什么是CISSP 其實對于能點進(jìn)這個問題的知友應(yīng)該也不需要太多解釋,CISSP(Certification for Information System Security Professional)注冊信息系統(tǒng)安全專家,算是國際上信息安全從業(yè)人員_權(quán)威的認(rèn)證之一。
截止7月,中國有4,136位持證CISSP(來自(ISC)2官網(wǎng)),含金量還是相當(dāng)高的。我也是有幸在11月正式拿到了CISSP的電子證書,紙質(zhì)證書待寄中。
CISSP的考試難度 CISSP的知識體系屬于廣度極高,但是深度一般??v覽式的知識體系不需要你了解太深,但是需要在非常多領(lǐng)域內(nèi)有知識儲備才可以通過考試。
應(yīng)該是在今年還是去年開始,CISSP的考試難度有所提升。共250道選擇題,需要在共10個知識領(lǐng)域內(nèi)均獲得70%以上的分?jǐn)?shù)才可以通過,有點像PMP考試。而且加上6個小時的極長考試時間,中英對照的考題,每道題做完才能看下一道,而且沒有回頭檢查的機(jī)會,做完當(dāng)場打印考試結(jié)果。整體的考試難度還是相當(dāng)高的,也非常刺激。
備考CISSP的準(zhǔn)備工作
首先,從我學(xué)習(xí)的過程感覺來說,不是很建議非本專業(yè)或完全無相關(guān)信息安全經(jīng)驗的同學(xué)報考。先不說_終申請證書的時候需要領(lǐng)域工作經(jīng)驗,就針對各部分知識的掌握就需要大量的枯燥時間。CISSP的考試并沒有真題庫,而且會有非常多的情景題(也是考試難度所在),這就需要你徹底理解這塊知識而不是僅僅背了幾道題,沒有實際的項目經(jīng)驗或者是操作經(jīng)驗的話,在每個領(lǐng)域都從零開始完全理解的難度是很高的。
(而且培訓(xùn)費和考試費都不便宜??!培訓(xùn)費不好說,但是考試費可是實打?qū)嵉?b>749刀)
是否要脫產(chǎn)考試這點見仁見智,在現(xiàn)在這個整體的大環(huán)境下脫產(chǎn)不免會造成焦慮,而且整體的備考時間會比較長,不可避免的是心態(tài)會發(fā)生變化。個人建議還是一邊搬磚一邊考試會更好,雖然可能效率會低一些,但是不管是從經(jīng)濟(jì)上還是從心理上都是對自己的一個保護(hù)。
如果打定主意確定要參加考試,首先需要找到一個好的學(xué)習(xí)團(tuán)體(?就類似共同備考的人),有工作經(jīng)驗的同學(xué)自學(xué)通過并非不可以,但是很多知識點或者不理解的考題確實需要共同討論。好的培訓(xùn)機(jī)構(gòu)會自帶備考群,以及內(nèi)部分享一些資料和信息,比如ISC2整出來的今年10月31前考試fail的話可以在12月前免費重考之類的神秘福利。。就我個人而言選的是某艾威,主要是由于之前在他們家有過其他課程的學(xué)習(xí),整體體驗還是不錯的,從資料的詳細(xì)程度到討論的氛圍都挺好,10月中旬開始備考群每天都有人通過的消息。。選擇哪家培訓(xùn)機(jī)構(gòu)就各有各的看法,但是學(xué)習(xí)的氛圍確實非常重要。
從哪里開始學(xué)習(xí)備考呢 每個人的起點不同也決定了學(xué)習(xí)備考的路線不同。我目前是在一家美企的中國分公司就職IT Infra Manager,工作內(nèi)容里幾乎接觸到了每個領(lǐng)域的知識(ISC2本身就是坐落在美國的組織),加上之前自己網(wǎng)工的工作經(jīng)驗,實際上在工作當(dāng)中已經(jīng)接觸到了非常非常多CISSP考試中涉及到的內(nèi)容,可以說備考的起點確實會比大多數(shù)人要高一些。
因此我選擇的是直接看培訓(xùn)視頻,先花幾天時間聽課把每章的大體內(nèi)容過一遍,對于我要掌握什么知識先有一個概念性的認(rèn)識。如果基礎(chǔ)較薄弱的話可以從看考試大綱開始,先嘗試?yán)斫獯缶V中每個詞是什么意思。
然后如果有針對每章的精講資料_佳,可以開始針對每一章節(jié)每個領(lǐng)域開始深化學(xué)習(xí)。之前也提到過,實際上CISSP對于知識掌握的深度要求并不是很高,基本都是處于一個淺嘗輒止的狀態(tài),如果沒有這樣的體會的話說明還沒有徹底掌握這部分知識。
