在谷安学院报了CISSP培训,通过考试、顺利拿到证书有段时间了,但是备考CISSP的那段过程还历历在目,下面说说我的感受、经验和教训吧。
一、犹豫和彷徨阶段
相信大家在考与不考之间,也会思考一段时间。其实,从我的经历来看,如果想长久的从事安全领域的职业和岗位,那么这段彷徨的时间越短越好,当然一定要做好充分的心理准备(积极心态)和生理准备(身体健康)。如果自己动力不足,可以考虑报个培训班,毕竟CISSP还是很耗费精力。当然,如果有通过了CISSP的“老专家”,可以让他们讲讲经验和教训更好。
二、预习与准备阶段
我是先找CISSP最新的考试大纲,看看讲述的内容。我是看了几遍,发现有好多都是大学的时候就学过的,比如网络章节,加解密等等,这样做到心中有数。
- 关于教材
学习CISSP需要一本核心的教材,我为了能够加快学习进度,报了辅导班,一般会他们会发有针对性的教材。从我的经验来看,All In One (以下简称为AIO) 第6版和第7版是讲的最透彻、最全面的书。当然,如果你觉得自己基础好,可以看OSG(Official Study Guide),这本书,个人觉得这本书讲的言简意赅,不是那么透彻。
- 关于中文还是英文
如果英文好的人,可以直接看英文的AIO、OSG和CBK。但是如果安全领域的知识严重不足的话,还是建议先看中文,有助于理解。然后对照英文版本,做一下理解的增强。像我就是看了2遍AIO中文版(第六版),在考试前一个月,买了一本AIO 第七版,主要把第六版中没有的仔细看了一下,比如移动安全、工控安全、云安全等。
- 关于辅导班
如果觉得自己有实力,有动力,可以不报班,边工作边学习,有时候也觉得可能是一种快乐。但是如果是安全的新人或者学习容易“走神”的人来说,报个班是个不错的选择。
辅导班的学习,可以作为激发自己的一种动力。对于我们上班族来说,连续上5天的面授课程下来,还是很疲惫的。其实,后续的复习和巩固才是最重要的。这段时间因人而异,如果考过CISA或是CISP的人来说,可能相对快一些。不过我一上来,就直奔CISSP,感觉有些难度。
三、复习与巩固阶段
复习是需要时间和精力的,此时“坚持就是胜利”。
- 纸质的和电子的教材相互结合
看完1000多页的教材,说实话不是一件容易的事情。有的同学就把书拆成一章一章的,我倒是没有拆开,因为有些知识是相关的,比如BCP,在2个章节都有。另外,多使用提供搜索功能的电子版AIO(网上可以搜到),我遇到一个知识点没搞懂,就查关键字,比翻书找快很多,提高一些效率。
- 论计划的重要性
做好计划,先预定个大致的时间计划。不过我在看第2遍教材之前,一点底都没有,平时做题的准确率也就60%多一点。
我是按照每个章节多长时间看完,做计划。不过经常随时调整,有时候1天看60多页,有的时候状态不好,就看得少很多。还有就是我第一遍从头开始看,第二遍就从后往前看。有时候,以章节为单位,穿插着看。还有就是先找会的,或者感兴趣的章节看。但是像密码学,几乎都是记忆的内容,那些比较枯燥的,就得静下心来,仔细看。
另外,把每一章节通过思维导图把知识点列出来,我就是一遍书和习题下来,出来了一份《每章节知识点总结》。
- 论做题的重要性
CISSP讲究知识的广度,所以有的题目就是知道就能做对,不知道就可能做不对。这种题目还是有一定比例。
CISSP做题虽然不需要10000小时定律,但是一般要做至少在2000道题以上。
每个章节习题加上模拟题(至少4套)。我把容易错的题目,整理了一份《CISSP 错题汇总》。
- 关于英文缩写
最好整理一下英文的缩写和全文的对应关系,这样不至于混淆。比如
- CAPTCHA(验证码)
四、冲刺与达标阶段
到了最后阶段,就把每章节的错题(尤其是错了2次的题目)重点看,加深理解。
- 关于实战
官方给出的考试各章节的试题比例(根据2018年4月新大纲整理):
考试前,找了一套250道题的纯英文试卷(完全没有做过的,中文试卷我没有找到),做了一遍。花了5个小时,真真切切地感受一下250题怎么“熬”过来。记得当时做到200题的时候,就头晕目眩,休息5-10分钟,继续做完250道题。这套题做下来,也就67%左右的准确率,心理还是很忐忑的,毕竟过1周就要考试了。
这套题做下来,我总结为几个原因:
l 题干没完全看懂
l 纯法律题目有10来道题
