，不要將通過測試作為最終目標。最終的目標應該是掌握你可以在現實世界中使用的深度的有用的知識。對于以此作為目的的人來說，通過考試是一件輕而易舉的事情。如果你不花時間來真正學習考試的課題，這些課題會顯得很混亂，以及浪費你的時間。人們對于CISSP考試的常見評論讓我真正了解到他們真正所知道的與他們認為他們所知道的之間的對比。

在繼續SearchSecurity的CISSP Essential Security School之前，請花時間來完成下個頁面的自我評估以了解你還需要學習多少知識才能獲得該證書，并最終在該領域建立職業生涯。這些問題來自于McGraw-Hill出版的Shon Harris的CISSP All-In-One學習指導書第7版，這個新版本要到2014年10月出版，屆時你將可以獲取其他任何地方都無法提供的新的材料。