论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 60 篇帖子 ]  前往页数 上一页  1, 2, 3, 4  下一页
作者 内容
 文章标题 : Re: CISSP能做什么?
帖子发表于 : 2012-09-08 09:47 
离线
顶级用户

关注按钮

注册: 2005-06-29 22:32
最近: 2017-06-11 20:54
拥有: 9,387.60 安全币

奖励: 1067 安全币
在线: 5485 点
帖子: 1296
地址: www.youxia.org
以前我在论坛多次说过一个观点:如果CISSP考试是中文,那么含金量不一定比得上CCNA和MCP(注意,我都没说是MCSE)。学的宽有什么用?——能做个领导。

网站别黑了,领导搞的定?
交换机调试,领导搞的定?
Linux下配置服务,领导搞的定?

搞不定。

所以……在考虑cissp之前,先考虑,自己所做的,能不能在小企业里面用?

小企业不需要领导,需要的是能做事情的人。而现在,很多人只会理论了。。。。

如果,cissp到了纯研究理论的地步,和大学课程差距还有多远?——不如大学。

安全很多时候靠管理,但是纯靠管理是不靠谱的。
所以,个人认为cissp现在的炒作价值远远超过了实际价值。


--------本帖迄今已累计获得9安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: CISSP能做什么?
帖子发表于 : 2012-09-08 10:15 
离线
初级用户

注册: 2010-06-18 11:33
最近: 2018-04-11 13:31
拥有: 5,891.00 安全币

奖励: 30 安全币
在线: 7652 点
帖子: 39
好。无语!


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: CISSP能做什么?
帖子发表于 : 2012-09-08 11:24 
离线
高级用户

关注按钮

注册: 2009-10-07 21:28
最近: 2017-12-10 23:07
拥有: 4,360.00 安全币

奖励: 2350 安全币
在线: 6350 点
帖子: 189
地址: 深圳
brightking 写道:
这些问题lz估计是从技术角度分析的哈。
你没有仔细看我写的东西,我的初衷是由技术过渡到管理。
技术说白了还是管理要求的延伸工具之一,无业务管理目标,技术基础还存在么?
没有技术又何来安全管理,说来说去都是二者的结合。
再重申一下,我的想法就是先做技术的沉淀,再上升到管理的高度,如果有“黑客”的能力,做一辈子技术也不是坏事。

可能我有点曲解。 我认为比较正确的做法应该是业务目标-IS目标-产品策略。还是有个先后顺序的,先有需求才会需要技术及产品去落实需求(技术无论业务需求存在与否都是有的)如果没有管理需求,为什么要用产品,为什么要技术?

看看目前企业大部分带点安全管理性质的安全产品都用成什么样子,你就知道是先从技术还是先从管理出发更容易走对路。do right things,do things right是两码事。我没过cissp,也没有倾向谁重要,只是说说看法。


--------本帖迄今已累计获得35安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: CISSP能做什么?
帖子发表于 : 2012-09-08 23:36 
离线
顶级用户

注册: 2010-07-02 16:46
最近: 2014-09-17 22:21
拥有: 7,798.00 安全币

奖励: 131 安全币
在线: 12631 点
帖子: 1386
已经做了十年的网管啦,想去考个cissp,看了第四版,才发现不是那么好考,但是真的是开拓了点视野,以前不太关注物理安全啊,架构什么的,现在也会尝试尽量考虑的全面一点。我以前只关注技术,现在也想慢慢的了解公司的业务了。
没去考试,现在有了小孩,又要喂奶了。我建议没结婚的,没小孩的,赶紧把要考的证书都考了,真的。
以前有几年学习,后来又有几年光去玩了,呵呵


--------本帖迄今已累计获得48安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: CISSP能做什么?
帖子发表于 : 2012-09-10 10:24 
离线
初级用户

