一、引子
大约是在2016年下半年,听朋友提起CISSP:一个信息安全的认证,特点是“一英里宽,一英寸深。”—— 这是个什么鬼?CISSP激起了我的兴趣。经过网上搜索资料和学习,结合近些年来信息安全的发展趋势,我越发觉得应该给自己充充电了。
随后的2017,由于工作变动关系,竟没有抽出时间来认真学习。到了2018年上半年,在我老板的鼓励下,赶在PMP改版之前通过考试,觉得重拾放下多年的自学习惯好像也没那么痛苦。于是又花3个多月时间继续学习,终于在9月3日这天顺利通过CISSP考试。趁自己懒癌还没发作,赶紧记录下整个过程,希望能给仍在备战的各位考友一点帮助。
二、备考过程
· 教材
官方教材:CISSP CBK英文第四版。覆盖面没得说,1600多页的内容,看的时候感觉像是听老和尚在念经,枯燥乏味,昏昏欲睡,以至于好几次都想放弃。最终强迫自己完整地看了一遍,后面用它作其它教材的参考资料。
推荐教材:CISSP All-in-One Exam Guide英文第7版。著名的AIO,1300多页,CISSP考友中圣经一般的存在。我在某宝上花100多块买了一套影印版,认认真真地看了3遍,按照书中的知识体系结构画了思维导图帮助自己理解和记忆。跟CBK相比,AIO的作者行文朴实,生僻词汇不多,略微有一丢丢啰嗦,感觉像是一位老大妈恨不得把CBK里的东西挑有用的出来,掰开嚼碎再仔细梳理。估计由于篇幅限制,AIO并没有覆盖CBK里全部的内容,而且有些物理安全手段讲得很细,但其实无论是练习还是考试我都没有遇到。
简明教材:CISSP Study Guide英文第3版。这其实是我最早收集CISSP资料时找到的一本书,应该出版于2015年之后,也是它让我对CISSP产生了兴趣。该书以不足600页的篇幅,讲述了现在CISSP的8个知识域,覆盖范围可想而之。不过,每个知识域的重点在这本书中都有照顾到。所以此书可以作为回顾重点知识的快速指南使用。
· 学习计划
因为平常在办公室有工作任务需要完成,回家还有各种家务和辅导孩子作业,所以我并没有列出书面计划,只在心里对时间做了大致安排,例如:6月底看完CBK和AIO,7月底看完剩下两遍AIO和Study Guide,8月通过密集的练习查缺补漏。然后根据月度目标把任务分解成每周需要完成的章节,再根据晚上的时间安排进行调整。基本保证平均每天晚上有1.5到2小时的学习时间。
另外,今年有一个比较特殊的情况是世界杯。作为一个资深球迷,我的学习计划难免受到一些重要比赛的影响。所以在做计划的时候,还是要给自己留一些余量。毕竟世界杯4年1次,CISSP随时都可以考嘛。
· 习题集
众所周知,CISSP在网上没有题库。我所做的练习题来源有三部分:
AIO每一章后面的习题以及附录中的模拟测试。题目难度不大,纯概念题居多。AIO的练习题我反复做了三遍,每一遍都会把错在哪儿,正确项和干扰项是书中哪儿提到过标注出来,夯实自己对基础概念的掌握。
CISSP Official (ISC)2 Practice Tests,我在北京一哥们送我的,同时他还跟我分享了一些其它培训机构的习题,并且帮我联系了北京考点附近的住宿。我能这么顺利地通过考试,他的帮助功不可没。
这本习题集的编者建议读者先完成第一套完整的250道模拟测试题,评估自己对CISSP各知识域掌握的情况,查缺补漏之后,再按照1-8的顺序进行分知识域的练习。同样,根据练习结果对各知识域进行回顾后,才完成最后的第二套250道题模拟测试。
事实证明,编者的建议非常中肯。我在做第一遍的时候,没有仔细阅读编者的建议就从1-8一路做下来,结果发现自己对各知识域掌握情况从差到好的顺序是3,4,6,5,8,7,2,1。但是,由于我是按1-8的顺序完成各知识域习题,中间3,4,6的成绩曾让我一度怀疑自己的学习能力和学习效果。
由于这本习题是(ISC)2官方出品,所以绝大多数习题考核的知识点都能在CBK中找到。不过也有极个别例外情况,需要自己借助网络搜索来搞明白。
后面两遍练习我则按照编者的建议顺序来进行,对巩固已掌握知识点,发现自己的薄弱环节确实有效。
