文章目录
前言
为了应对不断变化的安全挑战,信息安全领域也在不断进化。最新的技术和方法包括区块链安全、物联网安全、虚拟化安全、人工智能安全等,但从业者如何做到与时俱进?从业者怎样才能将信息安全领域也与数据科学、计算机科学等相关领域交叉融合,使得信息安全能力可以更好地应对未来的挑战?培养高端信息安全人才是核心解决办法,而快速培养高端信息安全人才的手段则是鼓励从业者考取高含金量的认证。
国际上在信息安全领域最权威的认证是CISSP,在业内始终具有较高的影响力。CISSP证书的含金量是毋庸置疑的,在信安领域许多小伙伴们也早就对他跃跃欲试,但是CISSP同样有着较高的考试难度,所以也会导致一些人望而却步。知己知彼,百战不殆!今天我就由浅入深的给大家系统性介绍一下CISSP的各个方面,希望能对大家有所帮助!
【CISSP证书介绍】
CISSP认证即国际信息系统安全专家,CISSP旨在确保信息安全管理者拥有可靠地构建及管理组织的安全态势所须要的全面知识、技能与经验。CISSP是信息安全界的“百科全书”,被誉为信息安全领域的“金牌标准”。它几乎涵盖了信息安全工作中需要注意的所有方面,是在全球范围内受到普遍认可的、信息安全从业人员最高水平专业资质认证!
CISSP认证直接反应了持证者具备有效涉及、构建及管理组织整体安全态势所需的资深信息安全技术、管理知识、技能与经验。可以认为CISSP持证者是可信赖度高的信息安全专家或顾问。并且CISSP认证还能为持证者提高工作安全性以及创造新的发展机遇。
总之,CISSP认证绝不仅是一张信息安全能力证明的证书,它会给持证者带来前所未有的行业发展优势。
【CISSP发证机构】
(ISC)² 是CISSP认证的组织与管理者。(ISC)² (读作ISC-squared)成立于1989年,(ISC)²总部位于美国,分别在伦敦、香港、东京及北京设有分部,是致力于为信息和软件安全专业从业者整个职业生涯提供教育及认证服务的全球性非营利组织。(ISC)²推出的认证被认为是信息安全的"金牌标准",(ISC)² 的顶尖教育规划享誉全球。
目前,(ISC)² 已经为超过160个国家的信息和软件安全从业人员提供厂商中立的教育产品、职业服务和金牌认证。(ISC)²注重建立在信任、诚信、专业基础之上的良好声誉,在全球范围内拥有超过10万名业界认证会员组成的信息安全精英人脉网络。(ISC)² 在世界范围内的信息安全领域久负盛名。
【CISSP适用对象】
越来越多的企业要求员工拥有CISSP认证,CISSP持证人才是信息安全领域追捧的对象。据(ISC)2公开数据显示,目前国内CISSP持证人才依然非常稀缺,仅有不到5000位,如果您想从事信安高级岗位,持有一本CISSP证书是非常有必要的。
具体适合的岗位有:金融业务系统、商务系统、政府部门信息系统等、相关企业及电信、金融、大型制造业、服务业等行业、企业信息安全负责人员、企业信息安全技术人员、管理人员、企业IT运维人员(网络、系统、机房等)、企业IT及信息安全审计人员、以及其他信息安全从业人员等。
【CISSP证书特点】
知识面广: CISSP的知识体系囊括了整个网络安全领域的基本要素:安全和风险管理、通信和网络安全、安全测试和运营等等。能够确保取得认证的专业人士全面深入的掌握信息安全知识体系,更重要的是,能够轻车熟路的运用日常工作的信息安全环境与整个组织的生态系统相互作用的方法。
认可度高: CISSP认证本身经过多年发展和研究是其高价值的一方面体现。CISSP是第一个满足ANSI/ISO/IEC 17024标准严格要求的信息安全认证。同时它也符合美国国防部(DoD) 8570 IAM II/III级,IAT III级和IASAE I/II级要求。同时CISSP也是CISSP-ISSAP和CISSP-ISSEP两项专项加强认证的基础,而这两项加强认证是唯二获得DoD 8570 IASAE III级认可的认证。
企业青睐: 获取CISSP认证具有一定的难度,同时也使得CISSP的含金量毋庸置疑。获得CISSP认证的从业者无疑都是行业知识过硬学习能力超群的人才。持有证书足以证明持证人员是业界行家,可以轻易胜任企业或组织的网络安全工作。
根据《2017年网络安全趋势聚焦报告》的数据调查显示,CISSP是各大信息安全招聘企业心目中最具价值的认证。
【CISSP认证价值 】
CISSP对个人的价值:
1.在信息安全领域的专业应用能力和知识储备的有力证明
2.在同行中脱颖而出,提高在全球人力市场上的声誉和竞争力
3.享受(ISC)2会员专属权益,扩大业内精英人士的人际网络
4.据全球信息安全能力研究表明,信息安全认证从业人员的薪水比非认证从业人员平均高出35%。
5.满足政府和企业对于信息安全认证的要求
CISSP认证对企业的价值:
1.CISSP(ISC)2证书在世界受到广泛认可,在全球市场上提升企业的整体竞争力
2.提高企业的可信度,使得项目竞标更顺利
3.使员工掌握一种通用语言,避免对业界公认的条款和行为准则产生歧义
4.持证员工必须持续进修,获得足够持续专业教育(CPE)学分,以确保技术能力保持更新
5.帮助企业遵守政府规定或行业规范
6.满足客户对企业资格认证的要求
对CISSP证书的介绍到这里差不多结束了,接下来就是小伙伴们最感兴趣的CISSP学习与考试流程介绍。
【CISSP报考条件】
考生必须在 CISSP 公共知识体系 (CBK) 八大知识领域中的两个或以上领域拥有工作经验。
学历或工作经验具体条件如下:
本科以下,5年经验
本科(含同等学历)及以上,4 年经验
如未拥有足够工作经验,也可以参加考试,通过考试后,继续积累足够的工作经验方可申请证书。
【CISSP知识大纲】
CISSP考试内容主要为CBK信息安全八大领域,考试所占比例如下图:
CISSP知识大纲:
【CISSP学习取证】
