经验分享 | 通往CISSP成功之路

十年之前，走出象牙塔还是葱葱少年。十年之后，面对体重秤上的数字俨然已成油腻中年男。十年之间，自己以从事信息安全测评为主，做过等保、做过风险评估、做过渗透测试、做过应急响应，同时为用户建立信息安全体系，从技术及管理为用户解决自身的痛点。十年间，见证了网络安全在国内的崛起与快速发展。面对过往，拿下CISSP也许是对自己从业十年最好的总结。

一、为何选择CISSP

人生需要总结，知识需要形成体系，需要做到知其然，知其所以然。近几年，参加了高级等保测评师、CISAW、CISP等信息安全相关培训，对各个认证的认证过程及知识体系有了较多的了解。比较而言，CISSP的知识体系相对更完整，更全面，而且经过了更多的检验，在教材的编写上也更深入和广泛的揭示不同的主题。通过备考，我也确实体会到通过对不同主题的学习与思考收益良多，做到了不只只是拿下一份证书。

二、关于考试

（1）考试过程

考虑到备考时间大概需要三个月，9月初我选择了12月26号在徐汇腾飞广场的考点进行考试。报名费当时是599美元，现在是699美元了。支付的时候一定要有一张visa的信用卡。腾飞广场的考场很简单，但管理很严格。外间是审核的地方，里间是考试的地方，每人一个隔间，非常静音。考试认证的时候需要那两种身份证明，我拿的身份证和一张签名的VISA卡，而且需要录掌纹，用掌纹识别身份。进入里间考场是需要清空所有的口袋，不需带入任何东西。考试当天我特意戴了一块手表，也被要求放到柜子里了。由于考试需要完成250道，全部完成还是需要很长时间的。所以干粮还是必备。我早上从体育场地铁站出来的时候买了一条巧克力、一条士力架、一个面包，坚持了一整天。

我预约的考试是早上九点到下午三点，总共6个小时。我八点半到的考场，实际进入考场大概8点50。由于他们的试题需要从美国传过来，加载速度很慢，实际开始答题大概在9点5左右。关于答题速度，我基本上是1分钟一道，大概用了4个小时完成了全部试题。期间出来了3次，吃点东西喝喝水。时间太长，还是要调节一下，否则精力不够的。每次出来都要举手申请，而且每次都需要重新验证掌纹，搞的很正式，也烦的。在我打完所有题目，检查好一遍的时候，正准备提交，手贱的点了一下最后一道题，电脑居然死机。重启一下花了半个小时，然后我有手贱的点了最后一题，然后又死机。然后又重启了半个小时。幸亏他们的答案是实时保存的，否则就杯具了。总之，最好的提交搞了一个小时。提交后，他们会打印出一张A4纸的通知。我看到上面写的是Congratulations，顿时觉得很开心。第二天上班就收到了确认邮件。通知我可以endorse了。

（2）考试题型分析

CISSP目前为了抢占中国市场，开始提供中文试题。我选择的是中文，所以看题目还是很快的。但为了保障能够正确理解题目，还是需要看下英文的。考试过程中，我就发现有几道题如果只看中文，估计会悲剧的。题目总共有250道，全部是选择题，而且全是单选，这一点是他们比较厚道的。不过，这个坑就是他们让你选最合适的，而不是哪个是对的，这里就很容易发生错误。通过考试，发现老美对基本概念的考核还是很重视的

基本上所有的题目是针对概念的考核，只有真正理解了概念，才能选中那个对的，而且基本上你勾了答案之后，你基本可以确定自己是否答对了。在题目的分布范围上，应该说所有的关键概念会一个不拉，但也有重点

这次给我印象特别深的是IPSec，这个的题目涉及到好几个，感觉他们对V**还是情有独钟。因此各位在备课的时候一定要紧抓概念，抓重点知识点，建议看看CISSP的《Certification Exam Outline》，罗列了所有的关键知识点，以此为纲。

（3）考试技巧

关于考试技巧，我觉得时间不会有什么问题，关键还是以抓概念为主，只要概念理解透，答题才能做到心中有底，否则很容易从头再来。

三、学习路径

CISSP认证内容非常，知识体系也较为庞大，需要花较大的力气进行准备。为能够一次通过，还是需要精心策划，认真实施。总体来说，需要做到以下几个方面。

（1）决心

准备考CISSP其实是几年前的事情，但每次都是高高举起，轻轻放下。刚把AIO翻过几页，就由于各种工作忙的原因放下了备考的事情。这次，面对2018年考试费由599美元涨到699美元。为了省下这100美元，我总算是下定决心，没有半途而废，把整个过程坚持下来。而实际由于备考过程较长，毕竟每个人工作生活的事情很多，会对备考造成很多困扰，这是需要很大的决心坚持下来，建议备考的同学还是要拿出破釜沉舟的勇气，一鼓作气坚持下来。

（2）时间保障

我本科是通信，研究生是模式识别，而且从业十年，对CISSP的八个主题都有一定的了解和认识。为了充分备考，我完成了一遍CBK，两遍AIO。建议备考的同学，多看AIO，而且最好是英文版本，这样也有助于对主题的理解，便于考试。在本次备考过程中，我主要使用了CBK v4、AIO v7，参考了部分AIO v5。CBK v4总共是1667页，AIO v7是1342，两本实际有效页数，应该在2900页左右，其中AIO v7完成了两遍。练习题用的Official practice tests，总共571页。因此整个备考过程下来，需要完成的页数总体在5000页左右。由于每个主题涉及一些延伸议题，有时还需要查阅一下资料，所以要准备一定的查阅时间。因此，整个备考是一个很大的工作量，需要抽出相当多的时间进行准备。自九月份开始，我基本上是每个晚上2到3个小时，周六周日全天备考。

（3）融会贯通

CISSP知识体系相对完善，每一个知识点都与工作存在着直接的联系，而且紧跟技术进步，现在云计算、物联网等均逐步进入了考核范围。在复习的过程中，最好能够将每一个知识点都进行深入的思考与扩展阅读，对自己的工作进行反思。信息安全本质上就是风险管理，以最小的成本保障业务安全，实现信息安全风险可控。风险管理这一章，从最基本的CIA开始，介绍了Security framework，然后逐步引入Risk Management，Risk Assessment,到Risk Management Framework，最终回归Security Governance。自己平时就从事信息安全体系建设咨询和风险评估，因此较容易理解其中大部分议题，但也对部分议题不甚了解，比如COSO这块。这就需要进行延伸阅读，在网上搜索一下PPT进行快速学习，掌握基本概念及关键知识点，完善自己的知识点，更重要的对企业风险管理框架有了一定的认识和理解。

（4）疑难解惑

最后提一点备考的小技巧，在最后联系的时候一定要整一个错题集，把自己所有做过的错题记录下来，答案和原因进行一下分析，这样比较容易抓住自己的弱点，在最后冲刺的时候能够做到有的放矢，提高效率。 以上是自己的一些考试经历和体会，希望能给各位同学带来一点用处。