经验分享 | 在通往CISSP的路上，砥砺前行 – 作者:spl96521

在谷安学院报了CISSP培训，通过考试、顺利拿到证书有段时间了，但是备考CISSP的那段过程还历历在目，下面说说我的感受、经验和教训吧。

一、犹豫和彷徨阶段

相信大家在考与不考之间，也会思考一段时间。其实，从我的经历来看，如果想长久的从事安全领域的职业和岗位，那么这段彷徨的时间越短越好，当然一定要做好充分的心理准备（积极心态）和生理准备（身体健康）。如果自己动力不足，可以考虑报个培训班，毕竟CISSP还是很耗费精力。当然，如果有通过了CISSP的“老专家”，可以让他们讲讲经验和教训更好。

二、预习与准备阶段

我是先找CISSP最新的考试大纲，看看讲述的内容。我是看了几遍，发现有好多都是大学的时候就学过的，比如网络章节，加解密等等，这样做到心中有数。

1. 关于教材

学习CISSP需要一本核心的教材，我为了能够加快学习进度，报了辅导班，一般会他们会发有针对性的教材。从我的经验来看，All In One (以下简称为AIO) 第6版和第7版是讲的最透彻、最全面的书。当然，如果你觉得自己基础好，可以看OSG（Official Study Guide）,这本书，个人觉得这本书讲的言简意赅，不是那么透彻。

2. 关于中文还是英文

如果英文好的人，可以直接看英文的AIO、OSG和CBK。但是如果安全领域的知识严重不足的话，还是建议先看中文，有助于理解。然后对照英文版本，做一下理解的增强。像我就是看了2遍AIO中文版（第六版），在考试前一个月，买了一本AIO 第七版，主要把第六版中没有的仔细看了一下，比如移动安全、工控安全、云安全等。

3. 关于辅导班

如果觉得自己有实力，有动力，可以不报班，边工作边学习，有时候也觉得可能是一种快乐。但是如果是安全的新人或者学习容易“走神”的人来说，报个班是个不错的选择。

辅导班的学习，可以作为激发自己的一种动力。对于我们上班族来说，连续上5天的面授课程下来，还是很疲惫的。其实，后续的复习和巩固才是最重要的。这段时间因人而异，如果考过CISA或是CISP的人来说，可能相对快一些。不过我一上来，就直奔CISSP，感觉有些难度。

三、复习与巩固阶段

复习是需要时间和精力的，此时“坚持就是胜利”。

1. 纸质的和电子的教材相互结合

看完1000多页的教材，说实话不是一件容易的事情。有的同学就把书拆成一章一章的，我倒是没有拆开，因为有些知识是相关的，比如BCP，在2个章节都有。另外，多使用提供搜索功能的电子版AIO（网上可以搜到），我遇到一个知识点没搞懂，就查关键字，比翻书找快很多，提高一些效率。

2. 论计划的重要性

做好计划，先预定个大致的时间计划。不过我在看第2遍教材之前，一点底都没有，平时做题的准确率也就60%多一点。

我是按照每个章节多长时间看完，做计划。不过经常随时调整，有时候1天看60多页，有的时候状态不好，就看得少很多。还有就是我第一遍从头开始看，第二遍就从后往前看。有时候，以章节为单位，穿插着看。还有就是先找会的，或者感兴趣的章节看。但是像密码学，几乎都是记忆的内容，那些比较枯燥的，就得静下心来，仔细看。

另外，把每一章节通过思维导图把知识点列出来，我就是一遍书和习题下来，出来了一份《每章节知识点总结》。

3. 论做题的重要性

CISSP讲究知识的广度，所以有的题目就是知道就能做对，不知道就可能做不对。这种题目还是有一定比例。

CISSP做题虽然不需要10000小时定律，但是一般要做至少在2000道题以上。

每个章节习题加上模拟题（至少4套）。我把容易错的题目，整理了一份《CISSP 错题汇总》。

4. 关于英文缩写

最好整理一下英文的缩写和全文的对应关系，这样不至于混淆。比如

1. CAPTCHA（验证码）

四、冲刺与达标阶段

到了最后阶段，就把每章节的错题（尤其是错了2次的题目）重点看，加深理解。

1. 关于实战

官方给出的考试各章节的试题比例（根据2018年4月新大纲整理）：

考试前，找了一套250道题的纯英文试卷（完全没有做过的，中文试卷我没有找到），做了一遍。花了5个小时，真真切切地感受一下250题怎么“熬”过来。记得当时做到200题的时候，就头晕目眩，休息5-10分钟，继续做完250道题。这套题做下来，也就67%左右的准确率，心理还是很忐忑的，毕竟过1周就要考试了。