l 没有完全适应连续5小时做题的节奏
- 熟悉考场及相关纪律
考试前,最好研究一下考场的纪律,屏幕显示是啥样的,是否有中英文,英文是弹框的,不像平时中英文都是对照在一起的等等。下面这幅图是我考试前一周根据考过的人回忆画的,至少不会现场研究怎么样机考答题:
如果有条件的话,最好到考场踩点,因为当天匆匆忙忙去考试,如果找不到考场,就可能非常紧张,容易考不出真实水平。我当时是从深圳坐动车去广州考试,我只能前一天去,顺便看看从住处到考场需要多长时间,需要提前多久出发等等。
另外,考试是允许带食物和饮料,但是不要想着出来多长时间吃东西,喝水。连上厕所都是算在6个小时以内,关键是进出很麻烦,要验证所有口袋是否有东西,进出考场都要按掌纹,很耽误时间。另外,出去上厕所,监考老师要给你锁屏,回来需要输入密码才能解锁,我那次就是老师输错密码了,等了差不多3分钟,才报出密码错误,当时吓了我一大跳,我还以为死机了,我的题目也没有提交,会不会整个作废了(不过看网上的攻略说,即使死机了,答案也不会丢)。
不过,上厕所,洗洗脸,清醒一下是有必要的。我是在100题的时候,出去的,当时感觉脑袋有点木,思考缓慢了,就果断举手出去清醒清醒了。
五、考试经验(教训)和技巧
- 选择最佳答案
题干中一般会强调,选择最可能的,最关注的,最有效的,但是有些是没有明确的,那也是选择最佳答案
- 每道题都要看一下中英文
这是避免有些翻译不准确,可能会引起对题干和选项的误解,还是参考一下英文原文有助于正确理解题意,比如:
- 删除(Erasing)
- 清除/消除(Clearing)
- 根除(Purging)
还有:
- WEP: Wired Equivalent Privacy的简称,有线等效保密(WEP)协议
- WPA全名为Wi-Fi Protected Access,有WPA和WPA2两个标准
- WAP无线应用通讯协议
- NDA (Non Disclosure Agreement)保密协议
- AUP: 可接受使用策略(Acceptable Use Policy)是指这些网络能够被谁使用的约束策略。
以上只是列举,仅供参考。
- 每一道题的题干最好读2遍
我就是这样做的,这样可以加深对题干的理解,如果题干没看全或者理解错了,选项十有八九就是错的了
- 一定从安全工程师角度思考
CISSP 是信息安全工程师认证,那么有些选项从不同角度看上去都是对的,关键是从安全工程师的角度看,应该怎样做。比如XX系统感染了病毒,对于安全工程师就要直接隔离系统,对于审计工程师,就需要立即报告给管理层,就类似的题目吧,还是从安全工程师的视角选择正确答案。
- 从出题者的角度,揣摩想要考察的知识点
认证考试和实际情况存在一些偏差,这时候,需要考虑出题者的意图,比如考察PKI认证体系还是加密更好等等。考试时间是足够的,题目都似曾相识,但是具有迷惑性。有25道题不算分,另外,每道题的具体分值也不清楚,所以不要掉以轻心。
- 充分利用排除法
考试的时候,要充分利用排除法,把“打酱油”的干扰选项排除掉,提高正确的概率,如果实在不确定,先蒙一个最可能的,做好标记,可以回看。
- 切记:相信第一印象
有的同学,回来检查的时候,大量的修改,可能适得其反。这时候相信第一感觉,除非90%的把握,是之前漏看了关键信息,导致误选,否则不能轻易修改。
六、后记
作为一个40+的职场老兵、安全新人来说,也算是重新经历了一把CISSP的考验,经过6个月左右的时间,顺利拿到CISSP的证书。CISSP背书的过程,不再这里赘述。
最后,感谢谷安学院在课程上的精心安排,为授课讲师的专业点赞,还要特别感谢谷安老师们的售前售后服务,也预祝每个学习CISSP的人通过努力,如愿以偿,顺利通过CISSP考试!
PS:我是谷安公司培训顾问李晓帅,以上是我们谷安学院学员真实的备考经历,供大家备考参考:谷安学院拥有诸多网络安全和IT风险管理类培训课程,包含 CISA、CISP、CISSP、Security+、CCSK、PRINCE2、ITIL、Cobit、ISO27001等等,大家有相关的问题可以和我联系(号码也是微信):壹叁陆柒壹叁贰柒陆陆捌 !
来源:freebuf.com 2021-05-20 10:34:32 by: spl96521
请登录后发表评论
注册