引子
我一直从事信息安全咨询以及CISSP等信息安全培训工作,2005年10月,我在上海通过CISSP考试的,从最开始接触CISSP到现在,我和CISSP的缘分就没有断过,这些年的工作不断加深我对信息安全的理解,同时作为信息安全的从业人员以及CISSP培训授课的需要,不断追踪并同时体验着信息安全领域技术和管理方面的最新变化。都说教学相长,这话真是太有道理了,一直想用文字记录我的CISSP的教学体验,现在在北京谷安天下科技有限公司(简称:谷安天下)任职CISSP讲师,得培训部委托,今天总算动笔,跟大家一起分享。本文适合CISSP有一定了解的专业人员。
1 CISSP CBK的特点
CISSP作为当前全球信息安全行业最受推崇的高端个人资质认证,其权威和口碑已经是无容置疑。在此,从我的体验和认识的角度去简单分析这个认证为什么能担此殊荣。
1.1 核心特点:广而不深
大家都知道是CISSP 的CBK(Common Bady of Knowledge,公共知识库)共有十个知识域,从(ISC)2每年发布的CIB(Candinates Information Bulltin应试信息公告)中来看,每年的CBK的十个知识域的名字都有些区别,这些区别体现了信息安全领域的最新的变化,但是主要的知识点变化不大,这点我将在下文中有详细讲述,在此,我仅仅列出2007年(ISC)2发布的官方备考指南一书(跟当年CIB中所列一致)中列出,如下图所示:
从以上10个知识域中,我们可以看出,CISSP的CBK可以说涵盖了信息安全领域所需所有的知识,可以说是十分广泛的。下面,我将从另外一个侧面来说明CBK的广泛性。大家都知道,目前企业一般都会参照ISO17799:2005信息安全管理体系实践细则来帮助企业建立信息安全控制体系,究其原因就是ISO17799里包含了非常全面的领域,这已经从实践当中得到佐证,我亦无须多言。ISO17799的控制域如下图:
下面,我将把CISSP CBK同ISO17799:2005的控制域做个对应,尽管两个体系的基础不同,CBK强调的是知识域,从基础的层面上划分的,而ISO17799强调的控制域,从实践的层面上划分,但是无论从哪个层面上划分,其本质是还是对“信息安全”的解读。因此,我们这种对应能够帮助我们说明问题。如下图所示:
从以上对应图可以看出CISSP CBK确实非常的广。自从我认证研读完CISSP的CBK之后,我发现我的信息安全认识突然变得宽阔起来,尽管我在大学时的专业是信息安全,我看待和解决信息安全不再是防火墙、防病毒以及IDS老三样了,而是一个全新的更为广泛、全面而立体的视角。看到这里,也许有人就有疑问,如此广泛的知识领域,安全知识犹如浩瀚海洋,对于应试者来说,岂不是只有望洋兴叹的份了。非也,(ISC)2 要求应试者对CBK的掌握仅仅要求在概念的层次。有一句话来概括CBK的广度和深度非常合适:一英里宽,一英尺深。因此,大家在准备CISSP考试时,一定要把握这个特点,切忌深入细节,得不偿失。
到这里,也学有人会说,这CISSP的考试就简单啦,其实也并非如此,(ISC)2通过一系列的手段来提高考试门槛,比如在07年就改为由以前的4年工作经验改为5年的工作经验,增加考试难度,比如长达6个小时250道选择题,以保持证书的含金量。
1.2 重要特点:与时俱进
与时俱进的特点体现在以下几个方面,CISSP CBK每年都会更新,体现了信息安全技术的最新变化以及信息安全实践的最新成果,就这点,我将在下文“CBK近年来的变化”详细阐述;CISSP的考试中会包含25道不记分也不标记的研究试题;持有CISSP证书的专业人员每年都必须获得CPE(Continuing Professional Education)学分,CPE的获得就要求证书持有者参加专业会议,参加专业培训等等以保持专业性和时代性.