除了上述习题集外,一些著名培训机构的题目也具有不错的参考价值。不过,培训机构的题目翻译质量相当堪忧,而且有些没有英文原文可以借鉴,初读题干感觉不知所云,看了后面的选项才大概知道,啊,可能考察的是某某知识点。关于这一点,有过PMP备考经验的考友可能感受较深。
另外,培训机构的题目难度高于前面提到的两类习题,甚至比实际考试的题目难度还要高。所以那些偏题怪题,建议各位就不要花太多时间深究了。
总的来说,AIO的习题主要作用类似于填空题,以考察记忆基本概念为主;(ISC)2官方习题集用于检查自己能否结合场景选择运用基本概念,像是应用题;而培训机构的题目更多的是让各位考友对考试的难度有一个直观的认识,是更接近于实战的模拟题。无论哪种习题,各位尽量做到知其然也知其所以然,就算是万不得已要死记答案,也得在理解的基础上记忆,别只看了题干就反应A、B、C、D,却连A、B、C、D各自在说什么东西都不清楚。
三、考试准备
· 交通
由于成都还没有CISSP的考点,我选择了到朋友较多,自己也相对熟悉的北京去参加考试。北京考位于首都体育馆南路,日航世纪写字楼11层,距离北京西站大概地铁三站地。加之成都与北京之间的高铁也停靠在西站,所以我决定火车往返。
· 住宿
住宿安排我偷了个懒,直接拜托我在北京的哥们在附近帮忙找个住处,没啥别的要求,只要干净卫生,离考点近就行。哥们帮我安排的酒店距离考场所在的写字楼步行仅仅两分钟,真的是非常感谢他。
· 饮食
为了在周一考试能有一个好的状态,考试前一天的饮食我也比较注意,不碰生冷或者辛辣的食物。在酒店房间里复习也只喝开水或者瓶装水。毕竟,考试费加上来回路费和酒店住宿,得好几千块钱,还有100多天的辛苦用功,我可不想因为吃坏了肚子影响考试。
四、考试当天
· 到达考场
约考确认邮件通知考试于上午9点开始,我提前半小时到达考场所在的写字楼下,花了5,6分钟等电梯,到考场时工作人员已经在招呼大家赶紧进考场登记。
· 登记过程
登记过程很规范,考场工作人员确认考试科目,CISSP考试需要出示身份证+有个人签名的信用卡/身份证+驾照/身份证+护照(推荐程度按排序从高到低),阅读考场规则并签字确认,录双手掌纹,手机关机后和随身携带的所有物品(包括食物和水)一起存入储物柜,向工作人员展示衣兜和裤兜已经全部清空,工作人员讲解考室内注意事项后即可在工作人员的带领下进入考室。
· 考试过程
进入考室坐下,再次在电脑上确认自己的考试科目和个人信息,然后开始250道题,6个小时的征程。根据我备考期间做模拟题的状态,250道题我通常会在2小时或略多一点的时间内完成,所以我给自己安排的节奏是每做完50道题休息半分钟左右,做完150道题后,每25道题休息半分钟到1分钟,充分利用这6个小时。不过事实证明,越到后面想要掌握这种节奏越不容易。刚开始人比较兴奋,做题速度快,也觉得自己不需要休息,继续往后大概到120 – 150题之间开始感觉到有些疲劳,注意力不那么容易集中,做题速度随后急剧下降。接近200题时,自己想在考场睡一觉的心都有了。
我看了看时间,11点半,早餐吃的那点东西已经消耗得差不多了,于是举手示意考场工作人员申请休息。每次休息时间有十分钟,可以喝水吃东西上厕所,不能翻阅任何资料或者碰手机,也不能和其他在休息的其他考生交谈,而且整个休息区域都有音频和视频监控。我利用这段时间喝了罐红牛,吃了两根士力架,然后靠在椅背上闭目养神,大概7,8分钟后在考场工作人员带领下再次进入考室。
· 交卷离开
短暂休息之后,我感觉精力略有恢复,继续完成剩下的题目。然后把之前答题过程中标注出来不太有把握的题又认真回顾了一遍,修改了其中一些题的答案。然后数了数依然没把握的题目大概有23道左右。
尽人事听天命,我已经尽力了。—— 我在心里默默地对自己说,然后点下了提交按钮。屏幕上再次弹出一个对话框,让我确认是否提交答卷。开弓哪儿有回头箭,我再次狠狠地点下鼠标,几秒钟后,考试系统告诉我答卷已提交成功,让我退出考室。工作人员随后走进来领我离开考室,告知我到门口前台拿打印出来的考试结果。
