我在准备了一年左右的时间后,2019年1月末,飞行2000公里,从银川到上海参加了Cissp认证考试。经过将近6个小时的高强度考试后,考官将打印的成绩递给我:“恭喜,xxxx”,一次性通过!紧绷的神经一下子放松下来,这时才感觉到浑身的酸痛与脱力。应某朋友的要求,分享一下我的考试经验,给后来的朋友做个参考吧。
我是宁夏银川市一所普通高校信息中心的网络管理员,2017年底,当博士答辩顺利通过后,才开始准备这个一直想考的认证。整整准备了一年左右才参加了这次认证(成本太高,我必须一次性通过,正常情况下3-6个月左右,期间我走了弯路)。下谈谈玩我的经验:
Cissp英文名是Certified Information Systems Security Professional,中文名是(ISC)²注册信息系统安全专家)。这是一项全球范围内最权威,最专业,最系统的信息安全认证。这个认证考试难度比较大,要求更多的实际工作经验和分析推理能力,即不是参加一下培训就可以通过的考试,也不是一个把书背会就可以通过的考试。
由于这是一项国际上都认可安全认证,参加认证的基本都是来自或者想进入一些跨国企业或者是大型机构的人员。我在参加培训和考试的时候碰到的很多都是这样的同学。至于薪酬,听其他人说获得认证后的年薪都是比较高的,而且找工作也非常容易。但是对于公务员和事业单位的人员来说,这个认证在工资待遇上是没有任何帮助的,对我而言,最大的收获是全面系统的学习了信息安全相关的技术架构和知识体系。
Cissp的关注点是信息安全的管理和业务流程。 我之前有软考信息系统项目管理师的高级认证,发现Cissp中关于软件开发流程,配置管理,变更管理的很多内容是与软考或者PMP认证是相似的,只是更加倾向于与安全动作的结合。这门考试的关注点不在具体的安全技术,而是从CSO的角度去关注安全。像是漏洞挖掘或是渗透测试,从技术上仅仅需要全面的理解即可,不会涉及到太过具体的技术细节。
从培训结束到考试,我用了将近一年的时间,除去假期(我的假期还是很多的,呵呵)每天保证2个小时左右(中间走了弯路),看过一些其他前辈的复习时间,从3-6个月不等,甚至有2年的,我觉得时间长度不是最重要的,重要的是对知识的掌握程度。需要掌握到什么程度呢,我个人觉得,能够清晰的理解每一个知识点的概念,及各个知识点之间的区别和关联关系才是参加这门考试的门槛。举例来说:比如看到知识点ISAKMP,不但了解其概念和作用,同时可以联想到与IKE的关系,与IPSEC的相互作用,进而延伸到AH、ESP等概念,也就是可以举一反三,发散思考。所以在很多概念不清晰,不能进行关联的时候不建议去考试。
这里分三个步骤,首先是参考书,然后是试题,最后是笔记。
A、关于参考书:我走了弯路,浪费了几个月时间。我刚开始把OSG官方指南第七版看了一遍就急于去做题,发现有些题不是很清晰,就转而去读AIO第七版,而且读了3-4遍,后来再做题的时候,发现很多概念2本书是有冲突的,尤其是管理类的知识点,这个时候我才又转回到OSG官方指南第七版,认真的读了3遍,在做练习题的时候,发现有些概念还是混乱,比如关于数据的删除,清理,清除,清扫等等,很是模糊,这个时候我把第八版英文OSG中相关的概念找出来对比,才发现新版的OSG 8th已经对很多内容进行了更新,后面参加考试证明应该以OSG上的概念为准。
因此关于参考书我的建议是中文OSG第七版精读3遍以上,同时对于不清晰的概念参看OSG第八版英文资料,如果有知识点找不到的看一下AIO第七版中文或者AIO第八版英文(参考即可)。