注册: 2012-08-28 19:38
最近: 2015-12-05 17:52
拥有: 1,262.00 安全币

奖励: 0 安全币
在线: 1707 点
帖子: 24
在国内做安全很多东西都“变味”了,更多的时候是推销产品。安全产品:如防火墙、IDS、IPS等,本身就是一个动态变化的过程,随着企业网络架构、业务架构等变化,当企业买回来以后才发现没有人会用,或是使用中根本就发挥不出效能,企业里做底层安全的更多的是依靠网管,他们的思路和搞安全的思路还是有差别的。企业里需要真正懂安全的人,但又不愿意花大钱请这样的人,就搞了个定期的审计、评估之类的,能解决真正的问题吗?也许他们要的只是这个过程来粉饰一下自己吧。


--------本帖迄今已累计获得55安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: CISSP能做什么?
帖子发表于 : 2012-09-10 10:34 
离线
版主

注册: 2005-03-17 10:09
最近: 2018-04-11 10:59
拥有: 4,533.20 安全币

奖励: 778 安全币
在线: 14723 点
帖子: 1194
安全好比是个大机器,个人或者组织知识这部巨大机器上的螺丝钉,最好这个螺丝钉该起到的作用就好。让体操队的的世界冠军去跟乒乓球队的世界冠军比赛羽毛球,结果乒乓球队树了,能说乒乓球队冠军是水货?让搞计算机的院士去搞房地产,结果失败了,能说这院士是水货?。呵呵。不过,无论做哪一方面,安心下来,安心做事情,到什么时间都不会错。不过,整个社会大环境就是充斥着浮躁之风,信息安全也很难成为世外桃源。在这大背景下,能够不浮躁,安心做事尤为珍贵。努力总是会有所收获的,慢慢来,慢慢来,安心把事情做好。仔细想想,其实您所言还是有一定道理的,就像博士并非博学之士,更该称之为专学之士,在某一个具体的方面做出了深入研究和了解。如果一开始就想把方方面面都学得精深,来而不拒,到未必能称之为专家,杂家更准确吧。专家还是杂家?这是个问题,专家的优势在于对于某个领域或者某个课题是非常熟悉的得心应手,毕竟人的精力是有限的,什么都能做又都能做好的人是不多见的,成为专家的同时,对于其他领域的认识会有一定局限性。杂家就像是万金油,好像无论哪个领域,哪个课题,哪个像项目都能发挥用处,但是到具体的问题,似乎还是要请专家出马解决。这个好像不只是在信息安全领域,在其他行业也有类似的问题。该怎么办呢?冷暖自知。


--------本帖迄今已累计获得54安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: CISSP能做什么?
帖子发表于 : 2012-09-10 12:03 
离线
高级用户

关注按钮

注册: 2009-10-07 21:28
最近: 2017-12-10 23:07
拥有: 4,360.00 安全币

奖励: 2350 安全币
在线: 6350 点
帖子: 189
地址: 深圳
带脚镣跳舞 写道:
CISSP水货太多了,看到抗黑客的项目,立马就跑了
管理不落地,怪客户执行力不强,X


潜意识中某个认证已经是针对技术或者管理了么?cissp自己内容也没有要大家达到抗黑客的级别。纯抗黑客的项目是自己拿下来的,还是前端人员引导的,还是客户自主的,需求从哪里来,需求的来源理论依据呢?

管理落地甲乙双方都有责任,责任比重大小罢了。现在某些乙方能力严重滞后甲方的情况下,已不是客户执行力问题了。技术有技术的制约条件,落地不了的时候就推给管理了,管理不行就自然是客户执行不够。很自然流畅的逻辑。安全始终是个复杂的系统工程,咱还是都尊重大家,别看不上瞧不起的,paper不只是这个行业有,无论如何心存敬畏的好。


--------本帖迄今已累计获得57安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: CISSP能做什么?
帖子发表于 : 2012-09-10 13:17 
离线
初级用户

注册: 2012-08-28 19:38
最近: 2015-12-05 17:52
拥有: 1,262.00 安全币

奖励: 0 安全币
在线: 1707 点
帖子: 24
CISSP水货太多了,看到抗黑客的项目,立马就跑了
管理不落地,怪客户执行力不强,X

我觉得这哥们还是想反映现在一个现状,做安全的没有几个能静下心来学点东西的。安全需要更多的积累和沉淀,我们应该去掉浮躁。当一个公司被黑客攻击的束手无策的时候,我们能做点什么?这只是打个比方。更谈不上什么瞧不起瞧得起的问题,说白了,还是希望大家都在安全这个行业中有所建树,干的开心吧。


