2018年10月,在折腾了半年之久后,终于通过了CISSP考试,后续按要求提交申请进行背书,调查没问题就可以收到认证了。思来想去,简单写个总结,作为半年备考的终点,同时希望能够给准备考试的同学提供一些帮助。
关于教材:OSG第七版中文版,AIO英文版,谷安培训练习题(基于第六版教材),cissp-official-isc-practice-tests,谷安培训PPT串讲
OSG中文版,翻译质量一边,有比较多概念看中文很难理解。不过整体来说,英文不好的话看看中文,不清晰的地方在对照英文看,会好一些。不过我也没看英文材料,很遗憾。
AIO英文材料,没看,不评论。
XX培训练习题,由于是基于第六版教材的练习题,比较多内容在第七版是被删减了,而且知识体系结构与第七版也有区别。如果有较新的练习题,不建议做了。
cissp-official-isc-practice-tests,强烈推荐。官方习题最接近考试,作为不足知识点的检测非常有帮助。英文虽然起初觉得难一些,但是做一下试试,不会觉得难,习惯了就好了。总共应该有1300+习题,包括每个域100+习题和2套模拟题。
谷安培训PPT串讲,这个是精要串讲视频,从大的纲领帮你梳理一下知识结构及知识点,总共大致10小时(具体也没算)的视频。考试前我花时间看了下,有些概念讲师会举一些例子帮助理解,这个比较好。毕竟看教材主要还是枯涩的知识点。
关于考试:
考试360分钟,250题,50个做调查的题(不计分,具体哪些不知道)。
考试带2个有效证件,我带的身份证、护照。
考试时间肯定够,不用担心。我第一次考试花了4小时完成,检查2遍,不到5小时就交卷了(没过,对),第二次考试坐满6小时,不过4小时半就昨晚题目,检查到时间结束。
考试中遇到不太清晰的题目,可以做标记,最后昨晚所有题可以检查标记题目、检查未完成(没填写的)、检查所有题目选项,标记还是比较好用。
由于考试时间比较长,中途可以出来休息、吃喝,带点干粮是必要的,我当时带了2个士力架、一瓶咖啡,中途出来补给了两次。
关于考题:
考试没有原题,没有原题,没有原题(说三遍)。所以不要幻想去找真题了,没用的,如果有人告诉你有真题,肯定是骗子。我唯一在考前看过而且考试中遇到的题就一个,硬件、软件、内核哪个漏洞比较难以挖掘。毕竟考试费不便宜,ISC找人出出题很容易。
考题有情景题(我遇到5个不到)、连线题(我遇到5个左右),不会有太多直接问概念的题目,多是最好方案、最有效的、最高的、最佳的类似,需要认真审题后想一想在作答。
所以,花时间看书、做题,掌握不好的知识点重复看。
关于培训:
我报了谷安的培训(不便宜,不过公司给报销了,感谢我的领导),在北京有现场授课,其他地点都是远程视频授课。5天培训课程,讲师对照谷安的培训PPT比较快速的讲解每个域。由于我只能周末参加,无法连续5天上课,所以去了两次,5天培训课程没听全(差了3天不到),后面也就没参加了,自己看书为主。
培训对我的帮助不算很大,关键还是自己看书学习。唯一比较好的就是有机会可以和讲师、同期学员多个交流机会,对于知识点理解比较有帮助。
毕竟培训不便宜。
关于范围:
All in One 里面有一句非常贴切,“an inch deep and a mile wide”(捂脸哭)。第七版8个domain,覆盖信息安全方方面面,但是每个点都讲解一点皮毛,不会很深入。所以知识点真的真的真的非常多,这也是CISSP考试的难点,同时也是含金量所在。
对于这个问题,不用很担心。既然决定要考,认证复习即可,何况5年工作经验(CISSP认证要求5年安全工作经验)多少都会接触到2-3个域。比如我,在应用安全、渗透、代码比较熟悉,已经覆盖到安全工程架构、安全评估和测试、安全开发等多个域,在配合教材学习,基本可以很快掌握。另外,总共250题8个域,平均每个域也就30题左右(具体比例参考考试大纲,虽然大纲给的比例也不一定准确)。
另外,教材中有些比较老的东西,确实如培训时讲师所说,不会考。比如Kerbose、桔皮书、彩虹系列、Safe Habour等,我考试中没遇到相关题目。但是,对于GDPR、CC,的确是遇到了。鉴于操守,就不具体说遇到哪些题了。
关于备考:
从16年了解到CISSP认证开就计划考,但是一直没有行动,懒癌晚期。18年3月中开始正式准备,认真复习到考完,半年多的的时间,中文教材通读三遍,谷安培训习题一遍、官方习题一遍,过程中不熟悉的知识点看了很多遍。备考过程真的很长,备受折磨,不过的确学到很多东西。