因此需要理解,理解,理解 培訓(xùn)教材中所提到的每個知識點。死記硬背可能是考某些其他證書的良好途徑,但肯定不是考CISSP_好的辦法。如果記不住,嘗試去比喻或者和自己接觸過的其他事物做類比,會大大降低理解的難度。比如針對網(wǎng)絡(luò)基礎(chǔ)薄弱的同學(xué),我會把一個網(wǎng)絡(luò)類比到現(xiàn)實中的事物,客廳就是核心交換機(jī),每個房間就是每個VLAN,房間的東西就是終端,家里的大門就是網(wǎng)關(guān),貓眼就是IDS,家的門牌就是公網(wǎng)IP地址,小區(qū)道路就是局域網(wǎng),大馬路就是廣域網(wǎng),路由就是導(dǎo)航等等。
就我個人而言,會在看完每章后立即做一遍當(dāng)章的測驗,從而知道自己在看教材過程當(dāng)中錯過了哪些知識點,哪些知識點是容易被自己遺忘的,情景題應(yīng)該從什么方向去考慮等等。選擇在剛看完章節(jié)的時候做題,正確率一定不會很高,但是你可以更清楚地知道自己在這一章的知識點中的薄弱項。
當(dāng)每個章節(jié)都過一遍之后,我會再選擇開始看書。從這里實際上已經(jīng)開始查漏補(bǔ)缺的過程。相信做過章節(jié)題后也已經(jīng)對自己對知識點的掌握有一個模糊的認(rèn)識,這個時候選擇看書可以有效地學(xué)習(xí)每個自己沒有完全了解的知識點。我選擇看的是OSG,感覺已經(jīng)足夠了。
看完書后你的學(xué)習(xí)過程基本上就已經(jīng)結(jié)束。剩下就是對著仿真考試題進(jìn)行模擬了。這里就需要弄清自己的做題節(jié)奏和所花時間。因為實際考試當(dāng)中是做完一道才能看下一道,沒有回頭檢查的機(jī)會,所以首要的就是要一次做對,沒有修改的機(jī)會。從時間上來說因為沒有了檢查的步驟所以整體來說算是比較快的,畢竟做題嘛,不知道就是不知道,再怎么想也是不知道。。但是做題過程中可能會有很多的死亡二選一,這時候可能需要點開英文查看一下原文,來確認(rèn)一下是不是和自己理解的一樣。(_經(jīng)典的需要看原文的選項:對數(shù)據(jù)保存介質(zhì)的清掃、清理、擦除、清除)
什么狀態(tài)可以約考 機(jī)構(gòu)會推薦你在做題70%正確率以上的時候去約考,說實話還是比較困難的,總之我是還沒達(dá)到的時候就去了。。
覺得自己對知識點掌握不再會有實質(zhì)性提升的情況下,就可以鼓起勇氣準(zhǔn)備約考了。當(dāng)然如果有千年一遇的_次沒過免補(bǔ)考費這種好事情大家即使沒把握也都會擠破頭去考試(2022.10月的時候)
考試現(xiàn)場 我是在上海黃浦區(qū)的考點考試的,提前一天到然后住了一晚上,周圍有很多酒店所以不用擔(dān)心住宿問題。
早上7點15-30左右到即可,帶兩種身份證明,全身上下包括首飾戒指都需要寄存,檢查非常嚴(yán)格。
就我個人而言時間非常充裕,甚至不想太早出來給其他同學(xué)壓力我還多摸了一會魚。。。_終大概在10:30考了2個半小時后就出來了。據(jù)說是有不少人卡到_后時間才出來的,中間還會申請休息吃東西補(bǔ)充體力。。我好像沒有這個困擾。。
考試成績當(dāng)場打印,看到Congratulations/恭喜就說明你考試通過了。
背書和取證 背書這部分其實是有要求的,因為需要在10個領(lǐng)域中的3個以上有過4年的工作經(jīng)驗(本科以下學(xué)歷的話需要5年),如果沒有的話就只能成為candidate然后繼續(xù)積攢工作經(jīng)驗了。
如果有培訓(xùn)機(jī)構(gòu)的話他們會協(xié)助你進(jìn)行背書過程,如果沒有的話可能就需要自己尋找人幫你背書了(這也是自學(xué)的弊端之一)
證書會在背書通過后_時間通知你,在ISC2的官網(wǎng)就可以下載電子證書,紙質(zhì)的需要6-10周郵寄。
總之,因為我的起點比較高,所以大概整個備考周期在1個多月左右,也趕上了ISC2的免費補(bǔ)考活動給了我勇氣直接參加考試(雖然沒有用上)
希望看到這篇文章的同學(xué)也能順利通過考試!偶爾給自己鍍鍍金也不錯~