-
CISSP認證資訊
CISSP 全稱 Certified Information System Security Professional,國際註冊信息系統安全專家,由國際信息系統安全認證協會((ISC)2)組織和管理,是目前全球範圍內最權威,最專業,最系統的信息安全認證。 CISSP是壹種反映信息系統安全專業人員水平的證書,可以證明證書持有者具備了符合國際標準要求的信息安全知識和經驗能力,目前已經得到了全球範圍的廣泛認可。CISSP認證考試由(ISC)2組織與管理,參加CISSP認證的人員需要遵守CISSP 道德規範(Code of Ethics),同時要有在信息系統安全通用知識框架(CBK)的十個領域之中擁有最少2個範圍的專業經驗5年;或者4年的有關專業經驗及擁有學士資格或ISC2認可的證書。此外,CISSP應考者還需要得到另外壹位持有有效ISC2認證的專業人士推薦確認(Endorsement)。有效的推薦人指任何持有CISSP、SSCP及CAP的專業人士。 隨著全球性信息化的深入發展,信息網絡技術已廣泛應用到企業商務系統、金融業務系統、政府部門信息系統等,由於Internet具有開放性、國際性和自由性等特點,因此為保護機密信息不受黑客和間諜的入侵及破壞,各系統對網絡安全的問題日益重視,在此方面的投資比例亦日趨增大。為此,建立壹套統壹的標準,培養合格的信息安全專業人員來應付網絡安全的需要顯得尤為迫切。CISSP正是為了滿足此方面的需求發展而來,並在信息系統安全領域發揮了極為重要的作用。
-
SSCP認證課程簡介
SSCP(Systems Security Certified Practitioner)認證針對那些負責網絡或者系統安全者,SSCP認證屬於ISA認證體系。主要涉及以下七個方面:Access Controls 存取控制、Analysis and Monitoring 分析與檢測Cryptography 密碼學、Malicious Code 惡意程式、Networks and Telecommunications 網路與通訊、Risk, Response, and Recovery 風險、回應及系統恢復、Security Operations and Administration 安全操作與管理。Access Controls 存取控制課程的具體內容包含兩個方面:存取控制之概念與技術以及系統與資料之存取控制。Analysis and Monitoring 分析與檢測:資訊系統之安全性稽核、紀錄之收集與分析、系統監控、SIEM(Security Information and Event Management)。 Cryptography密碼學的課程包括:密碼學觀念之建立、密碼演算法之運作與應用、訊息完整性檢查與數位簽章、數位憑證、破密分析。Malicious Code惡意程式:惡意程式之種類與型態、系統攻擊手法、反制措施。Networks and Telecommunications 網路與通訊:通訊協定之安全性、區域網路之安全性、廣域網路之安全性、無線網路之安全性。Risk, Response, and Recovery 風險、回應及系統恢復包括:風險管理、安全事件回應、系統的容錯與回復。Security Operations and Administration 安全操作與管理、資訊系統之安全性管理、資訊分類、異動管理、系統生命週期、道德規範。 SSCP認證適合對象:對資訊安全工作有興趣者;欲取得SSCP認證資格者;欲充實本身資安技術能力的IT人員。對於有誌從事資訊安全工作者,該如何為跨入資安領域做好準備,是其首先面對到的課題;對於在資安領域中默默耕耘的資安技術者而言,該如何證明自身的專業技術能力,是其面對的壹大課題;而企業內的員工該如何與資訊技術同僚合力實施企業的資安政策,又是另壹個難題! SSCP-系統安全認證從業人員是壹張針對資安實務及資安技術人員所設立的證照。SSCP認證可確認受測者在資安技術領域中具有壹定的專業能力,且在符合特定的資格與條件後,發給證照,以證明其在資安領域技術層面具有專業實務能力。
-
ISC、CISSP認證簡介
CISSP全稱CertifiedInformationSystemSecurityProfessional,信息系統安全認證專業人員,是由國際信息系統安全認證協會,即(ISC)組織和管理,是目前全球範圍內最權威,最專業,最系統的信息安全認證。很多大型國際企業都在近幾年內設立了具有決策和管理權限的信息總監,並將信息安全部門的規劃提到的議程上,具有CISSP認證的專業人士往往在就職這樣的重要職位有得天獨厚的優勢。在國內號稱“網絡博士後”的CCIE(CiscoCertifiedInternetExport),思科系統認證的互聯網專家)也陸續轉向這個領域,已經有不少CCIE專家們開始轉向持有CCIE&CISSP雙證書。據相關數據表示,日前中國大陸擁有CISSP證書的人不過百人。從以上信息我們可以看到壹個趨勢:信息安全的發展潛力難以估量,CISSP的含金量尚無其他認證可出其右。 CISSP認證隸屬於ISC認證,CISSP在ISC認證體系中重要認證之壹。簡單的介紹壹下ISC認證体係。(ISC)成立於1989年中期,總部設在北美,是壹個獨立的,非盈利性的組織,目的為管理信息安全專業認證人員。ISC認證包括兩個重要的認證,即CISSP認證和SSCP認證。它從1992年開始推廣CISSP的認證考試,並且很快得到了國際的高度認可。目前(ISC)在全球各地舉辦CISSP考試,但在中國,僅在北京、上海、廣州三地設有考點,雖然CISSP僅僅剛剛登陸中國,但勢必成為近年內的熱門認證。說起(ISC)和CISSP,很多人還比較陌生,這和信息安全行業的剛剛興起、CISSP的專業性和高端性以及(ISC)進入中國的時間不長有壹定關系。 獲取CISSP認證,需要報考者必須具備以下條件:至少4年的工作經驗,若擁有大學本科學歷,需要3年工作經驗即可。工作經驗應為CBK規定的10個知識域中的壹個或多個範疇;簽署並承諾遵守(ISC)制定的職業守則(CodeofEthics);支付450美元的報考費用,確定報考地點。考試時間:長達6小時。CISSP認證適合人群:企業信息安全主管、信息安全業內人士、IT或安全顧問人員、IT審計人員、安全設備廠商或服務提供商、信息安全類講師或培訓人員、信息安全事件調查人員以及其他從事與信息安全相關工作的人員(如系統管理員、程序員、保安人員等)。 CISSP的考試由250道單項選擇題構成,目前只有英文試題,需要在6個小時內(上午9時至下午3時)完成,壹般來說沒有時間壓力。題目來自(ISC)的題庫,每次考試題目都會有所變化,根據筆者的經驗,每次考試的題目都會有所側重當前的安全熱點問題。在250道題目中只有225道題目計分,其余的25道題目是用於調查的目的,但這些題目並不明確的標註出來。通過成績壹般是答對計分的225題中的70%。網絡信息安全在網絡帝國中的熱度正在急劇上升,在眾多的IT企業和信息化程度較高的其他企業中,已經出現了專門從事企業信息安全服務的工程師,在壹些企業內,網管員隊伍中也分化出專門負責安全系統規劃和維護的工程師。很多業內的專家都預測,在不久的將來,信息安全工程師將形成壹個龐大的專業隊伍。