0X00 引子
2016年9月2日,北京。
在经历了5小时30分钟的煎熬后,我在一台电脑上点击了“结束考试”的按钮,走出狭小的考试房。两位年轻的监考老师开始在她们的电脑上操作,一位起身去了打印机旁边,另一位告诉我可以收拾东西了,回去等邮箱里面的邮件通知吧。根据考友们的信息,一般通过考试的才会收到ISC2的邮件通知的,考试失败的会当场给一份成绩说明。果然,监考老师把打印好的成绩单递给了我,一句简单的“恭喜啊”让我悬着的心落地了。随之而来的好像没有预想中的兴奋,只是一种放松。
在努力了8个月之后,我终于通过了CISSP的考试。
记录一些经验,分享给仍然奋战在CISSP备考道路上的各位安全同行们。
0X01 证书简介
CISSP认证的简介,网上一大堆。我只多说以下几点:
- 截至2016年3月,中国大陆地区持有证书人数为1800人左右。
- CISSP目前在市面上没有题库可以背。ISC2对题库的保护非常严格,严禁通过考试后公开讨论试题。
- CISSP报考是有门槛要求的,通过考试后也必须提交安全行业的从业经历证明,才能拿到证书。
0X02 教材推荐
目前使用人数比较多的CISSP备考教材有以下几本,我逐个分析优劣。
- The Official (ISC)² Guide to the CISSP CBK。这是官方指定的教材。目前出到第四版。紧跟官方考试大纲。没有中文翻译版本,所以读起来会比较考验你的英文阅读能力。但这是我首推的一本书。官方教材还是更贴近考试一些。知识域的划分、概念的讲解都是比较原汁原味的,这对你考试时候理解考题的真实意图非常有帮助。这本书我是精读了一遍的,事实证明真心有用
- Shon Harris的All In One。目前英文版出了第七版,中文版出到第六版。这也是翻译成中文的唯一一本教材。第六版仍旧参考的是老版CBK的知识域结构,这是硬伤。考试大纲调整后重新调整了知识域的架构,考试的侧重点也完全不一样了。比如,物理环境安全一章,AIO讲了一大堆锁、视频监控的东西,其实考纲根本不关心这些细节。最新的第七版我在备考时略读了一遍,架构更合理了,可以作为备选教材。
- CISSP (ISC)² Certified Information Systems Security Professional Official Study Guide。最新版本是第七版。这本书很有意思,完全打散了考纲的架构,作者根据自己的理解重新组织成了21章。这本书我只是拿来做参考用的,行文风格比较口语化,不像CBK那么一板一眼的。不建议作为主力教材复习。
- Eleventh Hour CISSP Study Guide。这本书我也看了看,是大纲型的书籍,知识点不详细展开,整理了一下知识脉络而已。我在高铁上花了两个多小时看了一大半之后,就放弃了这本书。
建议以CBK为主,AIO为辅。CBK的英文看不懂的时候,翻翻AIO的翻译帮助理解记忆。
0X03 测试题选择
市面上现在找不到真题题库,只有各类模拟题。首推CBK课后的练习题,这些对加深记忆非常有用。另外,AIO随书光盘还有一千多道题,我到临考前都没做完。这些题考基础概念比较多,但实际考试中直来直去问概念的题非常少。所以这些题只能帮助你理解概念。
总之,不要期望你做过的模拟题会真的出现在考场上,理解本质最重要。
当你做AIO的题能达到80%的正确率的时候,是时候准备约考试啦!
0X04 有关辅导班
辅导班有用吗?我的经验是,辅导班最大的作用是帮助你梳理知识脉络,以过来人的角度告诉你哪些点可能考的比较多,哪些点出现在考试中的几率非常小。所以,别听他们吹嘘什么通过率90%+,但他们真的可以帮你节省复习时间。
0X05 CISSP的作用及其他
有人说,拿到了CISSP以后年薪可以上浮XX%。我觉得这是辅导班的宣传策略。有人说CISSP不考具体攻防技术,证书没用。我觉得这是唯技术论的一家之言。
备考这八个月,至少帮我梳理了一遍安全所有领域的知识点,扩宽了我的知识面。重新架构了对安全的全面理解,这是最重要的。
实现了2016年的第一个目标,心情还是很愉快的。
最后,住所有备考CISSP的同行们早日通过!
