新聞

CISSP將面臨危機?

2009 / 09 / 10
SEAN WALBERG  翻譯 ■ 林佳明
CISSP將面臨危機?
有些學校開始提供資訊系統安全認證專家(CISSP)認證,做為他們大學畢業學分的一部份,這個高價值的認證可能會開始類似微軟認證系統工程師(MCSE)證書一樣,失去它的光彩。

  今年秋季, 美國皮爾斯學院(Peirce College)將會加入佛羅里達州聖彼德堡學院( Florida''s St. Petersburg College)的行列,成為第二家提供與CISSP(Certified Information Systems Security Professional)證書和SSCP(Systems Security Certified Practitioner)證書有關課程的學校。結合大學內其他的課程,學生不只可以取得準學士或者學士學位,也可以通過國際資訊系統安全認證協會(ISC)2的考試。由於這兩項認證對於工作經驗上的要求,這些考試通過者直到工作資格符合要求之前並不會馬上取得CISSP或者SSCP資格。這樣的運作方式並不會只發生在這兩個學校而已,(ISC)2希望能夠和100家學校簽約提供這些課程。

  CISSP是設計給擔任安全管理職務的人,這些安全管理人員利用他們的經驗來評估和降低安全風險。儘管CISSP考試本身要求回答從連續性的企業活動到電信等各種具體的問題,CISSP考試的精神和目的還是以經驗為基礎的。可以肯定的說,教會某個人如何執行Diffie-Hellman加密金鑰交換是可能的,但是該應用的實作卻是一種經驗的累積。

  值得讚許的是學校已經越來越了解必須教導學生關於資訊安全的知識,不過我們也不用假裝這項學校和認證機構的結合會對現有和未來CISSP的持有者有任何的幫助。一般大學提供SSCP課程並不會讓我覺得擔憂,因為這項認證本來就是針對初級資訊安全專業人員而設計的。然而,對大學生提供CISSP課程就貶低了這項為擁有數十年經驗專家而設計的認證。

  也許在大學開始授課的這段時間,已經有受過特殊指導而在資安領域缺乏經驗的人通過這個認證考試。加上工作經驗是可以被「美化」的敘述,所以很有可能一個才年紀22歲的小夥子,就可以取得和已經在資安產業流血流汗多年工程師一樣的認證。同樣的,這對最近畢業的大學生也許也是一種長期的傷害,因為這些學生在還不了解自己是否對資安這條道路真正感到有興趣的狀況下,他們所具備的學位和特殊認證組合會將他們未來的生活之路窄化。

  由於認證所涵蓋的觀念非常廣泛,而教科書對初入資安產業的新人幫助卻相當有限;千萬不要忘記安全人員的經驗是非常重要的。

  雇主可能不知道,這些考生在滿足認證所要求的經驗之前,是無法成為一位稱職的CISSP專家。這樣人員缺乏經驗卻可以帶著CISSP認證進入資安產業的狀況,讓我想起了MCSE(Microsoft Certified Systems Engineer)認證的情形。不久前,MCSE代表著一個具有經驗和知識的微軟視窗專家,不過由於可在數週內讓你擁有MCSE證書的認證製造工廠數量的增加,導致MCSE已經差不多變成入門階級的認證。關於MCSE考試的相關問題、解答都可透過網際網路便宜的購得,使得這個認證有了別名「Must Consult Someone Experienced(只需要向有經驗的人諮商) 」。

  然而,對於已經擁有認證的人來說,這項措施還是有一些光明面的好處-結合您的經驗和認證可以用來抵扣學分。一個擁有CISSP認證的安全從業人員大約可以縮短一年的時間來取得大學學位。

  我還是讚許(ISC)2將認證教材納入學校教育,但是我建議這些教材必須是在和實際工作結合的計畫或者實機操作學習的課程中使用。鼓勵沒有經驗的個人來取得這個高階的安全認證無疑是在傷害這個產業。在現在一個公司雇用了CISSP或者SSCP,公司會清楚的明白這個人員會帶著什麼樣的知識以及經驗而來。讓這種確定性下降對所有人來說都將是一種損失。

一照在手 誰與爭鋒!? 張富吉       

               專長:UNIX,TCP/IP,資訊安全,資安生涯12年
                 現任於Seednet數位聯合電信資深經理

  
專業證照雖是現今許多公司求才時的考量重點,但我們不應將獲得證照視為最後的目標,而應將證照視為起點與最基本的入門門檻才對。證照僅代表進入這個行業的基本資格,接著我們更應將證照視為指引我們提升能力的方向。所有應考材料內都有推薦許多更為深入的資料給應考者繼續閱讀,這就是在指引未來繼續培養能力時應該走的道路。

  但是如何才能稱為「提升能力」呢?切記一點,每人每天只有24小時,千萬別把時間全部花在各式各樣的有趣軟體工具。沒錯,「有趣」是推動自我前進很大的動力,「有趣」才會讓人心甘情願甚而廢寢忘食孜孜不倦地鑽研。但是玩具玩得再精妙也只能算是「玩家」等級,優秀的資安人應該要更上一層樓,繼續進展到專家甚至設計家的層級。

  「專家」與玩家最大的差異在於前者「知其所以然」,也就是了解各項工具背後的運作原理。專家級的資安人不只是會操控玩具而已,更了解玩具仰賴的原理,從而了解玩具的極限,以及何時不該信任玩具呈現的結果。

  許多人之所以停留在玩家階段,還有另一個主要因素,就是沒有耐心看完文件,往往一拿到玩具就非得立刻上手把玩不可。其實這時候最應該要做的,是好好閱讀相關的文件。許多時候玩家和專家的差別不在於誰比較聰明, 而在於誰知道的比較多。建議讀者應把九分的時間花在動腦(看文件思索原理),至於動手 (玩玩具) 只要留一分就綽綽有餘了。

  倚天屠龍記中的張無忌初遇波斯明教時,對於使聖火令奇特招式的風雲三使幾無招架之力,但等小昭翻譯聖火令上的波斯文後,張無忌憑藉九陽神功與乾坤大挪移的高深內力修為,馬上就了解這堆「應左則前,須右乃後,三虛七實,無中生有」的怪異招式,並發揮更強威力,大敗風雲三使與十二寶樹王。這場武功較量實像極了玩家、專家的差異。鑽研內功與原理知識的專家或許如張無忌般初期小負,但只要知道招式與工具之後,片刻旋即發揮出更大的威力穩佔上風。建議讀者應將大部分的時間與心力花在閱讀文件、了解原理以及鍛鍊寫程式等基本內功上,雖然要花比較長的時間才能有小成,但只要基本功練得好,任何工具軟體都只是外顯的招式,屆時信手拈來都能輕易超越玩家級的程度。