提到cisp,我突然想到了兩種教育「應試教育」和「職業教育」。所謂應試教育,就像我們上學考試拿證書,所有學的一切東西都是為了應付各種考試,和實際工作中需要用的技術有一定的距離。我對此深有體會,大學中學的知識能很好的為我們打下乙個很好的基礎,但如果要在實際中應用的話需要我們不斷的學習和摸索,亦或是前輩的指導。
所謂職業教育就是技術教育,就像某些職業技術學校,他們在課程開發的時候,前期做了大量的市場調研,企業中用的什麼新技術,然後會根據這些技術開發新的課程,所以培訓的結果會使大家受益非淺,即學即用。當然現在某些大學中也提出職業教育,但對於技術的更新不夠,這會造成教學和實際工作的脫節。
那cisp屬於哪一種呢?在這之前我給大家先介紹一下。cisp即「註冊資訊保安專業人員」,英文為certified information security professional (簡稱cisp),根據實際崗位工作需要,cisp分為三類,分別是「註冊資訊保安工程師」,英文為certified information security engineer(簡稱cise); 「註冊資訊保安管理人員」, 英文為certified information security officer(簡稱ciso),「註冊資訊保安審核員」 英文為certified information security auditor(簡稱cisa)。
其中cise主要從事資訊保安技術開發服務工程建設等工作,ciso從事資訊保安管理等相關工作,cisa從事資訊系統的安全性審核或評估等工作。這三類註冊資訊保安專業人員是有關資訊保安企業,資訊保安諮詢服務機構、資訊保安測評機構、社會各組織、團體、企事業有關資訊系統(網路)建設、執行和應用管理的技術部門(含標準化部門)必備的專業崗位人員,其基本職能是對資訊系統的安全提供技術保障,其所具備的專業資質和能力,係經中國資訊保安測評中心實施註冊。
從中不難看出我們只要拿到了cisp(cise,ciso)就證明我們具備了安全管理與安全技術開發等相關的工作實力。我講了cisp有二年,我對此有一些體會。cisp涉及到的知識面很廣,涵蓋了安全工程,資訊保安管理,風險管理,各類作業系統安全,資料庫安全等,基本所有安全的知識領域都覆蓋了。經過十天的學習,能讓學生對安全整個領域都有了解,從過去單一的產品安全到了解到現在諸多安全,從思想認識上做了根本的改變。
在教學中發現好多學生都認為放了防火牆,放了ids,ips就安全了,經過cisp課程培訓使他們扭轉了這個想法,諸如安全是相對,不安全是才是絕對,安全永遠是個動態過程,沒有一勞永逸的安全等等。所以cisp給我們學生的授益是相當大的,網路稱讚cisp的文章好多,這些我也不想佔過多篇幅來講。我斗膽想談一下cisp培訓的不足:
第一. 時短試快:
也就是時間短考試快,短短十天的培訓,四本厚厚的書,超於cissp的cbk十大知識域的知識,這麼短的時間理解應用及記住知識點,有一定難度,而且培訓後直接考試,沒有長時間準備也很難,所幸的是這些cisp的學生都有一定的安全經驗,所以通過率還不錯。
第二. 廣而不精
cisp的知識點覆蓋範圍很廣,比如cissp把作業系統類的安全叫訪問控制;而在cisp中會講windows安全,unix安全,實際上作業系統的核心就是訪問控制。而且有的技術相對要落後一些。而且在windows及unix中的安全也不是很深。
第三. 缺乏案例。
比如在講見險評估的時候,應該都有一定的案例,一些文件能夠讓學生較清楚的認識;我們在大篇幅講理論不去實踐,沒有案例,這會造成紙上談兵的感覺。就相當於我們做bcp,沒有及時演練測試修改等,那麼這個bcp毫於意義。講安全入侵的時候,也應該有一些案例,講注入,跨站等攻擊,給學生一些有注入攻擊等漏洞的**原碼。最好再做一張光碟,裡包含了各個模組的案例,讓學生通過案例來了解知識點,相對來講更簡單更容易一些。
第四. 技術相對落後
諸如在病毒內容方面,「魔高一尺,道高一丈」,我渴望也希望這句話的真實,但往往對於防毒軟體廠商,如瑞星的主動防禦及nod32的啟如掃瞄機制,他們的主要目的是用來殺未知病毒的,但真的能做到嗎?我見到一些遠端控制軟體可以過主動防禦,而且在今年年初的一篇突破nod32啟發掃瞄機制的三種方法,著實給國內外防毒軟體廠商提了個醒。而且現在的病毒及木馬偏向硬體化,對於這種,我們應該怎麼解決和應對呢?
這是本人對cisp培訓及內容的一點真實看法,有不對的地方還請大家多指正!
在文章一開始提到的應試和職業教育,現在也應該有個答案了,我感覺cisp介於應試和職業教育之間,既有為了考試而學的一些,也有實際中的一些技術管理經驗,但學員往往需要更多的實際專案經驗,所以谷安天下的cisp的培訓切切實實可以彌補cisp的不足。
「谷安天下以滿足客戶實際培訓需求為目標,以提供優質培訓服務為宗旨,以定位高階、與時俱進以及案例教學為特色。主要服務於**、金融、電信、移動等重要行業。我們擁有一套完善成熟的資訊保安培訓體系和授課質量服務體系,培訓內容涵蓋資訊保安意識、資訊保安技術、資訊保安理論、以及cisa、cissp、cisp、iso27001la、itil等國際、國內認證」。
我們的講師都是安全界的精英,並得到國家資訊保安測評中心的認可,有著豐富的專案經驗及授課經驗,所以老師可以把實踐中得到的知識傳授給大家,從根本上解決了cisp的不足。
cisp培訓任重道遠,希望大家也勇於提意見,只有這樣才會使我國的安全不斷的提高,應付將來的各種資訊保安變化;只有不斷的修改,不斷的補充,不斷的提公升,才能在未來的的資訊較量中我們利於不敗!
突然想起偉人的一句話:「革命尚未成功,同志仍須努力」。
IT結合的培訓認證
有這三股力量,中國各行各業產業集中化會比歐美快的多完成。產業集中化完成後,是什麼格局呢?1 行業前2或前5或前10,佔據了行業50 甚至70 80 以上的市場份額 2 行業中型企業,要麼被併購為子公司,要麼被擠壓死,要麼被迫轉型為產業上下游配套廠商,已經不能直接同業競爭 3 行業剩餘大量小螞蟻長尾企...
對培訓的看法
最近我們班上的好多人都找到工作了,除了幾個專科班的,其他的應該都差不多找到了,呵呵,是不是覺得我們班特厲害的嘛,你被忽悠了 我們班是個培訓班。不知道為什麼,對培訓突然產生了一種反感,覺得 嗯,真的是太假了。我不知道經過實習後能有多少人會被公司留下來,班上很多人在我看來其實是不太適合做開發的,他們的水...
我對我的思考
時間不經意的就過去了四天了,從窗外看著日出日落,聽著水木年華憂傷的情歌,吃著舍友為我們打回來的飯。啊!大學的生活原來還有這麼美好,生命總是給你出其不意的一頁。可是,總有一些好事者卻喊著 放我們出去 等等的口號,我不明白他 她 們究竟 want to do?這也許就是人與人之間至少是在思想的差異吧!就...