我对CISP培训认证的简评

cprz2006

我对CISP培训认证的简评
                     谷安天下CISP讲师 郝永清
提到CISP，我突然想到了两种教育“应试教育”和“职业教育”。所谓应试教育，就像我们上学考试拿证书，所有学的一切东西都是为了应付各种考试，和实际工作中需要用的技术有一定的距离。我对此深有体会，大学中学的知识能很好的为我们打下一个很好的基础，但如果要在实际中应用的话需要我们不断的学习和摸索，亦或是前辈的指导。所谓职业教育就，是技术教育，就像某些职业技术学校，他们在课程开发的时候，前期做了大量的市场调研，企业中用的什么新技术，然后会根据这些技术开发新的课程，所以培训的结果会使大家受益非浅，即学即用。当然现在某些大学中也提出职业教育，但对于技术的更新不够，这会造成教学和实际工作的脱节。
那CISP属于哪一种呢？在这之前我给大家先介绍一下。CISP即“注册信息安全专业人员”，英文为Certified Information Security Professional (简称CISP)，根据实际岗位工作需要，CISP分为三类,分别是“注册信息安全工程师”,英文为Certified Information Security Engineer（简称CISE）; “注册信息安全管理人员”， 英文为Certified Information Security  Officer(简称CISO)，“注册信息安全审核员” 英文为Certified Information Security Auditor(简称CISA)。其中CISE主要从事信息安全技术开发服务工程建设等工作，CISO从事信息安全管理等相关工作，CISA从事信息系统的安全性审核或评估等工作。这三类注册信息安全专业人员是有关信息安全企业，信息安全咨询服务机构、信息安全测评机构、社会各组织、团体、企事业有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部门）必备的专业岗位人员，其基本职能是对信息系统的安全提供技术保障，其所具备的专业资质和能力，系经中国信息安全测评中心实施注册。
从中不难看出我们只要拿到了CISP（CISE，CISO）就证明我们具备了安全管理与安全技术开发等相关的工作实力。我讲了CISP有二年，我对此有一些体会。CISP涉及到的知识面很广，涵盖了安全工程，信息安全管理，风险管理，各类操作系统安全，数据库安全等，基本所有安全的知识领域都覆盖了。经过十天的学习，能让学生对安全整个领域都有了解，从过去单一的产品安全到了解到现在诸多安全，从思想认识上做了根本的改变。在教学中发现好多学生都认为放了防火墙，放了IDS，IPS就安全了，经过CISP课程培训使他们扭转了这个想法，诸如安全是相对，不安全是才是绝对，安全永远是个动态过程，没有一劳永逸的安全等等。所以CISP给我们学生的授益是相当大的，网络称赞CISP的文章好多，这些我也不想占过多篇幅来讲。我斗胆想谈一下CISP培训的不足：
第一．        时短试快：
也就是时间短考试快，短短十天的培训，四本厚厚的书，超于CISSP的CBK十大知识域的知识，这么短的时间理解应用及记住知识点，有一定难度，而且培训后直接考试，没有长时间准备也很难，所幸的是这些CISP的学生都有一定的安全经验，所以通过率还不错。
第二．        广而不精
CISP的知识点覆盖范围很广，比如CISSP把操作系统类的安全叫访问控制；而在CISP中会讲WINDOWS安全，UNIX安全，实际上操作系统的核心就是访问控制。而且有的技术相对要落后一些。而且在WINDOWS及UNIX中的安全也不是很深。
第三．        缺乏案例。、
比如在讲见险评估的时候，应该都有一定的案例，一些文档能够让学生较清楚的认识；我们在大篇幅讲理论不去实践，没有案例，这会造成纸上谈兵的感觉。就相当于我们做BCP，没有及时演练测试修改等，那么这个BCP毫于意义。讲安全入侵的时候，也应该有一些案例，讲注入，跨站等攻击，给学生一些有注入攻击等漏洞的网站原码。最好再做一张光盘，里包含了各个模块的案例，让学生通过案例来了解知识点，相对来讲更简单更容易一些。
第四．        技术相对落后
诸如在病毒内容方面，“魔高一尺，道高一丈”，我渴望也希望这句话的真实，但往往对于杀毒软件厂商，如瑞星的主动防御及NOD32的启如扫描机制，他们的主要目的是用来杀未知病毒的，但真的能做到吗？我见到一些远程控制软件可以过主动防御，而且在今年年初的一篇突破NOD32启发扫描机制的三种方法，着实给国内外杀毒软件厂商提了个醒。而且现在的病毒及木马偏向硬件化，对于这种，我们应该怎么解决和应对呢？
这是本人对CISP培训及内容的一点真实看法，有不对的地方还请大家多指正！
在文章一开始提到的应试和职业教育，现在也应该有个答案了，我感觉CISP介于应试和职业教育之间，既有为了考试而学的一些，也有实际中的一些技术管理经验，但学员往往需要更多的实际项目经验，所以谷安天下的CISP的培训切切实实可以弥补CISP的不足。
“谷安天下以满足客户实际培训需求为目标，以提供优质培训服务为宗旨，以定位高端、与时俱进以及案例教学为特色。主要服务于政府、金融、电信、移动等重要行业。我们拥有一套完善成熟的信息安全培训体系和授课质量服务体系，培训内容涵盖信息安全意识、信息安全技术、信息安全理论、以及CISA、CISSP、CISP、ISO27001LA、ITIL等国际、国内认证”。
我们的讲师都是安全界的精英，并得到国家信息安全测评中心的认可，有着丰富的项目经验及授课经验，所以老师可以把实践中得到的知识传授给大家，从根本上解决了CISP的不足。
CISP培训任重道远，希望大家也勇于提意见，只有这样才会使我国的安全不断的提高，应付将来的各种信息安全变化；只有不断的修改，不断的补充，不断的提升，才能在未来的的信息较量中我们利于不败！
突然想起伟人的一句话：“革命尚未成功，同志仍须努力”

作者介绍：郝永清
谷安专职讲师，CISSP；CISP；MCSE；
主要从事信息安全相关工作，负责深入分析用户安全需求；有近十年的授课经验，全部涉及网络安全相关的知识领域，2000年至2008为300多家企业过千人的IT经理及IT技术人员的安全相关培训。有丰富的项目经验，曾经主导国内著名券商集中交易项目的规划和建设以及构建后续的管理体系。根据公司安全体系架构（TCAF），以及国家、重要行业相关安全标准，负责编制并推广解决方案；负责支持公司战略性项目。在攻防方面：跟踪国内外的安全动态，对严重安全事件进行快速响应；对各种恶意软件进行分析，提供检测和解决方案。完成产品的安全性评估（如防火墙、入侵检测、漏洞扫描） ，参与过众多公司网络的渗透测试。对病毒和木马有深入了解。
从业经历：
        某黑客杂志的编辑和特约作者，发表关于黑客技术方面的文章及新漏洞发布。
        参与部队及政府相关的安全项目。
        CISP及CISSP特约讲师，讲解相关的课程。
        曾在某安全公司做高级安全顾问，负责该公司在项目方面相关安全解决方案。
        参与某些企业的ISO27001的认证咨询

联系谷安天下培训事业部：
地址/Address:北京市海淀区中关村南大街2号数码大厦A座2906
联系人：陈龙飞
电话/Tel：(010) 51626887-转培训部 传真/Fax：(010)51626975
手机/Mobile：13671327668   电邮/Email：chenlongfei@gooann.com  
MSN: cprz2006@126.com  QQ:50861951