前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >经验分享 | 通往CISSP成功之路

经验分享 | 通往CISSP成功之路

作者头像
FB客服
发布2018-02-24 16:01:09
1.3K0
发布2018-02-24 16:01:09
举报
文章被收录于专栏:FreeBuf

十年之前,走出象牙塔还是葱葱少年。十年之后,面对体重秤上的数字俨然已成油腻中年男。十年之间,自己以从事信息安全测评为主,做过等保、做过风险评估、做过渗透测试、做过应急响应,同时为用户建立信息安全体系,从技术及管理为用户解决自身的痛点。十年间,见证了网络安全在国内的崛起与快速发展。面对过往,拿下CISSP也许是对自己从业十年最好的总结。

一、为何选择CISSP

人生需要总结,知识需要形成体系,需要做到知其然,知其所以然。近几年,参加了高级等保测评师、CISAW、CISP等信息安全相关培训,对各个认证的认证过程及知识体系有了较多的了解。比较而言,CISSP的知识体系相对更完整,更全面,而且经过了更多的检验,在教材的编写上也更深入和广泛的揭示不同的主题。通过备考,我也确实体会到通过对不同主题的学习与思考收益良多,做到了不只只是拿下一份证书。

二、关于考试

(1)考试过程

考虑到备考时间大概需要三个月,9月初我选择了12月26号在徐汇腾飞广场的考点进行考试。报名费当时是599美元,现在是699美元了。支付的时候一定要有一张visa的信用卡。腾飞广场的考场很简单,但管理很严格。外间是审核的地方,里间是考试的地方,每人一个隔间,非常静音。考试认证的时候需要那两种身份证明,我拿的身份证和一张签名的VISA卡,而且需要录掌纹,用掌纹识别身份。进入里间考场是需要清空所有的口袋,不需带入任何东西。考试当天我特意戴了一块手表,也被要求放到柜子里了。由于考试需要完成250道,全部完成还是需要很长时间的。所以干粮还是必备。我早上从体育场地铁站出来的时候买了一条巧克力、一条士力架、一个面包,坚持了一整天。

我预约的考试是早上九点到下午三点,总共6个小时。我八点半到的考场,实际进入考场大概8点50。由于他们的试题需要从美国传过来,加载速度很慢,实际开始答题大概在9点5左右。关于答题速度,我基本上是1分钟一道,大概用了4个小时完成了全部试题。期间出来了3次,吃点东西喝喝水。时间太长,还是要调节一下,否则精力不够的。每次出来都要举手申请,而且每次都需要重新验证掌纹,搞的很正式,也烦的。在我打完所有题目,检查好一遍的时候,正准备提交,手贱的点了一下最后一道题,电脑居然死机。重启一下花了半个小时,然后我有手贱的点了最后一题,然后又死机。然后又重启了半个小时。幸亏他们的答案是实时保存的,否则就杯具了。总之,最好的提交搞了一个小时。提交后,他们会打印出一张A4纸的通知。我看到上面写的是Congratulations,顿时觉得很开心。第二天上班就收到了确认邮件。通知我可以endorse了。

(2)考试题型分析

CISSP目前为了抢占中国市场,开始提供中文试题。我选择的是中文,所以看题目还是很快的。但为了保障能够正确理解题目,还是需要看下英文的。考试过程中,我就发现有几道题如果只看中文,估计会悲剧的。题目总共有250道,全部是选择题,而且全是单选,这一点是他们比较厚道的。不过,这个坑就是他们让你选最合适的,而不是哪个是对的,这里就很容易发生错误。通过考试,发现老美对基本概念的考核还是很重视的

基本上所有的题目是针对概念的考核,只有真正理解了概念,才能选中那个对的,而且基本上你勾了答案之后,你基本可以确定自己是否答对了。在题目的分布范围上,应该说所有的关键概念会一个不拉,但也有重点

这次给我印象特别深的是IPSec,这个的题目涉及到好几个,感觉他们对V**还是情有独钟。因此各位在备课的时候一定要紧抓概念,抓重点知识点,建议看看CISSP的《Certification Exam Outline》,罗列了所有的关键知识点,以此为纲。

