【51CTO.com 综合消息】提到CISP,我突然想到了两种教育“应试教育”和“职业教育”。所谓应试教育,就像我们上学考试拿证书,所有学的一切东西都是为了应付各种考试,和实际工作中需要用的技术有一定的距离。我对此深有体会,大学中学的知识能很好的为我们打下一个很好的基础,但如果要在实际中应用的话需要我们不断的学习和摸索,亦或是前辈的指导。
所谓职业教育就是技术教育,就像某些职业技术学校,他们在课程开发的时候,前期做了大量的市场调研,企业中用的什么新技术,然后会根据这些技术开发新的课程,所以培训的结果会使大家受益非浅,即学即用。当然现在某些大学中也提出职业教育,但对于技术的更新不够,这会造成教学和实际工作的脱节。
那CISP属于哪一种呢?在这之前我给大家先介绍一下。CISP即“注册信息安全专业人员”,英文为Certified Information Security Professional (简称CISP),根据实际岗位工作需要,CISP分为三类,分别是“注册信息安全工程师”,英文为Certified Information Security Engineer(简称CISE); “注册信息安全管理人员”, 英文为Certified Information Security Officer(简称CISO),“注册信息安全审核员” 英文为Certified Information Security Auditor(简称CISA)。
其中CISE主要从事信息安全技术开发服务工程建设等工作,CISO从事信息安全管理等相关工作,CISA从事信息系统的安全性审核或评估等工作。这三类注册信息安全专业人员是有关信息安全企业,信息安全咨询服务机构、信息安全测评机构、社会各组织、团体、企事业有关信息系统(网络)建设、运行和应用管理的技术部门(含标准化部门)必备的专业岗位人员,其基本职能是对信息系统的安全提供技术保障,其所具备的专业资质和能力,系经中国信息安全测评中心实施注册。
从中不难看出我们只要拿到了CISP(CISE,CISO)就证明我们具备了安全管理与安全技术开发等相关的工作实力。我讲了CISP有二年,我对此有一些体会。CISP涉及到的知识面很广,涵盖了安全工程,信息安全管理,风险管理,各类操作系统安全,数据库安全等,基本所有安全的知识领域都覆盖了。经过十天的学习,能让学生对安全整个领域都有了解,从过去单一的产品安全到了解到现在诸多安全,从思想认识上做了根本的改变。
在教学中发现好多学生都认为放了防火墙,放了IDS,IPS就安全了,经过CISP课程培训使他们扭转了这个想法,诸如安全是相对,不安全是才是绝对,安全永远是个动态过程,没有一劳永逸的安全等等。所以CISP给我们学生的授益是相当大的,网络称赞CISP的文章好多,这些我也不想占过多篇幅来讲。我斗胆想谈一下CISP培训的不足:
第一. 时短试快:
也就是时间短考试快,短短十天的培训,四本厚厚的书,超于CISSP的CBK十大知识域的知识,这么短的时间理解应用及记住知识点,有一定难度,而且培训后直接考试,没有长时间准备也很难,所幸的是这些CISP的学生都有一定的安全经验,所以通过率还不错。
第二. 广而不精
CISP的知识点覆盖范围很广,比如CISSP把操作系统类的安全叫访问控制;而在CISP中会讲WINDOWS安全,UNIX安全,实际上操作系统的核心就是访问控制。而且有的技术相对要落后一些。而且在WINDOWS及UNIX中的安全也不是很深。
第三. 缺乏案例。
比如在讲见险评估的时候,应该都有一定的案例,一些文档能够让学生较清楚的认识;我们在大篇幅讲理论不去实践,没有案例,这会造成纸上谈兵的感觉。就相当于我们做BCP,没有及时演练测试修改等,那么这个BCP毫于意义。讲安全入侵的时候,也应该有一些案例,讲注入,跨站等攻击,给学生一些有注入攻击等漏洞的网站原码。最好再做一张光盘,里包含了各个模块的案例,让学生通过案例来了解知识点,相对来讲更简单更容易一些。
第四. 技术相对落后
诸如在病毒内容方面,“魔高一尺,道高一丈”,我渴望也希望这句话的真实,但往往对于杀毒软件厂商,如瑞星的主动防御及NOD32的启如扫描机制,他们的主要目的是用来杀未知病毒的,但真的能做到吗?我见到一些远程控制软件可以过主动防御,而且在今年年初的一篇突破NOD32启发扫描机制的三种方法,着实给国内外杀毒软件厂商提了个醒。而且现在的病毒及木马偏向硬件化,对于这种,我们应该怎么解决和应对呢?
这是本人对CISP培训及内容的一点真实看法,有不对的地方还请大家多指正!
在文章一开始提到的应试和职业教育,现在也应该有个答案了,我感觉CISP介于应试和职业教育之间,既有为了考试而学的一些,也有实际中的一些技术管理经验,但学员往往需要更多的实际项目经验,所以谷安天下的CISP的培训切切实实可以弥补CISP的不足。
“谷安天下以满足客户实际培训需求为目标,以提供优质培训服务为宗旨,以定位高端、与时俱进以及案例教学为特色。主要服务于政府、金融、电信、移动等重要行业。我们拥有一套完善成熟的信息安全培训体系和授课质量服务体系,培训内容涵盖信息安全意识、信息安全技术、信息安全理论、以及CISA、CISSP、CISP、ISO27001LA、ITIL等国际、国内认证”。
我们的讲师都是安全界的精英,并得到国家信息安全测评中心的认可,有着丰富的项目经验及授课经验,所以老师可以把实践中得到的知识传授给大家,从根本上解决了CISP的不足。
CISP培训任重道远,希望大家也勇于提意见,只有这样才会使我国的安全不断的提高,应付将来的各种信息安全变化;只有不断的修改,不断的补充,不断的提升,才能在未来的的信息较量中我们利于不败!
突然想起伟人的一句话:“革命尚未成功,同志仍须努力”。
【编辑推荐】
