最近有不少朋友諮詢我考CISSP的經歷,所以做個總結分享。正好2020年準備多寫點東西,對自己有更多的積累和總結,對他人也希望能有所分享和幫助。僅以此文開始我的個人公眾號 米迦勒兵團,歡迎關注,不定期更新分享一些安全與技術相關的經歷和感想。
1.關於CISSP與CISP
CISSP 英文全稱:「 Certified Information Systems Security Professional」,中文全稱:「(ISC)²註冊信息系統安全師」,由(ISC)²組織和管理,是目前全球範圍內最權威,最專業,最系統的信息安全認證。國內也有一個相似的認證CISP,「註冊信息安全專家」,英文全稱為「 Certified Information Security Professional」,是中國信息安全測評中心實施的國家認證,系國家對信息安全人員資質的最高認可。CISP是強制培訓的。如果想參加CISP考試,必須要求出具授權培訓機構的培訓合格證明。根據個人發展規劃,我選擇了從CISSP開始下手。
2.關於考試
CISSP有8大知識領域CBK,分別是:
* 安全與風險管理 (安全、風險、合規、法律、法規、業務連續性)
* 資產安全 (保護資產的安全性)
* 安全工程 (安全工程與管理)
* 通信與網絡安全 (設計和保護網絡安全)
* 身份與訪問管理 (訪問控制和身份管理)
* 安全評估與測試 (設計、執行和分析安全測試)
* 安全運營 (基本概念、調查、事件管理、災難恢復)
* 軟體開發安全 (理解、應用、和實施軟體安全)
CISSP中文考試250道單選題,考試時間6小時,總分1000分,其中有25題僅做研究不記分(考生並不知道是哪25題),700分以上通過考試。英文是自適應考試,根據你的答題情況,調整出題難度,題目在100-150左右,時間是4小時。根據母語,我選擇中文考試,實際考試中,中文的翻譯很爛,可以點擊按鈕查看原文,更有助於理解題意。
考試報名是在Pearson考試中心,中國大陸只有北京、上海、廣州三個地方有考點,在線報名699美金,考試時間應該每周都有,我報名的時候只有上午8點開始的可以選擇。
3.認證與維持證書
CISSP考試通過後的9個月內,滿5年帶薪全職安全工作經驗(至少4年+學歷)可以申請CISSP認證,需要一名CISSP持證者背書,安全工作經驗選擇性抽查。工作經驗不滿足的可以先申請ISC2準會員,等滿足經驗後再申請認證。每三年需要進行再認證以保持證書有效性,包括每三年累積獲得120個持續專業教育(CPE)學分和每年支付125美元的年費。學分主要靠參加安全相關的會議、活動、寫作、學習等獲取,基本持續在安全行業的話,學分沒有問題的。來源於ISC2官方數據,截止2020.1.1,全球共有142112人持證,其中中國大陸2870人,中國香港1827人,絕大部分在美國(90514)。
4.備考資料
CISSP考試大綱(2018年4月);
《CISSP官方學習指南(第七版)》,Official Study Guide簡稱OSG,最新第八版;
《CISSP認證考試指南All in One(第七版)》,簡稱AIO;
《CISSP Official(ISC)2 Practice Tests(第二版)》;
AIO在線考試題庫(支持Windows系統安裝,英文題,可以選擇單個CBK或者綜合模擬,答題界面和實際考試比較類似);
AIO第七版分章節思維導圖;
關注公眾號 「米迦勒兵團」 回復 「cissp資料」 即可獲取下載連結,以上我複習實際用到的材料電子版全在「FC用過的20191204整理」文件夾下,其他資料為網上搜集匯總的一些培訓視頻、錄音等,我自己沒有用上,希望對你們有所幫助。
5.備考之路
