CISSP备考经验谈
2022年7月份开始准备CISSP考试,以非常便宜的价格报名了某培训机构,根据机构老师的统计,大部分人从准备到参加考试都历经了一年以上,只有10%的人会在半年内通过考试,绝大多数人都会花费超过一年的时候参加考试。自己已经在安全领域耕耘多年,自然打算在半年内拿到这门认证(12月份疫情缘故未参考,1月11日通过考试),事实证明,足够的安全行业从事经验确实有助于通过CISSP认证。
CISSP将信息安全分为三大类和五个模块。
三大类分别是:
- 安全和风险管理
- 安全工程
- 安全运营
五个模块分别是:
- 资产安全
- 通信和网络安全
- 身份和访问管理
- 软件开发安全
- 安全评估和测试
官方的书籍包括OSG(Official Study Guide)和AIO(All In One)两种,对于有多年安全从事经验的人适合OSG,对于新手或入门者适合AIO,选择适合自己的那本书就足够。
CISSP考试的目的是通过构建场景和情境考察考生对于特定场景或情境下如何做出最合适的安全决策或选择,因此充分理解上述三大类和五模块的内容极其重要,死记硬背是没有必要的,而且是痛苦的。尤其是英文术语的缩写,技术参数,如果从事过相关实际的工作,对于这些缩写和参数会更加了然于胸。
根据自己备考CISSP的过程,建议的准备阶段分三个部分:
概念熟悉阶段
这个阶段的目的是先对于整体的考试内容有大概的了解和初步的认识,可以通过培训机构的培训视频,也可以通过阅读OSG或AIO书籍,但最佳的办法是通过阅读OSG,培训机构的视频中的个别内容的解释或讲解会较为浅显或简单,阅读原书能够更好的理解概念。
原理理解阶段
这个阶段是对于OSG和AIO书籍上知识点的理解和扩充,相当于是对于安全领域行业知识的扩展和总结。即便是官方书籍,也存在部分知识点不充分的问题,因此在这个过程中,可以对于诸多术语的缩写进行原意理解,了解全称、含义、背景、原理、作用、适用场合的补充了解和学习。虽然漫长,对于自身安全知识体系的构建和完善有非常积极的作用。
题目练手阶段
这个阶段是熟悉和了解练习题或仿真题的出题和做题的感觉,和其他考试不同的是,CISSP试题答题通常会强调“最”:最重要、最错误、最正确、最必须、最合适等等,因此考题的选项中可能会出现多个选项都正确的情况,这个时候便是考察考生对于题目的理解和选项的理解。
真实考试中的环境和考试方式与上学时候考试不同,以北京考点为例:
- 考场环境是在某饭店大楼中,楼层较低,略显压抑;
- 考试环境是加高的办公隔断,只有显示器、鼠标以及老师发的水写笔和纸板;
- 考试入场检查严格,除了储物柜的钥匙,其他物品几乎一律不宜携带;
- 考试时长较长,全长6个小时,250道单选题,题目可以随时查看英文,只能看到考试进度、剩余时间、题目和系统自带计算器,考试期间只能一道一道向前做,不能回退,不能跳题;
- 考试时间从上午8点开始,下午14点结束,7:30开始入考场,如果距离较远,早起考试对考生而言会是一场体力考验;
- 考试期间可以举手示意老师喝水或上厕所,但回归考场时依然要做一遍安检,不大划算,一鼓作尿最佳,中间休息与否取决于个人体力,不一定非要带红牛、面包等等(是没有心情中途吃喝的);
基于自己考试的过程,总结了考试过程中的建议:
- 考试前可以先熟悉环境再开始考试,对于舒缓自己心理和状态有很大帮助,通常在靠前题目的答题都会较慢,也是熟悉过程,越往后对于出题和答题立意熟悉后,答题会越快。
- 中文题干和选项可能会有翻译不准确的地方,对于模棱两可或不明白的题目,建议查看英文。
- 认真阅读题干对于答题很有帮助,很多时候答错题是因为没有认真理解题目,即题目想让你做什么。
- 将自己代入题目中,选择能够说服自己的选项,会事半功倍(假如自己是企业管理层,会怎么做)。
- 技术上的正确不代表决策上的最优,切勿不能唯技术导向做选择,题目的立意是最优。
对于安全行业从业者而言,CISSP确实是对于自身安全经验,包括管理、技术、运营有很大的帮助,如果能够认真备考,而非敷衍了事,能够帮助开阔视野、总结经验、学习方法。截止2022年7月,全国拥有该证书的人员为4316人(https://www.isc2.org/About/Member-Counts),与全国考点数量、考试频率以及考生数量是吻合的,确实是含金量较高的安全证书之一。
另外,考试通过只是成为获取CISSP证书的第一步,考试通过后会在2-5天收到考试通过邮件,邮件中提示进行背书(endorsement)操作,背书需要提供足够5年工作经验的工作简历和劳动合同(或离职证明),本科学历可以减少一年的工作经验要求,因此需要准备学位/毕业证书、劳动合同/离职证明以及工作简历,背书过程提供的文字内容必须是英文。