CISSP 基礎班 Day 1

結果不能直接考證照,那我是去上心酸的嗎?

由於敝公司有規定員工在一年中必須受訓 6 天,最近剛好看到敝公司的訓練所有開設 CISSP 基礎班,突然想起自己在資訊安全的領域可說是相當陌生,加上之前在蔡依林學長那裡看到他也上過這門課,而且似乎蠻有用的,所以就報名參加了今天起連續三天的 CISSP 基礎班。

這門課是由敝公司已經考有 CISSP 證照的前輩(咦?蔡依林學長不是也考過了?怎麼沒來教 :P)來教授,Day 1 的課程主要是在介紹「什麼是 CISSP」、「Security Management Practice」及「Cryptology」。CISSP 是由 (ICS)2 這個非營利組織推動的資訊系統安全認證,由於考題時常翻新,而且對於已經考過認證的人也有定期的稽核及進修要求,所以這個證照還算是很具專業價值的,其實同類型的認證有個簡單版的 SSCP,不過因為 SSCP 比較偏向實務技術方面,而且 CISSP 是最高級,所以大家都會直接報考 CISSP 而 SSCP 則沒什麼人去考。但是講師說從今年 10 月以後,CISSP 的應考資格又提高了,需要資訊安全相關工作經驗五年以上(大學學歷可以抵一年),此話一出,真是讓我這個社會新鮮人整個 » 囧rz 不過 (ICS)2 為了賺報名費用,它還是允許你可以先考,但考過了先不給你證照,只給你一個 Association(準會員),等到工作經歷達到要求以及一位 CISSP 的背書就可以取得證照了。

至於「Security Management Practice」大多是講述資訊安全的重要性、資訊安全的分類、損害評估及應變原則,教材只有條列一些大綱,但是講師卻不斷提醒想要考證照的人,考試題目多半是情境考題,也就是給你一個企業的環境,然後要你為這樣的環境提出系統安全的解決方案(不過題目都是選擇題),感覺這個部份就是不斷強調 C (Confidential), I (Integrity), A (Availability)。

剩下的「Cryptology」,因為以前多少有修一點密碼學的課,所以還可以瞭解一些加密的演算法、加密原則等等,講師也就順著教材,先講了一點加密的歷史,從古希臘人講到二戰末期,然後再把一些加密標準、目前被廣泛使用的加密、驗證系統作了概括性的介紹,最後再講一點點 Cryptanalysis 的東西,大概是太邪惡(其實是時間不夠)了所以沒有教我們太多 😛

感覺是蠻實用的課,其實應該整個公司的員工都該來聽聽這類的課程呀!至少懂得網路是個可怕的地方,而且永遠不要以為自己很懂系統安全就放心地作一些事...

  • 不知道你們這班的成員組成如何 ?
    我那時候去的時候以四五十歲的中年人居多,基礎的 cryptography 都不太通了,還講到 cryptanalysis 的話,可能會有人隔天就不來了吧 XD

  • 今年感覺都是公司中二三十歲的員工居多,而且今天第二天了,人沒有變少的感覺 XD

  • 最近在windows下implement一些HDCP的東西,
    也是要用到大量的Crypt API.
    只好自己惡補Cryptology…