--------本帖迄今已累计获得35安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: CISSP能做什么?
帖子发表于 : 2012-09-11 08:53 
离线
超级用户

注册: 2005-02-01 12:56
最近: 2015-09-16 19:05
拥有: 8,008.80 安全币

奖励: 84 安全币
在线: 6414 点
帖子: 340
地址: Beijing
brightking 写道:
在国内做安全很多东西都“变味”了,更多的时候是推销产品。安全产品:如防火墙、IDS、IPS等,本身就是一个动态变化的过程,随着企业网络架构、业务架构等变化,当企业买回来以后才发现没有人会用,或是使用中根本就发挥不出效能,企业里做底层安全的更多的是依靠网管,他们的思路和搞安全的思路还是有差别的。企业里需要真正懂安全的人,但又不愿意花大钱请这样的人,就搞了个定期的审计、评估之类的,能解决真正的问题吗?也许他们要的只是这个过程来粉饰一下自己吧。


“企业里需要真正懂安全的人”,这事吧,分两说。
什么是真正懂安全的人?能撸胳膊挽袖子撅pp干活儿的?能规划架构的?能制定策略的?这个吧,俺个人感觉俺越来越不懂安全了。12年前被公司发配米国专攻网络安全,算是第一次接触到安全口,9年前参与sox项目开始扑腾,7年前考了cissp,然后在甲方做各种运维设计规划管理扯淡。。。自认为不算是懂安全的,应该算是在甲方IT里明白些安全的。

企业里需要真正懂安全的人吗?什么规模的企业会考虑自己养安全的人?有点像国内的大环境,啥都信不过别人,都得自己来才踏实。一个极端,俺效命的公司,信不过食品安全管理,自己弄了几平方公里的地自己种菜养猪鸭鸡鱼,专供员工食堂。其实是种悲哀吧。

找真正懂安全的人=花大钱,这钱值不值得花呢?业务都半死不活的,要不要再自己给自己致命一击呢?就投入产出比来说,安全是个难办的事,很难量化收益。记得几年前有个弟兄发了个关于动物园袋鼠逃跑的故事,被衍伸出各种版本反映安全市场,现在回头看,还那德行。

上述言论纯属扯闲篇。


--------本帖迄今已累计获得25安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: CISSP能做什么?
帖子发表于 : 2012-09-11 09:07 
离线
顶级用户

注册: 2010-07-02 16:46
最近: 2014-09-17 22:21
拥有: 7,798.00 安全币

奖励: 131 安全币
在线: 12631 点
帖子: 1386
RayWang 写道:
brightking 写道:
在国内做安全很多东西都“变味”了,更多的时候是推销产品。安全产品:如防火墙、IDS、IPS等,本身就是一个动态变化的过程,随着企业网络架构、业务架构等变化,当企业买回来以后才发现没有人会用,或是使用中根本就发挥不出效能,企业里做底层安全的更多的是依靠网管,他们的思路和搞安全的思路还是有差别的。企业里需要真正懂安全的人,但又不愿意花大钱请这样的人,就搞了个定期的审计、评估之类的,能解决真正的问题吗?也许他们要的只是这个过程来粉饰一下自己吧。


“企业里需要真正懂安全的人”,这事吧,分两说。
什么是真正懂安全的人?能撸胳膊挽袖子撅pp干活儿的?能规划架构的?能制定策略的?这个吧,俺个人感觉俺越来越不懂安全了。12年前被公司发配米国专攻网络安全,算是第一次接触到安全口,9年前参与sox项目开始扑腾,7年前考了cissp,然后在甲方做各种运维设计规划管理扯淡。。。自认为不算是懂安全的,应该算是在甲方IT里明白些安全的。

企业里需要真正懂安全的人吗?什么规模的企业会考虑自己养安全的人?有点像国内的大环境,啥都信不过别人,都得自己来才踏实。一个极端,俺效命的公司,信不过食品安全管理,自己弄了几平方公里的地自己种菜养猪鸭鸡鱼,专供员工食堂。其实是种悲哀吧。

找真正懂安全的人=花大钱,这钱值不值得花呢?业务都半死不活的,要不要再自己给自己致命一击呢?就投入产出比来说,安全是个难办的事,很难量化收益。记得几年前有个弟兄发了个关于动物园袋鼠逃跑的故事,被衍伸出各种版本反映安全市场,现在回头看,还那德行。

上述言论纯属扯闲篇。


Ray老师早晨!