这套题做下来，我总结为几个原因：

l 题干没完全看懂

l 纯法律题目有10来道题

l 没有完全适应连续5小时做题的节奏

2. 熟悉考场及相关纪律

考试前，最好研究一下考场的纪律，屏幕显示是啥样的，是否有中英文，英文是弹框的，不像平时中英文都是对照在一起的等等。下面这幅图是我考试前一周根据考过的人回忆画的，至少不会现场研究怎么样机考答题：

如果有条件的话，最好到考场踩点，因为当天匆匆忙忙去考试，如果找不到考场，就可能非常紧张，容易考不出真实水平。我当时是从深圳坐动车去广州考试，我只能前一天去，顺便看看从住处到考场需要多长时间，需要提前多久出发等等。

另外，考试是允许带食物和饮料，但是不要想着出来多长时间吃东西，喝水。连上厕所都是算在6个小时以内，关键是进出很麻烦，要验证所有口袋是否有东西，进出考场都要按掌纹，很耽误时间。另外，出去上厕所，监考老师要给你锁屏，回来需要输入密码才能解锁，我那次就是老师输错密码了，等了差不多3分钟，才报出密码错误，当时吓了我一大跳，我还以为死机了，我的题目也没有提交，会不会整个作废了（不过看网上的攻略说，即使死机了，答案也不会丢）。

不过，上厕所，洗洗脸，清醒一下是有必要的。我是在100题的时候，出去的，当时感觉脑袋有点木，思考缓慢了，就果断举手出去清醒清醒了。

五、考试经验（教训）和技巧

1. 选择最佳答案

题干中一般会强调，选择最可能的，最关注的，最有效的，但是有些是没有明确的，那也是选择最佳答案

2. 每道题都要看一下中英文

这是避免有些翻译不准确，可能会引起对题干和选项的误解，还是参考一下英文原文有助于正确理解题意，比如:

• 删除（Erasing）
• 清除/消除（Clearing）
• 根除（Purging）

还有：

• WEP: Wired Equivalent Privacy的简称，有线等效保密（WEP）协议
• WPA全名为Wi-Fi Protected Access，有WPA和WPA2两个标准
• WAP无线应用通讯协议
• NDA （Non Disclosure Agreement）保密协议
• AUP: 可接受使用策略（Acceptable Use Policy）是指这些网络能够被谁使用的约束策略。

以上只是列举，仅供参考。

3. 每一道题的题干最好读2遍

我就是这样做的，这样可以加深对题干的理解，如果题干没看全或者理解错了，选项十有八九就是错的了

4. 一定从安全工程师角度思考

CISSP 是信息安全工程师认证，那么有些选项从不同角度看上去都是对的，关键是从安全工程师的角度看，应该怎样做。比如XX系统感染了病毒，对于安全工程师就要直接隔离系统，对于审计工程师，就需要立即报告给管理层，就类似的题目吧，还是从安全工程师的视角选择正确答案。

5. 从出题者的角度，揣摩想要考察的知识点

认证考试和实际情况存在一些偏差，这时候，需要考虑出题者的意图，比如考察PKI认证体系还是加密更好等等。考试时间是足够的，题目都似曾相识，但是具有迷惑性。有25道题不算分，另外，每道题的具体分值也不清楚，所以不要掉以轻心。

6. 充分利用排除法

考试的时候，要充分利用排除法，把“打酱油”的干扰选项排除掉，提高正确的概率，如果实在不确定，先蒙一个最可能的，做好标记，可以回看。

7. 切记：相信第一印象

有的同学，回来检查的时候，大量的修改，可能适得其反。这时候相信第一感觉，除非90%的把握，是之前漏看了关键信息，导致误选，否则不能轻易修改。

六、后记

作为一个40+的职场老兵、安全新人来说，也算是重新经历了一把CISSP的考验，经过6个月左右的时间，顺利拿到CISSP的证书。CISSP背书的过程，不再这里赘述。

最后，感谢谷安学院在课程上的精心安排，为授课讲师的专业点赞，还要特别感谢谷安老师们的售前售后服务，也预祝每个学习CISSP的人通过努力，如愿以偿，顺利通过CISSP考试！

PS：我是谷安公司培训顾问李晓帅，以上是我们谷安学院学员真实的备考经历，供大家备考参考：谷安学院拥有诸多网络安全和IT风险管理类培训课程，包含 CISA、CISP、CISSP、Security+、CCSK、PRINCE2、ITIL、Cobit、ISO27001等等，大家有相关的问题可以和我联系（号码也是微信）：壹叁陆柒壹叁贰柒陆陆捌 ！

来源：freebuf.com 2021-05-20 10:34:32 by: spl96521