自考CISSP经历感悟

一、先说考试

    考试实际体验内容偏安全意识和安全管理对安全技术细节不会深入，比如搞技术的要么0要么1答案是唯一的，但实际考试大约80%以上是各种业务场景遇到安全问你如何选择？答案可能不是唯一，需要通过四个选项找出最佳的，基于出题人对答案的设计不同考点不一样。这里深刻体会到看书理解各项内容重要性、切记不要死记硬背、理解为什么是这样的，为什么这样是安全的，把知识点放入场景里。

      实际备考对安全工程、加解密、安全事件响应、各种模型和成熟度进行了扩展的学习，但考试过过程中考的很少，记的几题：TPM、数字签名、移动端病毒防护、API机密性、电路防火墙、biba完整性和另一个机密性模型等。这每一块技术实现和细节都很多，比如安全事件检测里有很多方法工具，fw、soc、siem、hids、xdr、密网蜜罐等，这些如果要考细节会很多很杂，书上只对fw的发展和各种类型有介绍其他的没有。建议看这些技术类型考点多理解原理和使用场景，不用死记参数，如各类加密秘钥长度、分组大小、各种无线细节参数等这个度需要自己掌控。

      各知识点区别需要考虑，如考题中很多2选一的时候让人很纠结，如风险评估与业务影响评估、网络钓鱼与诱惑攻击、渗透测试与漏洞管理等有的知识内容相似，在场景里需2选一。对于2选一的我的理解需要考虑：实现成本、安全左移、最需要解决的（如要保护api中数据机密性，答案有鉴权和stl，要选鉴权因为可以通过数据本身加密防止中间人劫持但没有鉴权只有slt数据可以被未授权访问，即是泄露破坏了机密性）

    考题侧重，考安全管理、概念区分、安全风险场景下实践和固定的知识点内容。固定知识点内容不多感觉不到15%（也可能和抽的题有关）。建议关注非技术题型，理解为什么是这样定义，先后顺序，哪个最重要。搞技术可能往往更关注技术细节但我觉的考题不是，考题考应用的场景和解决的问题。

      考题翻译问题，还是挺多的，大概有10题左右，翻译不准确或者程序bug答案里有"宋体"提示，宋体是翻译软件选择的中文格式，对用户应该透明不应该提示。如有英文基础遇到难理解的可以看考题翻译，我很low的英文，在考试过程中看翻译自认为选对了2题。

      考试时间，6小时360分钟，250道题，可以用二分法180分钟搞定125题的策略控制速度，不用提前太久完成考试不能回退修改答案。中间可以休息（卫生间、喝水、吃东西）单次不超过10min。

      考场，北京考场是北京新世纪饭店的写字楼，是两顿楼注意区分，最好提前踩点避免考试当日找不到，需要提前30分钟到，可以提前开始考试，我提前15分钟。

二、自学备考

      看书osg和all in one都建议读（就本次考试osg就可以），osg对信息安全分类清晰和概念介绍，all in one 侧重为什么这样定义进行知识引导和包括技术细节（如单点登录sso集中身份管理和联合身份管理saml比osg讲解到位），辅助理解知识，可以作为osg补充书，从中查漏补缺和加深理解。毕竟考试是个结果，真正的好处是武装自身，提升自身的安全思维和技术积累。

      做笔记与考试大纲联动，记录各个知识点，看考试大纲也能能对知识有个系统整理，从架构发散的各个知识点的细节，就好像是一颗树一样的理解和学习。

      做题，网上200元的题很多，我做了微信号是CISSP Learning的题，个人感觉比较直观但与真实考试比安全管理的题占比不多。做题最重要的是知道为什么？为什么是对的为什么是最佳的。

三、报班or自学

      报班参加考试or自学考试，每个人考试都有侧重点，有人急需证书、还有不着急要证和全面学习信息安全。 根据自己情况选择。如果需要快速拿证报班、培训老师有考试和考题研究经验，少走弯路。我选的自考，我考过的感受与考前准备认为的考试是不一样的。我的自考体验是一个增补安全知识的过程，涉及各大领域的知识点，作为搞技术的更偏技术储备，各类技术细节和原理有的背记了，这个过程慢需要自己摸索，占用了好多个周末美好时光。但为了围绕考试需抓住考试大纲，每个考点的内容进行补充和理解。

四、对cissp考试建议

      增加考试技术实践，不然慢慢可能会与企业安全需求脱轨，脱离企业实际的安全实践。就我而言实际内容对安全选择和思考确实有帮助，但对实操帮助不够如安全事件处理，需要及时排查并应急止损，具体如何处理？

      总结，我的理解cissp是"一寸深八面宽"，纵向不会面面深入刨析和指导怎么做，横向很宽可以看到信息安全涉及的方方面面，从底层基础设施到各类应用、各类技术协议、各种场景下的技术实现和对应风险，选择对应的安全管理、业务发展（连续性、稳定性）和安全评估等来保护资产安全。 

注：仅个人看法，共勉加油。