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: CISSP能做什么?
帖子发表于 : 2012-09-11 09:15 
离线
中级用户

关注按钮

注册: 2011-12-24 14:36
最近: 2014-04-26 17:45
拥有: 1,030.00 安全币

奖励: 8 安全币
在线: 2903 点
帖子: 112
RayWang 写道:
brightking 写道:
在国内做安全很多东西都“变味”了,更多的时候是推销产品。安全产品:如防火墙、IDS、IPS等,本身就是一个动态变化的过程,随着企业网络架构、业务架构等变化,当企业买回来以后才发现没有人会用,或是使用中根本就发挥不出效能,企业里做底层安全的更多的是依靠网管,他们的思路和搞安全的思路还是有差别的。企业里需要真正懂安全的人,但又不愿意花大钱请这样的人,就搞了个定期的审计、评估之类的,能解决真正的问题吗?也许他们要的只是这个过程来粉饰一下自己吧。


“企业里需要真正懂安全的人”,这事吧,分两说。
什么是真正懂安全的人?能撸胳膊挽袖子撅pp干活儿的?能规划架构的?能制定策略的?这个吧,俺个人感觉俺越来越不懂安全了。12年前被公司发配米国专攻网络安全,算是第一次接触到安全口,9年前参与sox项目开始扑腾,7年前考了cissp,然后在甲方做各种运维设计规划管理扯淡。。。自认为不算是懂安全的,应该算是在甲方IT里明白些安全的。

企业里需要真正懂安全的人吗?什么规模的企业会考虑自己养安全的人?有点像国内的大环境,啥都信不过别人,都得自己来才踏实。一个极端,俺效命的公司,信不过食品安全管理,自己弄了几平方公里的地自己种菜养猪鸭鸡鱼,专供员工食堂。其实是种悲哀吧。

找真正懂安全的人=花大钱,这钱值不值得花呢?业务都半死不活的,要不要再自己给自己致命一击呢?就投入产出比来说,安全是个难办的事,很难量化收益。记得几年前有个弟兄发了个关于动物园袋鼠逃跑的故事,被衍伸出各种版本反映安全市场,现在回头看,还那德行。

上述言论纯属扯闲篇。

哈哈,自己种菜,好公司啊!


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: CISSP能做什么?
帖子发表于 : 2012-09-11 09:22 
离线
超级用户

注册: 2008-04-16 22:45
最近: 2014-11-11 19:10
拥有: 8,439.00 安全币

奖励: 2533 安全币
在线: 8567 点
帖子: 504
地址: ISMS群210674629
关于这个问题,我在坛子里早就说过啦,5个CISSP里面,你能找到一个配得起这个TITLE的,就不错啦。
同理,MCSE,CCIE,哪怕CCNA都是。
所以,大家报平常心吧。

谁说读过大学的就一定有文化啦?蛋定!


--------本帖迄今已累计获得62安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: CISSP能做什么?
帖子发表于 : 2012-09-11 09:55 
离线
高级用户

注册: 2004-08-07 11:53
最近: 2014-09-26 10:19
拥有: 1,665.60 安全币

奖励: 7 安全币
在线: 4869 点
帖子: 203
有些问题主要还是大环境造成的;
现在国内考CISSP的人呈年轻化,甚至大学化了,这无疑已经曲解了CISSP的初衷。还记得CISSP的要求吗,本科毕业4年?但是在国内,一切皆有可能。
LZ说的是实情,很多人基础的技术都不行,却指望着考个CISSP去忽悠人;但是说CISSP不如CCNP,MCP的话,这主要取决于
考证的人,难道不知道CCNP,甚至CCIE都有这么多PAPER?有个同事,连在网络中找IP与交换机端口对应的关系都不会,却整天报着CCIE的书在看,据说下个月要去考了。这样的CCIE,即使能考出来,你觉得会比CISSP强吗?
所以我仍然是一个观点,CISSP有他实际价值所在,但是被浮躁的中国搞得有点过了。如果只是冲着证书去看CISSP,无疑有点过高了;
但是CISSP的知识体系,安全视野仍然是非常值得学习的。


