CISSP考试认证心得 – 作者:secguo-安全小百科

最近看到身边很多人在备考CISSP，作为一个拿证三年多的老司机，忍不住来分享一下考证心得。

先简单介绍一下自己，我是09年计算机相关专业毕业的，毕业之后一直做IT运维相关的事，5年多的时间，期间管机房、管设备、管网络、管系统到后面的管项目。差不多2012年开始接触等级保护，到后面信息安全工作逐渐变多，加上对信息安全的兴趣，也就把自己的发展重心偏向于信息安全。

2014年下半年报的谷安CISSP第五期保障班，2015年6月份通过的CISSP考试的，从学习到认证差不多1年的时间，到现在拿到证书也3年有余了，回想这一路历程，想从“入坑前”、备考中、认证后三个阶段和大家分享CISSP考试认证心得。

一、入坑前准备

那会儿调整自己的发展重心，初衷是想着有没有什么认证考试能够确认一下自己在这个领域的知识掌握情况。刚开始了解到的是CISP这个认证，由于之前工作是做IT运维，所以基本的一些安全知识还是了解一些，当时从网上下载的CISP题库，经过测试，发现很简单，对比一下自己的初衷，遂放弃了这个认证。后来差不多过了半个月才知道有CISSP这个认证的，国际认证，内容全面，还有很多没听说的概念和内容，心里想，这个应该就是我的目标了。

所以，我觉得入坑前，先了解下CISSP这个认证具体是什么，包含什么内容，再评估一下CISSP这个认证是不是就是自己的后期发展目标，现有的知识体系掌握与CISSP的差距情况等。如果都OK的话，那就入吧。

二、备考中阶段

缘分吧，认定CISSP这个目标后就找到了谷安。很感谢谷安张敏老师初期给我详细的介绍，还有备考阶段的辅导、解答。一周的现场教学与后期分阶段的视频远程教学，过程很快也很顺利。回想一下备考阶段，在下面几个方面做了比较多的准备工作：

1、平时的积累
如果先前是做IT或安全相关的工作，多少会在一些知识领域有所积累，要不然很多从零开始会比较累，也很难掌握透彻。备考中的积累，主要是方式方法上的一些注意。

首先是把CISSP认证放在心上，不要轻视。

其次，由于知识内容是分领域的，而且不同领域之间的关联度很低，所以针对不同领域多用思维导图的方式，一个领域包含哪些知识，一个知识再有哪些更细分的知识点，工作闲暇的时候看，坐地铁的时候看，一开始对着思维导图看，到后面就默想，随着时间的积累，脑袋里就能逐渐把整个知识结构建立起来。

2、知识点的消化
学习过程中多多少少会遇到先前不了解的知识点。比如我在学习过程中了解的访问控制模型，BLP、Biba等都是不知道的。

这种知识点的消化，首先是要记住，死记硬背，一次没记住就多记几次；其次是关联性的了解，因为仅仅靠背，时间长了总会忘记。关联性的了解，主要是围绕该知识点的来历、背景（出发点，解决什么问题等）、同类知识点的差异比较等方面；最后是场景化的应用，也就是在实际工作中，这个知识点是如何应用的。

上次有个同事问我，为什么访问控制列表相比访问能力表在访问权限传递的处理上要困难，理解这个问题，首先是理解访问控制列表和访问能力表，基于访问控制矩阵列的访问控制列表是每个客体附加可以访问它的主体明细表，基于访问控制矩阵行的访问能力表是每个主体附加可以访问的客体明细表。在访问权限传递上，比如咱们平时有使用OA系统，假如某员工A要出差了，就会提前进行代办设置，让员工B有权限处理A的一些工作流程，这个时候就存在访问权限传递的过程，如果通过访问能力来实现，就明细比通过访问控制列表实现要容易。

三、认证后阶段

当时知道通过考试后，心情肯定是喜悦的。但很长的一段时间，不知道下一个目标是啥了，甚至有些迷茫。这几年断断续续和一些通过考试的同行、同事交流，也有不少人会有这样的心理历程。

我觉得也很正常，长时间的备考，目标很明确，这个时候通过考试，拿到了业界认可的认证，这种“解脱”后的心里状态自然会有很大的变化。

回想自己拿到认证后，从IT运维转向安全的岗位，跌摸滚爬的这几年，逐步的发现安全涉及的知识真的很多很多，想南北通吃几乎不可能，即使在某一领域有深刻的理解也能很好的立足。

所以，我觉得通过认证后，首先需要及时调整自己的心态，这仅仅是对自己所掌握知识的一个确认，获取这个认证也仅仅是安全领域的一个入门和敲门砖，逐步让自己保持一个平常心；其次，在尽可能短的时间内确定自己往后的职业发展方向，特别是方向会发生变化的情况下；最后，在发展方向上，保持不断地学习，保持思考的广度和深度，保持理论和实际应用的结合。

欢迎一起交流