众所周知,CISSP证书拥有较高含金量,当然考取难度也不容小觑。借助专业的培训学习未尝不是一个好办法,当然还要找师资力量雄厚、培训经验丰富的机构。哈哈,这里自荐“中培IT学院”,有17年专注IT认证与培训服务的资历,提供考试报名、培训学习、督学促学、考试指导等一站式服务,可以令学员事半功倍,顺利通过CISSP考试。
【CISSP知识要点】
以下内容在课程学习中,培训机构将作为重点来帮助大家掌握:
1.信息安全保障:理解信息安全保障的框架、基本原理和实践,掌握注册信息安全专业的基础知识。
2.信息安全技术:掌握密码技术、访问控制、审计监控等安全技术机制,网络、操作系统、数据库和应用软件等方面的基本安全原理和实践,以及信息安全攻防和软件安全开发相关的技术知识。
3.信息安全管理:理解信息安全管理体系的建设、信息安全的风险管理、安全管理措施等相关的管理知识。
4.信息安全工程:理解信息安全相关的工程的基本理论和实践方法。
5.信息安全标准法规:掌握信息安全相关的标准、法律法规、政策和道德规范等通用基础知识。
【CISSP考试报名】
考生可自行登录官网预约(也可委托培训机构代报名),注意确认自己的考试场地和时间信息后再缴纳考试费;
个人缴费需要前准备好国际信用卡(不支持支付宝、微信以及国内银行卡支付方式),也可报名培训机构,机构会负责代缴费。
【CISSP考试详情】
CISSP为线下机考,考试结束后当场出成绩,考试时长为6个小时,总计250道选择题(其中225道题计分,25道调查题),总分1000分,700分及以上视为通过。
在中国大陆地区,(ISC)认证考试均通过PearsonVUE授权本地考试中心进行。目前开放城市有:北京、沈阳、广州、上海、郑州、西安、济南等地。
【CISSP证书发放】
在考试通过后9个月内在(ISC)²官网上即可背书申请认证,培训机构会替学员完成繁琐的手续,认证通过后需缴纳125美金第一年维持费用,即可下载电子证书,纸质证书需要等待2个月左右的时间邮寄。
【CISSP证书维持】
CISSP证书持有者需要在3年内获得120个继续专业教育(CPE)积分,同时每年交纳125美金证书维持费,便可维持CISSP资质。培训机构也可以替学员处理这些事务。
近年来,CISSP的热度一直居高不下,正是因为它为持证者带来的丰厚效益。通过CISSP这个窗口,从业者可以了解信息安全的国际最新进展,健全信息安全知识,提高信息安全技能。目前全国CISSP的持证人数也仅有不到五千人,从业者一旦成功获取CISSP证书必将成为企业竞相追捧的高端人才。
好的机遇搭配上好的跳板,稍稍一努力,相信每个奋斗中的小伙伴都能实现目标!
学习计划安排
学习路线图大纲总览
我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~
这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴文末免费领取哦,无偿分享!!!
【一一帮助网络安全学习,以下所有资源免费领取一一】
①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析
接下来我将给各位同学划分一张学习计划表!
学习计划
那么问题又来了,作为萌新小白,我应该先学什么,再学什么?
既然你都问的这么直白了,我就告诉你,零基础应该从什么开始学起:
阶段一:初级网络安全工程师
接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。
综合薪资区间6k~15k
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(1周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(1周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(1周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
那么,到此为止,已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗?
阶段二:中级or高级网络安全工程师(看自己能力)
综合薪资区间15k~30k
7、脚本编程学习(4周)
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。
零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习
搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完
用Python编写漏洞的exp,然后写一个简单的网络爬虫
PHP基本语法学习并书写一个简单的博客系统
熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选)
了解Bootstrap的布局或者CSS。
阶段三:顶级网络安全工程师
这部分内容对于咱们零基础的同学来说还太过遥远了,由于篇幅问题就不展开细说了,我给大家贴一个学习路线。感兴趣的童鞋可以自行研究一下哦,当然你也可以点击这里加我与我一起互相探讨、交流、咨询哦。
学习资料分享
当然,只给予计划不给予学习资料的行为无异于耍流氓,这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包,可点击下方二维码链接领取哦。
资料领取
上述这份完整版的网络安全学习资料已经上传CSDN官方,朋友们如果需要可以微信扫描下方CSDN官方认证二维码 即可领取↓↓↓
或者
【点此链接】领取
1040
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