--------本帖迄今已累计获得48安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: CISSP能做什么?
帖子发表于 : 2012-09-11 13:38 
离线
高级用户

注册: 2009-08-06 11:42
最近: 2018-03-08 15:30
拥有: 3,790.00 安全币

奖励: 32 安全币
在线: 3912 点
帖子: 227
个人认为去考CISSP还是有好处的,主要体现两点:
1、通过系统学习课程,对安全体系有个较为全面的认识,是对自己之前知识和技能的总结和完善;
2、去考证的人,本来也是比较有上进心的,除了那些为了升职、加薪等动机过于明显的。

因此,就考证本身而言,并没啥坏处。关键是是否通过考证学到东西?是否考过后对得起证书的头衔?
呵呵,愚见!如果大家有钱、有时间的话,还是鼓励去考点感兴趣的证书吧!!!


--------本帖迄今已累计获得41安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: CISSP能做什么?
帖子发表于 : 2012-09-11 13:39 
离线
顶级用户

注册: 2008-05-24 12:30
最近: 2018-01-23 14:10
拥有: 17,898.90 安全币

奖励: 15343 安全币
在线: 22262 点
帖子: 943
rogerlau 写道:
有些问题主要还是大环境造成的;
现在国内考CISSP的人呈年轻化,甚至大学化了,这无疑已经曲解了CISSP的初衷。还记得CISSP的要求吗,本科毕业4年?但是在国内,一切皆有可能。
LZ说的是实情,很多人基础的技术都不行,却指望着考个CISSP去忽悠人;但是说CISSP不如CCNP,MCP的话,这主要取决于
考证的人,难道不知道CCNP,甚至CCIE都有这么多PAPER?有个同事,连在网络中找IP与交换机端口对应的关系都不会,却整天报着CCIE的书在看,据说下个月要去考了。这样的CCIE,即使能考出来,你觉得会比CISSP强吗?
所以我仍然是一个观点,CISSP有他实际价值所在,但是被浮躁的中国搞得有点过了。如果只是冲着证书去看CISSP,无疑有点过高了;
但是CISSP的知识体系,安全视野仍然是非常值得学习的。


楼上的说的很理性和客观,首先国外的机构开发这个认证本身是为了让具有一定工作年限、在某个或某几个技术方面有所擅长的人,为了拓宽安全视野、开拓思路的。适合于向管理层转变、或是为了更好理解管理层的思路,或是从事顾问相关的从业人员(本身顾问就应该知道的比较宽,某些方面擅长即可)。否则的话也不会在国外有比较高的认可度了。

只是认证在国内变了味而已,和以前的MCSE、CCNA没什么区别。但是我们不能因噎废食,这个认证还是有自己的价值所在,可以帮助人合理的构建自己的安全体系、知识,加强理解和实际中安全的“落地‘。说这本书可以培养”将才“可能有些过,但是至少可以将只懂得深入技术的人对安全的理解提高一个层次。
但是技术也很重要,而且我个人认为安全涵盖的面很大,而且”防“远比”攻“要难得多。所以奉劝很多年轻人,不是只会使用漏洞、发现漏洞才是技术牛人(这里没有对漏洞发掘、利用人的任何轻视,我当年也想从事渗透测试的工作来着,只是苦于没有合适的机会和自身当时的条件所限),能把日常的网络合理建设规划好、能对帐户和权限管理进行恰当地控制,能应用好各种安全技术(如加密技术)和安全设备,其实都是能人。

信息安全是一项艰巨的、长期的系统工程,我们不仅需要研究系统有什么漏洞、怎么提权限,更要掌握如何解决这些漏洞,从何从根本上根除问题,只有这样我们的系统才会越来越安全。


--------本帖迄今已累计获得47安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 60 篇帖子 ]  前往页数 上一页  1, 2, 3, 4  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012