· 网络安全全国
收起
cissp考试分享
2018年10月,在折腾了半年之久后,终于通过了CISSP考试,后续按要求提交申请进行背书,调查没问题就可以收到认证了。思来想去,简单写个总结,作为半年备考的终点,同时希望能够给准备考试的同学提供一些帮助。
关于教材:OSG第七版中文版,AIO英文版,谷安培训练习题(基于第六版教材),cissp-official-isc-practice-tests,谷安培训PPT串讲
OSG中文版,翻译质量一边,有比较多概念看中文很难理解。不过整体来说,英文不好的话看看中文,不清晰的地方在对照英文看,会好一些。不过我也没看英文材料,很遗憾。
AIO英文材料,没看,不评论。
XX培训练习题,由于是基于第六版教材的练习题,比较多内容在第七版是被删减了,而且知识体系结构与第七版也有区别。如果有较新的练习题,不建议做了。
cissp-official-isc-practice-tests,强烈推荐。官方习题最接近考试,作为不足知识点的检测非常有帮助。英文虽然起初觉得难一些,但是做一下试试,不会觉得难,习惯了就好了。总共应该有1300+习题,包括每个域100+习题和2套模拟题。
谷安培训PPT串讲,这个是精要串讲视频,从大的纲领帮你梳理一下知识结构及知识点,总共大致10小时(具体也没算)的视频。考试前我花时间看了下,有些概念讲师会举一些例子帮助理解,这个比较好。毕竟看教材主要还是枯涩的知识点。
关于考试:
考试360分钟,250题,50个做调查的题(不计分,具体哪些不知道)。
考试带2个有效证件,我带的身份证、护照。
考试时间肯定够,不用担心。我第一次考试花了4小时完成,检查2遍,不到5小时就交卷了(没过,对),第二次考试坐满6小时,不过4小时半就昨晚题目,检查到时间结束。
考试中遇到不太清晰的题目,可以做标记,最后昨晚所有题可以检查标记题目、检查未完成(没填写的)、检查所有题目选项,标记还是比较好用。
由于考试时间比较长,中途可以出来休息、吃喝,带点干粮是必要的,我当时带了2个士力架、一瓶咖啡,中途出来补给了两次。
关于考题:
考试没有原题,没有原题,没有原题(说三遍)。所以不要幻想去找真题了,没用的,如果有人告诉你有真题,肯定是骗子。我唯一在考前看过而且考试中遇到的题就一个,硬件、软件、内核哪个漏洞比较难以挖掘。毕竟考试费不便宜,ISC找人出出题很容易。
考题有情景题(我遇到5个不到)、连线题(我遇到5个左右),不会有太多直接问概念的题目,多是最好方案、最有效的、最高的、最佳的类似,需要认真审题后想一想在作答。
所以,花时间看书、做题,掌握不好的知识点重复看。
关于培训:
我报了谷安的培训(不便宜,不过公司给报销了,感谢我的领导),在北京有现场授课,其他地点都是远程视频授课。5天培训课程,讲师对照谷安的培训PPT比较快速的讲解每个域。由于我只能周末参加,无法连续5天上课,所以去了两次,5天培训课程没听全(差了3天不到),后面也就没参加了,自己看书为主。
培训对我的帮助不算很大,关键还是自己看书学习。唯一比较好的就是有机会可以和讲师、同期学员多个交流机会,对于知识点理解比较有帮助。
毕竟培训不便宜。
关于范围:
All in One 里面有一句非常贴切,“an inch deep and a mile wide”(捂脸哭)。第七版8个domain,覆盖信息安全方方面面,但是每个点都讲解一点皮毛,不会很深入。所以知识点真的真的真的非常多,这也是CISSP考试的难点,同时也是含金量所在。
对于这个问题,不用很担心。既然决定要考,认证复习即可,何况5年工作经验(CISSP认证要求5年安全工作经验)多少都会接触到2-3个域。比如我,在应用安全、渗透、代码比较熟悉,已经覆盖到安全工程架构、安全评估和测试、安全开发等多个域,在配合教材学习,基本可以很快掌握。另外,总共250题8个域,平均每个域也就30题左右(具体比例参考考试大纲,虽然大纲给的比例也不一定准确)。
另外,教材中有些比较老的东西,确实如培训时讲师所说,不会考。比如Kerbose、桔皮书、彩虹系列、Safe Habour等,我考试中没遇到相关题目。但是,对于GDPR、CC,的确是遇到了。鉴于操守,就不具体说遇到哪些题了。
