【51CTO.com 综合消息】CISSP是（Certification for Information System Security Professional信息系统安全认证专家）的缩写。获得CISSP证书就意味着证书持有者具备了符合国际标准要求的信息安全知识和经验能力。CISSP认证目前已经得到了全世界的广泛认可。

近年来，参加CISSP培训的人越来越多，无论是安全业界的从业人士，还是各公司的安全工作者，都在追逐着这样一种荣誉。参加培训的学员来自各行各业，也正表明，安全正在得到众多行业越来越多的重视。

其实，CISSP的魅力不仅在于最终得到的那张证明自己能力和在业界席位的烫金证书，更在于学习CISSP的过程中，所获得的对于安全知识系统的学习与了解，和能够提升的理论广度和安全视界。

在CISSP培训过程中，学员们的往往困惑于CISSP知识点的庞大和内容的零散。如何攻克这些困难呢？

这可以从我们的培训过程说起，培训的第一点当然是知识讲解，在给学员讲解知识的过程中，获取学员的反馈信息。依据这些反馈，调整我们的授课速度和讲解重点。并在之后的授课中，告诉学员遇到问题时，从哪个角度入手，如何解决问题。老子说“授人与鱼不如授人与渔”，而在我们的培训中，我们遵循的却是“授人与鱼重要，授人与渔亦重要”。

在我的培训中宣扬一点，就是“your imagination, your success”。

如何才能记住CISSP凌杂的知识？用“想象”把知识点串起来，再不断的扩大外延。

举个例子来说吧，物理环境安全知识域。物理环境安全是“想象”方法运用中，最如鱼得水的一个域。想象一个建筑从无到有，而你据它由远而近，最终进入建筑。

在这个过程中，建筑从无到有，需要建设。建设的过程首先需要为建筑进行选址，选址应该考虑可见性、周边区域、交通条件和自然灾害等因素。选址之后要进行建筑物的选材，选材需要考虑的因素有燃烧性、耐火性和承重能力等，即考虑是否选用高耐火性的建筑材料，是否铺设阻燃地板和墙壁，地板应设计多少的承重能力等等。

现在默认建筑建成了，远处看，柱子可以抵抗一定的非法侵入；走近些，可以看到建筑的栅栏有3米高，思索下，这么高的栅栏可以抵抗那些试图翻越的入侵者；抬头看下，照明灯的部署是否已经符合安全要求。进门，会发现man-trap的存在，想下，这样可以防止尾随的人，周围看下，是否有监控措施。再进入，可以看看电源措施，有没有UPS，哪类UPS，去机房看是否有机房专用空调，温湿度是多少，是否有防火措施，用的哪类灭火器，哪类喷水装置等等。

想象这个过程后，来扩大下外延。比如，进门时，想象都有哪些锁的措施，有哪些门卡类型；看电源措施时，能否想出电压波动的种类，还有噪声种类等。

再比如，业务连续性和灾难恢复计划中。如果把BCP/DRP看作一个实体，远看他们有什么区别，近看他们都有哪些元素，这样就能将业务连续性的四大要素融入其中。再仔细分析下这个实体，它有几种，什么情况下使用哪种。然后考虑如何制作这个实体，即该怎么建立一个灾难恢复计划。

然后可以扩大外延，比如制订好灾难恢复计划后，有哪些方法可以测试它；备份数据的时候，能够应用多少备份措施等等。
通过如上这些，笼统的说了下物理环境安全、业务连续性和灾难恢复计划的学习，其实各个域的内容都是相通的。想象加外延可以用于每个域的学习中，使所有的知识点就串起来，这样学习起来就不会觉得那么难以掌握，难以记忆了。

准备攻克和正在攻克CISSP的朋友们，可以试一下想象加外延的方式。正如我前文所说，CISSP的魅力更在于它能够帮你系统的梳理信息安全的知识，因此现在该用你的想象把所有知识串起来。

那就把思想插上翅膀，去飞吧！

【编辑推荐】

1. CISSP安全认证考试流程与再认证问题(1)
2. CISSP安全认证分析与就业职位展望
3. CISSP:助你成为信息安全的中坚力量