B、关于试题:首先强调一点,考试中你是找不到练习中的考题的(我做过大概4000道题),每一道题都是在熟练掌握知识点的基础上进行分析推理得到答案的。我报的某培训机构(为了避免广告嫌疑就不提了)有在线试题,包括单元测试和综合测试,最后还有一次中英文的模拟测试,这个帮助很大。书本上也有试题,建议把书吃透后,每一章后面的试题正确率达到85%以上,然后进行单元测试(培训机构的试题集和在线试题)也达到80%以上,第一遍达不到,可以进行第二遍,直至达到,这个时候一定要把没有掌握的知识点做好笔记,可以选择纸质的或者云笔记。然后再做综合测试,有在线的和纸质的,建议正确率达到80%以上,最后感觉所有知识点都掌握了,再申请模拟考试。这里面的英文翻译,考试的时候有中英文对照,会比模拟试题翻译的好一些。
C 、关于笔记:笔记是在看书和做试题的过程中积累下来的,上面完成后,若有时间,请做一下自己的有关8个方向的思维导图,有利于将所有知识点串起来。同时在冲刺阶段把笔记上的内容作为重点资料进行巩固,直至能把绝大部分知识点融会贯通。
这个考试仅能在北上广3个考点(上海2个考点,北京、广州各1个)进行。考试的总时长是6个小时,包括上厕所,补充能量的时间,可以准备一些咖啡或者红牛,还有自己喜欢吃的,最好不要是刺激的食品,比如香蕉。如果在知识点掌握的情况下,时间是绝对够用的。所以合理的计算一下时间,如果中间每一道题都认真审题和分析的话,后面是不需要每一道题都检查的,只检查自己标记的有疑问的或者没有做的题目即可。
CISSP考试最大的特点是没题库可以背。考试里面直接考概念和定义的题目很少。大量的都是场景题,比如给你一段文字描述,说某企业面临了XX问题,问你最佳解决思路是什么。这里大量的题目问的是最佳,答案中比较容易排除2个,但是剩下的2个都很相似,因此需要根据题干提供的场景认真分析,选择最佳,最优或最好的答案。如果没有在安全行业做上几年的经历,很容易被选项的文字迷惑,因此需要把英文原题看一下,有可能有翻译的问题,看完英文原题更加容易理解,同时一定要把自己放到CSO去考虑题目的问题。
考试的时候需要带身份证和签名的信用卡(用于验证中文拼音)。正式开考前需要一段时间加载题库,时间比较长,耐心等待一下。考察有耳塞和很大的耳罩可以选择。考场中很多考生都是靠GMAT的,每一个人都是单间,互相不干扰。考试过程中,心态很重要,虽然只有250道选择题,但是绝大部分都需要认真分析和推导,因为陷阱很多。如果考试过程中感觉发懵,就申请休息一下。如果考试紧张或者有丧失信心的情况,一定不要气馁,要坚持给自己打气,想想那699美金的考试费也得全力以赴啊。
考试结束后,收拾东西的时间就能看到成绩。之后2-5天会收到邮件,这个过程就是背书,可以找熟识的Cissp已经认证人员帮忙。往后8-12周确认后得到电子证书,之后证书寄过来也要8-12周甚至更长。所以不要着急,有电子的就可以用了。
如果在经济条件允许的情况下可以考虑,培训机构的好处是有辅导员和老师可以请教,同时有在线试题。但是这个考试不要妄想背题或者有什么途径可以速成,全部都是靠自己一点一点的积累,自己不努力是不可能通过的。如果条件不允许,自己多努力也是可以的。
最后,总结几点
1 这是一门关于安全运营管理的考试,范围非常广,几乎无所不包,但是大部分知识点都比较浅,一定要把自己放到CSO的角度去考虑问题;
2 这个考试没有捷径可走,完整的掌握每一个知识点并能清晰运用才是王道。
3 持之以恒,日拱一卒,功不唐捐。
考试用书和资料大家都可以从网上找到,如果还有什么需要的资料或者疑问可以邮我webwg&foxmail.com,希望我能帮到大家。
*本文作者:Myhawk,转载请注明来自FreeBuf.COM