2 CBK核心知识点
整个CISSP CBK的知识点实在太多,CBK是由全球信息安全领域的精英和专家共同编写和维护的知识库,体现了集体的智慧,而我这里所谓“核心知识点”难免有些管中窥豹的局限,在此也希望信息安全的精英大拿们批评指正。另外,我对“核心知识点”做如下定义:所谓核心知识就是基础知识中的基础知识。
大家都知道IATF(Information Assurance Technology Framework,信息保障技术框架)是美国国家安全局提出,为保护美国政府和工业界的信息与信息技术设施提供技术指南。IATF从整体、过程的角度看待信息安全问题,其代表理论 为“深度防护战略(Defense-in-Depth)”。IATF强调人、技术、操作这三个核心原则,关注四个信息安全保障领域:保护网络和基础设施、 保护边界、保护计算环境、支撑基础设施。在IATF的基础上,结合我自己这么些年对信息安全的研究和实践,同时吸收了我的优秀同事们的经验总结(在此要感谢我的优秀的工作团队啦),提出了大型企业信息安全保障体系框架,如下图。说到这里,也许大家都疑问就来了,CISSP CBK与企业信息安全保障体系有何关联?为什么偏偏是大型企业呢?
(ISC)2规定参加CISSP考试的条件为在10个知识域中至少2个领域有至少5年的信息安全专业领域的工作经验,其实也也代表着CISSP对工作实践以及经验的要求,这要求这些CISSPs们必须从实践中来,理解更为广泛的信息安全知识后,又回到实践中去,因此这种来源实践同时必须回归实践的做法是任何一个CISSP都必须牢记的。信息安全保障框架可以说是信息安全实践中的结晶,是信息安全实践的需要,几乎涵盖了所有的信息安全领域。另外,之所以说大型企业信息安全保障体系框架,这更方便说明问题,因为小企业总会有或这或那的裁剪。
大型企业信息安全保障体系框架IATF三要素的基础上扩展成治理、管理、运维和技术四个要素,安全治理通过安全技术支撑,执行信息安全管理和日常运维,实现企业信息资产(包括网络基础设施、计算环境、企业文档数据以及物理环境)的分层保护。
保障框架四要素概括了信息安全所有领域,如下图所示,因此可以相应对应到CISSP CBK中的内容。
保障体系框架四要素分别对应到CISSP CBK中核心知识点如下图所示:
对以上所列核心知识点在此就不一一解释为什么是该知识域的核心知识点,仅仅拿一个来做说明一下。比如在密码学这个知识域,对称密码系统和非对称密码系统是这个知识域的基础知识,其他知识比如PKI,VPN,数字签名等都是在对称算法和非对称算法的基础上的应用。
3 CBK近年的变化
从2005年到2009年这5年间,CISSP的CBK每年都有些变化,但是变化最大要数06年到07年,这种变化凸显了信息安全变化发展的趋势。以下对06到07年的变化稍做分析。
(1) 安全管理,这个知识域的标题由security management practice 改为information security and risk management;新增内容有身份管理,强调了风险管理;把道德以前“道德、法律、调查”移至这个知识域。
(2) 访问控制,这个知识域的标题由access control systems and methodology改为access control;增加了身份管理;
(3) 系统开发,这个知识域的标题由application system development and maintainance该为application security;
其他的章节变化不是很大,增加的内容不多,但是以上的变化其实也反映了当前信息安全的一些趋势:
(1) 信息安全管理凸显了风险的管理,风险的概念在80年代引入信息安全领域,很快被安全从业者所广泛接受,信息安全的概念(比较科学的)基本上都是建立在风险的基础上的。随着实践的不断深入,从业者对风险的认识越来越深刻,建立完整完善的信息安风险管理流程是降低安全相关威胁和事故必经之道。
(2) 信息安全管理引入了安全治理的概念,治理的概念常常见诸于各种媒体、报纸,如公司治理、IT治理。信息安全治理应该是我们关注的,它要求公司建立一个充足的技术控制框架和和安全管理层,以风险管理为基础,管理企业信息安全活动以及依靠IT的业务活动;
(3) 身份管理将成为今后几年关注的焦点,建立统一的开放的身份管理平台将某种程度上是对互联网应用的一种颠覆(互联网的最大特点之一就是匿名),同是某种程度上又是规范当前的互联网的使用。身份管理同样也是企业信息安全管理的基础。
(4) 应用安全提到了一个前所未有的高度,这一方面是由于应用系统的问题给用户带来很大麻烦,另外一个方面就是SOX法案的推动,使用户不得不去关注自己的应用安全;
