*本文原创作者:securitydark,本文属FreeBuf原创奖励计划,未经许可禁止转载
十年之前,走出象牙塔还是葱葱少年。十年之后,面对体重秤上的数字俨然已成油腻中年男。十年之间,自己以从事信息安全测评为主,做过等保、做过风险评估、做过渗透测试、做过应急响应,同时为用户建立信息安全体系,从技术及管理为用户解决自身的痛点。十年间,见证了网络安全在国内的崛起与快速发展。面对过往,拿下CISSP也许是对自己从业十年最好的总结。
一、为何选择CISSP
人生需要总结,知识需要形成体系,需要做到知其然,知其所以然。近几年,参加了高级等保测评师、CISAW、CISP等信息安全相关培训,对各个认证的认证过程及知识体系有了较多的了解。比较而言,CISSP的知识体系相对更完整,更全面,而且经过了更多的检验,在教材的编写上也更深入和广泛的揭示不同的主题。通过备考,我也确实体会到通过对不同主题的学习与思考收益良多,做到了不只只是拿下一份证书。
二、关于考试
(1)考试过程
考虑到备考时间大概需要三个月,9月初我选择了12月26号在徐汇腾飞广场的考点进行考试。报名费当时是599美元,现在是699美元了。支付的时候一定要有一张visa的信用卡。腾飞广场的考场很简单,但管理很严格。外间是审核的地方,里间是考试的地方,每人一个隔间,非常静音。考试认证的时候需要那两种身份证明,我拿的身份证和一张签名的VISA卡,而且需要录掌纹,用掌纹识别身份。进入里间考场是需要清空所有的口袋,不需带入任何东西。考试当天我特意戴了一块手表,也被要求放到柜子里了。由于考试需要完成250道,全部完成还是需要很长时间的。所以干粮还是必备。我早上从体育场地铁站出来的时候买了一条巧克力、一条士力架、一个面包,坚持了一整天。
我预约的考试是早上九点到下午三点,总共6个小时。我八点半到的考场,实际进入考场大概8点50。由于他们的试题需要从美国传过来,加载速度很慢,实际开始答题大概在9点5左右。关于答题速度,我基本上是1分钟一道,大概用了4个小时完成了全部试题。期间出来了3次,吃点东西喝喝水。时间太长,还是要调节一下,否则精力不够的。每次出来都要举手申请,而且每次都需要重新验证掌纹,搞的很正式,也烦的。在我打完所有题目,检查好一遍的时候,正准备提交,手贱的点了一下最后一道题,电脑居然死机。重启一下花了半个小时,然后我有手贱的点了最后一题,然后又死机。然后又重启了半个小时。幸亏他们的答案是实时保存的,否则就杯具了。总之,最好的提交搞了一个小时。提交后,他们会打印出一张A4纸的通知。我看到上面写的是Congratulations,顿时觉得很开心。第二天上班就收到了确认邮件。通知我可以endorse了。
(2)考试题型分析
CISSP目前为了抢占中国市场,开始提供中文试题。我选择的是中文,所以看题目还是很快的。但为了保障能够正确理解题目,还是需要看下英文的。考试过程中,我就发现有几道题如果只看中文,估计会悲剧的。题目总共有250道,全部是选择题,而且全是单选,这一点是他们比较厚道的。不过,这个坑就是他们让你选最合适的,而不是哪个是对的,这里就很容易发生错误。通过考试,发现老美对基本概念的考核还是很重视的,基本上所有的题目是针对概念的考核,只有真正理解了概念,才能选中那个对的,而且基本上你勾了答案之后,你基本可以确定自己是否答对了。在题目的分布范围上,应该说所有的关键概念会一个不拉,但也有重点。这次给我印象特别深的是IPSec,这个的题目涉及到好几个,感觉他们对VPN还是情有独钟。因此各位在备课的时候一定要紧抓概念,抓重点知识点,建议看看CISSP的《Certification Exam Outline》,罗列了所有的关键知识点,以此为纲。
(3)考试技巧
关于考试技巧,我觉得时间不会有什么问题,关键还是以抓概念为主,只要概念理解透,答题才能做到心中有底,否则很容易从头再来。
三、学习路径
CISSP认证内容非常,知识体系也较为庞大,需要花较大的力气进行准备。为能够一次通过,还是需要精心策划,认真实施。总体来说,需要做到以下几个方面。
(1)决心
准备考CISSP其实是几年前的事情,但每次都是高高举起,轻轻放下。刚把AIO翻过几页,就由于各种工作忙的原因放下了备考的事情。这次,面对2018年考试费由599美元涨到699美元。为了省下这100美元,我总算是下定决心,没有半途而废,把整个过程坚持下来。而实际由于备考过程较长,毕竟每个人工作生活的事情很多,会对备考造成很多困扰,这是需要很大的决心坚持下来,建议备考的同学还是要拿出破釜沉舟的勇气,一鼓作气坚持下来。
(2)时间保障
我本科是通信,研究生是模式识别,而且从业十年,对CISSP的八个主题都有一定的了解和认识。为了充分备考,我完成了一遍CBK,两遍AIO。建议备考的同学,多看AIO,而且最好是英文版本,这样也有助于对主题的理解,便于考试。在本次备考过程中,我主要使用了CBK v4、AIO v7,参考了部分AIO v5。CBK v4总共是1667页,AIO v7是1342,两本实际有效页数,应该在2900页左右,其中AIO v7完成了两遍。练习题用的Official practice tests,总共571页。因此整个备考过程下来,需要完成的页数总体在5000页左右。由于每个主题涉及一些延伸议题,有时还需要查阅一下资料,所以要准备一定的查阅时间。因此,整个备考是一个很大的工作量,需要抽出相当多的时间进行准备。自九月份开始,我基本上是每个晚上2到3个小时,周六周日全天备考。
(3)融会贯通
CISSP知识体系相对完善,每一个知识点都与工作存在着直接的联系,而且紧跟技术进步,现在云计算、物联网等均逐步进入了考核范围。在复习的过程中,最好能够将每一个知识点都进行深入的思考与扩展阅读,对自己的工作进行反思。信息安全本质上就是风险管理,以最小的成本保障业务安全,实现信息安全风险可控。风险管理这一章,从最基本的CIA开始,介绍了Security framework,然后逐步引入Risk Management,Risk Assessment,到Risk Management Framework,最终回归Security Governance。自己平时就从事信息安全体系建设咨询和风险评估,因此较容易理解其中大部分议题,但也对部分议题不甚了解,比如COSO这块。这就需要进行延伸阅读,在网上搜索一下PPT进行快速学习,掌握基本概念及关键知识点,完善自己的知识点,更重要的对企业风险管理框架有了一定的认识和理解。
(4)疑难解惑
最后提一点备考的小技巧,在最后联系的时候一定要整一个错题集,把自己所有做过的错题记录下来,答案和原因进行一下分析,这样比较容易抓住自己的弱点,在最后冲刺的时候能够做到有的放矢,提高效率。
以上是自己的一些考试经历和体会,希望能给各位同学带来一点用处。
*本文原创作者:securitydark,本文属FreeBuf原创奖励计划,未经许可禁止转载