从考室到考场前台大概10米的距离,前台工作人员正好是我进考场时给我登记的那位。他见我走出来,抬头看看墙上的挂钟,对我说道:“这么快?才3个多小时你就考完了?”我不由得一下子紧张起来,如果没过怎么办?这人可丢大了。一闪念间,他身旁的打印机吐出一张纸来,他拿起来递给我。我接过一看,“有条件通过……需要心理测量和司法评估”云云。我不禁懵了问道:“这是什么意思?到底是过了还是没过?”这位工作人员笑起来,对我说:“恭喜你,考试成绩已经合格,剩下的是一个评估流程。回去注意关注自己的邮箱,后续会有邮件通知你结果。但至少目前你考试的成绩已经合格了。”
路费,住宿费,考试费还有三个多月的辛苦,在这一刻,都值了。下楼,回酒店房间倒头呼呼大睡,再醒来时已经快下午6点。
五、一些心得
· 题目难度
考试题目难度基本和CISSP Official (ISC)2 Practice Tests习题集一致。或许是我运气好,没有遇到培训机构练习题中的偏题怪题。
· 题目翻译
我选择的是中文考试,但是翻译后的题目读起来有些晦涩拗口。好在答题界面上有一个链接,点一下系统会自动弹出一个小窗口显示题目的英文原文,以便中英文对照。我强烈建议各位在答题过程中,特别是觉得疲倦和注意力降低时,点开英文原文,一来有助于加强视觉刺激,集中精力读题;二来有助于回答某些题(言尽于此,不能说得再细了)。
· 多用标记功能
答题过程中无把握的题目尽量先标注出来,方便所有题目完成后回顾检查。运气好的话,在回答后面一些题的过程中,题干提供的信息恰好能够有助于解答前面某一道把握不大的题。所以,多用标记,回顾检查事半功倍。
· 时间安排
6个小时完成250道题,乍一看,平均一道题不到一分半钟的时间,好像很紧张。其实并不是所有的题都需要深思熟虑这么久。所以,考试时间绝对够用。觉得疲倦了一定要出来休息休息,喝点水,吃点东西,走动走动,尽量确保一个相对较好的答题状态。
· 难题应对
排除法。首先排除掉明显不靠谱的,剩下2到3个似乎都对的选项,想想如果自己是题干中涉及的信息安全从业者,在工作中遇到这样的问题,自己会怎么做。
归类法。四个选项中,有三个具有相同或者相近的特性,剩下的那一个就是咱们的答案。
听天由命法。毫无头绪的问题,三长一短选最短,三短一长选最长,长短相近挑AD。口诀是——蒙的全对。
六、考后证书申请
· 证书申请条件
考试通过后,可在9个月内申请证书。申请证书需要的学历和工作经验条件,考试通过后的通知邮件里的链接会有详细的描述。
· 找人背书
现行证书申请流程要求,必须有一位持有有效CISSP证书的专业人士,为申请人提供背书(endorsement)。各位可以通过同事,搜索LinkedIn,查找微信公众号(ISC2xx分会)等方式找到很多热心的CISSP大神,请他们为自己背书。如果确实找不到,也可以在申请证书时选择由ISC2提供背书的方式。
· 提交背书申请
背书申请可直接在ISC2官网上提交。各位用注册邮箱登录后,输入背书大神的姓和证书号码,然后按照后续页面要求填写自己的工作经历,注意一定要把工作内容和信息安全知识域联系起来,而且时间加起来要超过5年。填完简历后提交背书,帮你背书的CISSP会收到一封邮件通知。
· 等待审核及证书寄送
背书完成后,申请人的注册邮箱会收到一封标题为“Endorsements”的确认邮件,告知申请人ISC2已收到申请和背书资料,开始安排审核。请确保证书邮寄地址填写正确。审核预计需要6周时间,如果6周后还没有收到消息,请发邮件到某某邮箱等等。
耐心等待吧,最艰苦的时候已经过去,剩下的就是做好准备迎接证书。
七、尾声
感谢各位能够耐着性子看完这么多文字。衷心祝愿大家都能一次性通过考试,顺利拿到证书成为ISC2俱乐部的一员!
八、再次尾声
完全没有想到,这篇流水账一样的文章到那么多朋友的关注。有不少朋友私信我学习资料,一并贴在这里吧。
百度网盘链接:https://pan.baidu.com/s/11X2IjdL3rZayI-pbyZk7_Q,提取码: 8dv8
如果还有其它事宜需要协助,可以添加我的微信daniel008002,备注信息填写“简书”即可。
祝各位备考顺利,2020万事如意。