接上《(ISC)2 CISSP安全认证考试大起底（上）》

CISSP认证考试和安全模型

经常被误解的CISSP考试的一个方面是其中包含看似过时或老旧的话题。虽然CISSP考试并不完美，但很多这些课题涵盖进来是因为它们提供了对构成基本知识库的关键概念的难以置信的深度。

例如，很多考生抱怨要学习安全模型（即Bell-LaPadula、Biba、Lattice等），他们称在其职业生涯中绝不会碰到这些。但这些模型被用于在架构水平开发安全系统和软件，因此，这对于在这些专业领域工作的人来说很重要。更重要的是，世界各地的大学信息安全研究所课程都在教授这些模型，因为它们提供了对系统应该如何从安全的角度来设计的基本知识。如果我们行业的更多人真正了解了这些模型的基础知识，并知道如何应用它们，每个行业都将享有更安全的软件部署。

设计软件和数字系统很困难。而在系统架构的核心嵌入安全性，然后在构建系统前在整个系统嵌入安全性则更加困难。这就是为什么很多系统存在漏洞，而且无法通过补丁来容易地修复的原因。补丁无法修复深植的设计缺陷。这些模型被创建来帮助人们从头开始设计系统安全性。我们的行业一直使用这样的口头禅“安全应该内建，而不是外加”，但构建安全性需要有人能够理解这些模型。我们有这么多不安全系统以及很多人忽视安全模型的事实构成非常有趣（和破坏性）的反比关系。

这些安全模型非常复杂，而且如果没有实际工作的话，人们很难理解它们。很多这些模型可以在数学上得到证明，这意味着基于它们构建的系统比基于传统“最佳做法”构建的系统有着更高的信誉保障。

如果这些模型没有用，那么高层政府系统不会以它们为基础。它们还被用来推导产品的评价标准，这又被用来测试企业每年采购的不同安全产品的保证级别。通用标准使用基于这些某型的评估测试，这意味着它们并没有过时，且很值得我们学习。

虽然你可能永远不需要以直接的方式部署正式的Bell-LaPadula模型，但如果你了解为什么它存在以及它如何在软件或系统的设计内整合安全性提供蓝图，你就会看到这个模型在真实世界的足迹或者缺乏它的证据。如果你只是记住该模型的考试知识，你将无法从了解在编写代码前如何设计安全系统中获益，如果你不“学会它”，你就不能“利用它”。

针对CISSP考试的教学和学习

所有考生都需要具有基础知识；否则他们将无法完全了解这些看似不同的课题之间的相互关系，不会对新学到的内容提供有用的参考。CISSP考试的概念没有正确得到教导或学习的一个原因在于，太多导师和课程都依赖于传统培训模式。对于这个考试，培训通常很密集、专注和技术为导向。培训并不总是能够让考生消化深度的复杂的理论课题，毕竟这些课题通常出现在大学研究生课程中。CISSP培训课程和考试准备材料试图将很多复杂的材料转变成容易消化的内容，而让很多学生错过了真正的含义。

在准备CISSP考试时，不要将通过测试作为最终目标。最终的目标应该是掌握你可以在现实世界中使用的深度的有用的知识。对于以此作为目的的人来说，通过考试是一件轻而易举的事情。如果你不花时间来真正学习考试的课题，这些课题会显得很混乱，以及浪费你的时间。人们对于CISSP考试的常见评论让我真正了解到他们真正所知道的与他们认为他们所知道的之间的对比。

在继续SearchSecurity的CISSP Essential Security School之前，请花时间来完成下个页面的自我评估以了解你还需要学习多少知识才能获得该证书，并最终在该领域建立职业生涯。这些问题来自于McGraw-Hill出版的Shon Harris的CISSP All-In-One学习指导书第7版，这个新版本要到2014年10月出版，届时你将可以获取其他任何地方都无法提供的新的材料。