1. 通读中文教材,大致2个月时间。每天1-2小时完成一章学习及章节后的练习题(20题)。看看错题对应的知识点。实话说,没有每天坚持,中间偶尔会断1-2天。
2. 谷安培训习题,每天完成一个域(100+题),做题钱粗略看对应章节知识点(1个域30分钟左右)。做完题看错在哪里,对应知识点。
3. 通读教材,重点看错题对应知识点、大纲考点。这一遍看的会快一些,全书看完用了2周,每次1-2小时(周末该玩玩,各种放羊,不知道哪里来的自信)。开始这一遍复习时已经约考(6月中下旬的样子),7月底考试。心里比较没底,想着给自己一个截止时间,反向逼着学习,另外拖得时间比较久了,容易烦躁。
4. 第三遍复习结束后,基本离考试也就2周时间了。最后两周,结合谷安的视频课程以及考试大纲(自己画的脑图)、错题,来回翻教材。看哪里都觉得自己都知道,感觉没啥问题了,信心满满。
然而(不用但是),第一次考试挂了。当天考完是懵逼状态,完全想不通哪里不对,何况还5小时交卷,心情很不好。回公司后,领导请我喝了个咖啡,安慰我,让我在准备一下,争取下次考过。(真心感谢我这个领导,人格魅力很强大,带我入行,给了很多帮助)。
回家以后,凭着回忆,记录了一下考试时没把握的题、知识点,反思了一下。想来想去,还是自己太着急,盲目自信,然后没有仔细审题。既然没过,继续复习吧。考完会现场打一张纸,不通过会按照你对每个域的掌握情况(不好到好)排序,方便针对性学习。
虽然没过,周末还跑出去浪了两天,当时估计想着去庆祝吧。
痛定思痛,继续复习。由于CISSP要求首次失败后,需间隔1个月后再次参加考试;第二次没过,需间隔3个月。所以,当时计划9月处中旬完成考试,算算时间1个月半,应该差不多。
二刷1. 继续通读教材,之前已经在pdf版本中把各个章节知识点、错题对应的知识点做了标注,所以这一遍主要看标注的考点及错题知识点,对于不熟悉的知识点来回反复看(2-3遍),直到基本能记住。这一遍花了2周左右,每天晚上花1-2小时。
二刷2. 谷安的题已经做了,没办法,还是得做题,只好硬着头皮做官方英文版习题。每天做一个域的题,大概120题,做完就看英文解答(比较好的是有解释,谷安习题没有解释很头疼,很多题莫名其妙的)。刚开始做比较头疼,对英文有一种恐惧。做了20个题,渐入佳境,感觉还可以,不会太难懂,个别词汇查一下(建议查百度,词典查的反而不准确,有些是专有词汇)。我做完每个域的习题,2套模拟题(分4个test,4次做),大概花了两周时间。
官方习题和考试是比较相似的,有比较多的情景题,而且答案中有相应解释。一旦突破英文的这个坎儿,做完以后帮助比较大。
强烈推荐
二刷3. 看错题解释,手写笔记,主要是错题中比较模糊的知识点,方便考前针对性的复习。比如加密协议、AAA协议、远程认证、无线协议等,这种对比起来学习便于记忆。
个人觉得,这个还是比较有必要,否则考前在翻那么厚的书(电子版好几百页),效果不会太好。第一遍考,就没有做笔记,考前发现没啥可看的,也没得看。汗~~~
二刷4. 看完错题,准备约考试(9月中旬)。结果登录官网,发现最早的也要10月中了,本来计划9月底考完。没办法,约了10月中,中间有个国庆、中秋,刚好利用起来复习一下。
这一遍复习,对照脑图、大纲结构、错题笔记等,重点查漏补缺,对相似的知识点、概念进行对比记忆,反复翻书中对应讲解,甚至有些内容百度一些材料学习。
国庆假期后,最后几天翻了翻笔记,翻了翻错题。确实也看的烦了,一方面拖了比较久有点厌倦,一方面又担心再次考不过。
终于到了考试时间,考前一天请假,连着周末3天,认认真真复习了一遍。就这样了。
个人建议,仅供参考
准备充分,提前约考,毕竟考场有限,不那么容易约。
材料OSG中英文还是不错,配合官方习题有奇效。
多做题,做笔记是有必要的,“好记性不如烂笔头”,做了笔记然后有的放矢。
考试中做的不顺,可以考虑中场休息、吃吃喝喝一下,再继续奋战。
考试一定要带证件,两种(身份证、护照、信用卡好像都可以)。
考试中,遇到比较难懂的题,务必点开英文看一下,对做题非常有帮助。
考试时间绰绰有余,完全不用担心,花点时间思考是值得的。
最后,努力了一定有收获,感谢我的领导给予的帮助,感谢我家领导对我的支持、督促。
祝大家都一次通过。
福利(个人整理的学习资料):https://download.csdn.net/download/lanyef/10929616