(3)考试技巧

关于考试技巧,我觉得时间不会有什么问题,关键还是以抓概念为主,只要概念理解透,答题才能做到心中有底,否则很容易从头再来。

三、学习路径

CISSP认证内容非常,知识体系也较为庞大,需要花较大的力气进行准备。为能够一次通过,还是需要精心策划,认真实施。总体来说,需要做到以下几个方面。

(1)决心

准备考CISSP其实是几年前的事情,但每次都是高高举起,轻轻放下。刚把AIO翻过几页,就由于各种工作忙的原因放下了备考的事情。这次,面对2018年考试费由599美元涨到699美元。为了省下这100美元,我总算是下定决心,没有半途而废,把整个过程坚持下来。而实际由于备考过程较长,毕竟每个人工作生活的事情很多,会对备考造成很多困扰,这是需要很大的决心坚持下来,建议备考的同学还是要拿出破釜沉舟的勇气,一鼓作气坚持下来。

(2)时间保障

我本科是通信,研究生是模式识别,而且从业十年,对CISSP的八个主题都有一定的了解和认识。为了充分备考,我完成了一遍CBK,两遍AIO。建议备考的同学,多看AIO,而且最好是英文版本,这样也有助于对主题的理解,便于考试。在本次备考过程中,我主要使用了CBK v4、AIO v7,参考了部分AIO v5。CBK v4总共是1667页,AIO v7是1342,两本实际有效页数,应该在2900页左右,其中AIO v7完成了两遍。练习题用的Official practice tests,总共571页。因此整个备考过程下来,需要完成的页数总体在5000页左右。由于每个主题涉及一些延伸议题,有时还需要查阅一下资料,所以要准备一定的查阅时间。因此,整个备考是一个很大的工作量,需要抽出相当多的时间进行准备。自九月份开始,我基本上是每个晚上2到3个小时,周六周日全天备考。

(3)融会贯通

CISSP知识体系相对完善,每一个知识点都与工作存在着直接的联系,而且紧跟技术进步,现在云计算、物联网等均逐步进入了考核范围。在复习的过程中,最好能够将每一个知识点都进行深入的思考与扩展阅读,对自己的工作进行反思。信息安全本质上就是风险管理,以最小的成本保障业务安全,实现信息安全风险可控。风险管理这一章,从最基本的CIA开始,介绍了Security framework,然后逐步引入Risk Management,Risk Assessment,到Risk Management Framework,最终回归Security Governance。自己平时就从事信息安全体系建设咨询和风险评估,因此较容易理解其中大部分议题,但也对部分议题不甚了解,比如COSO这块。这就需要进行延伸阅读,在网上搜索一下PPT进行快速学习,掌握基本概念及关键知识点,完善自己的知识点,更重要的对企业风险管理框架有了一定的认识和理解。

(4)疑难解惑

最后提一点备考的小技巧,在最后联系的时候一定要整一个错题集,把自己所有做过的错题记录下来,答案和原因进行一下分析,这样比较容易抓住自己的弱点,在最后冲刺的时候能够做到有的放矢,提高效率。 以上是自己的一些考试经历和体会,希望能给各位同学带来一点用处。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2018-01-10,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 一、为何选择CISSP
  • 二、关于考试
    • (1)考试过程
      • (2)考试题型分析
        • (3)考试技巧
        • 三、学习路径
          • (1)决心
            • (2)时间保障
              • (3)融会贯通
                • (4)疑难解惑
                相关产品与服务
                业务风险情报
                业务风险情报(Business Risk Intelligence,BRI)为您提供全面、实时、精准的业务风险情报服务。通过简单的 API 接入,您即可获取业务中 IP、号码、APP、URL 等的画像数据,对其风险进行精确评估,做到对业务风险、黑产攻击实时感知、评估、应对、止损。您也可利用业务风险情报服务搭建或完善自身的风控体系,补充自身风险情报数据,提升对风险的感知、应对能力。BRI 支持按需付费,您可根据您的需求,选取不同的套餐,更易优化成本。
                领券
                问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档