(5) 信息系统的审计(信息安全审计或者说IT审计)越来越受重视,随着企业的所有业务,特别是财务越来越依靠信息技术时,这将导致信息系统的审计必将成和财务审计一样,无论是作用还是其地位,同时又伴随着财务审计,成为一大产业;
(6) 安全管理的有效度量以及辅助一定的度量工具必将成为企业安全管理的迫切需求,特别是行业大客户,信息化程度非常高的企业,在信息安全方面投入了大量的安全产品以及相关的安全管理体系建立起来之后,安全的有效度量则势在必行;
4 我的教学方法
我在培训课堂上用得比较多是思维导图法、比较法以及联想法,这些方法不仅方便以及帮助我更好的讲授CISSP,同时也可以供自学的朋友参考。
4.1 思维导图法
我用思维导图已经很多年了(如还有不知道思维导图的朋友赶紧去google一把),思维导图帮助我学习CISSP CBK,我当初备考CISSP时,就是用思维导图软件MindManager做的笔记,笔记已作,感觉记忆力不断下降的我似乎恢复了年轻时代的记忆力,基本记住看过的知识点。并且思维导图还帮助我立体展示要讲的知识。在本文的开始到结尾,到处都有思维导图的身影。
4.2 比较法
在信息安全领域,对于同一问题,解决这个问题的方法或者技术一般不止一种,这在其他领域也存在同样的特点,因此CISSP的CBK中就同一知识点会从多个方面去阐述。下面,我将罗列部分:
这些技术要么具有优缺点置换的特点、要么就是非常容易混淆。比如对称算法和非对称算法,对称算法有点是运算速度按快缺点是密钥分发困难,而非对称算法恰好反过来,非对称算法运算速度慢但是能在非安全的环境中安全传递密钥的特点,解决了对称算法密钥分发困难的问题。比如适度勤勉和适度关照就非常容易混淆,前者强调管理者(custodian,一般指信息安全经理或者系统管理员等)要履行其职责维持某个资产的风险在可接受的水平之下,而后者强调所有者(owner,一般指企业领导人员)必须投入必要的人力、财力等去发现并处置企业存在的且在风险可接受水平之上的风险。比较的方法能够帮助学员加深对知识点的理解同时也加强了记忆。
4.3 联想法
信息安全技术不是孤立的,而是相互联系的。因此,我在讲授CISSP培训课程时特别注意各个知识点之间的联系,夸知识域的知识点的联系。下面仅仅举个例子:
信息分类分级是“信息安全治理和风险管理”知识域的知识点,而强制访问控制是“访问控制”知识域的知识点,这两者是有联系的,在技术实现上,前者是后者的基础。而强制访问必须依赖标签,标签的本质是表示访问主客体的安全属性的,安全属性除了C,I,A之外还有真实性等等…………,这样知识点就串起来,不断加深理解,而且锻炼了整体看信息安全问题的思维。
5 结束语
第一次讲授CISSP培训课程的情景还历历在目,诚惶诚恐,小心翼翼,到现在,已经讲过了几十场CISSP培训,培训的学员也上好几百了。尽管教学相长,自己的授课经验不断精进,但是离一位优秀的培训讲师还有距离,到现在每次培训前都花数小时备课,但是还是小心翼翼,生怕自己辜负了学员的银子。在CISSP培训的路上,尽管充满了艰辛,但是只要能够得到学员的肯定,那就心满意足了。我在06年培训的一位学员现在移民去了澳洲,今年的一次跟他MSN聊天,他跟我说,参加了我的培训,他从一位系统管理员变成了一位信息安全咨询师,改变了他职业生涯,说感谢我。哈,得此消息,我心足矣,CISSP培训前进的道路上又多了双助推的手。
作者简介:
陈 岌 CISSP国际认证信息系统安全专,CISP注册信息安全专业人员,CISA 国际认证信息系统审计师, ISO 27001 LA , ITIL Foundation IT服务管理证书。
7年信息安全领域研究与从业经验,主要从事信息安全实施规划、信息安全风险评估、信息安全管理体系建立和实施、等级保护等方面工作,具备丰富的信息安全管理咨询与IT审计实践经验。目前主要专业领域集中于IT风险管理与控制、信息安全等方面,曾服务的主要客户有:中国电信、工商银行、用友软件、北京NTT DATA、太平洋保险等。长期从事CISSP等信息安全培训工作。
现任谷安天下咨询经理,为客户提供IT风险管理与控制、信息安全等咨询服务,谷安天下IT风险管理学院CISA、CISSP资深讲师。
曾是北京某信息安全公司信息安全咨询团队核心成员之一,主要负责为客户提供安全技术解决方案、安全管理咨询与服务。
曾担任上海某咨询公司高级顾问,主要负责信息安全管理咨询与服务以及CISSP、CISA等培训工作。
曾在上海交通大学信息安全学院担任助教,负责互联网内容分级管控系统的研究以及信息安全基础、密码学、PKI等课程助教。