最初是看到公司內部好多安全專家的名片和郵件籤名檔標註著CISSP,才了解到這個證書。又有我的師兄tinyfisher,考過了cissp,還把各種複習材料都留給了我(感激)。2019年元旦立了Flag,年底前一定要把CISSP過了。最初制定的計劃很簡單,就是先看一遍資料中提到的OSG,然後刷題,大概10月左右考試,這樣考試有效期9個月,可以在2020.4月初滿4年工作經驗直接申請證書,免去了先申請準會員再申請正式證書的過程。然而因為工作性質經常要出差,OSG的書又很厚,所以經常不帶,如此斷斷續續出差,19年7月終於看完了第一遍OSG,但是每一章課後20題的習題正確率並不高。對於安全運營、身份與訪問管理、應用安全之類的因為與實際工作相關,準確率相對高一些,安全管理、合規等方面相對偏弱。19年7月-9月完成了第二遍OSG刷書,這一次,針對書本知識點配合思維導圖做了梳理,方便理解掌握,尤其加強了對薄弱知識點的舉一反三。十一國慶長假,我加了幾天個人年假,延長到了10天,除去中間和家人一同出遊,預留出來8天集中刷官方習題集,每天刷一個領域的100道題,刷完題整理錯題,查漏補缺知識點。刷完8個CBK的題,準確率基本在70%到80%之間。基本有信心開始報名了。預約了最早的考試,12.3早上8點。考前兩個月,為了提高準確率,開始刷AIO的課後習題,但是刷題過程中發現不少知識點OSG中沒有,對著考試大綱,又刷了一遍AIO的書,下載了AIO的在線題庫開始刷題。另外,感謝Lotus幫我申請到了一個銘學在線做題培訓平臺的帳戶,裡面有單個CBK的題和幾套綜合模擬題,基本是AIO和官方習題集的中文翻譯版,之前我十一長假刷的官方習題集是英文版本的,雖然不影響閱讀理解,但是刷題速度是比不上中文母語的。考前又請了幾天年假,連同周末湊夠5天在家刷題。刷中文模擬題125題的卷子最快可以一個小時內完成,平均在80分鐘左右,正確率也是在80%左右。對此已經對考試比較有信心了。
12.2考前一天,早上8點開始在家模擬考試,兩小時做完模擬題250道,核對答案正確率78%。下午一直在複習錯題和相關知識點,做最後的補救。晚上準備好第二天的早餐和考試過程中的水和食物。
6.考試當天
12.3周二,考試8點開始。六點多起來,吃了早飯,打車到考點,早上不堵車,7點鐘就到了,陸陸續續有其他考生到來,當天有很多是考GMAT的。7:30允許進場,考GMAT的和考CISSP的分兩邊各自核驗考生身份和講解規則。核驗身份包括校驗個人兩個證件,其中一個帶籤名,一般是身份證+信用卡或者護照,要求電腦手機等檢查關機,給儲物櫃鑰匙存放個人物品,錄雙手掌紋。僅隨身攜帶一個身份證或護照與儲物櫃鑰匙,大家圍坐一圈,考官給講解考試過程與規則,包括中間可以出去上廁所吃東西等,每次出去不超過10分鐘,不限次數。然後就是考官依次帶考生進考試間,考官會再次核對身份與掌紋校驗。考官負責登錄考試系統,開始計時考試。中間出去喝水上廁所也是需要校驗身份與掌紋,整個考試應該是全場監控錄像的,非常嚴格。整個考試過程,我放慢了答題速度,三個多小時才做完250題,考題可以標記,我一共標記了60多題不確定的,又花了近兩個小時檢查了全部250道題和重點60題模稜兩可的題目。最後依然不太確定的還有40幾題,基本是排除了兩個錯誤答案,在剩下兩個選擇裡比較糾結,感覺應該可以通過,舉手示意考官,結束了考試。走出考試間,另外一名考官列印了成績單,看到考試通過,還是輕鬆了很多。
7.經驗總結
a.至少要細緻看一遍書,OSG或者AIO都可以,CISSP雖然對考的知識點不會特別深入,但是知識面真的特別廣。可以配合思維導圖理解相互知識點的關係,形成知識體系。
b.多刷題,官方習題集或者AIO在線題庫,都可以練手。雖然考試很難出現原題,但是可以學習解題思路。算上AIO書後習題+OSG書後習題+官方練習題+AIO在線模擬題,總共刷題在3000題以上。
c.很多場景題,答案模凌兩可的,一般可以先排除兩個錯誤答案,剩下的多從安全官的視角思考,如果是實際發生的問題,該如何抉擇。
d.縮短備考時間,最好控制在3個月以內。本人從立志到通過考試,花了11個月,但其中前7個月才看完第一遍OSG,最有效的複習應該是十一假期的集中刷題,拖長戰線會無形中造成心理壓力。
e.提前報名考試。雖然考試幾乎每個星期都有,但是名額不多。上半年幾乎當月就可以考,但是等我10月結束長假有信心去報名時,10月和11月的考試都爆滿了。我的朋友Leo就是提前報名,用考試時間倒逼複習計劃,提高效率,deadline才是生產力。今年上半年因為疫情,看到有朋友被取消了考試,如果後續恢復考試,可能更難預約,越到年底考試人越多,越需要提前報名。
f.如果自學效率比較低,也可以報輔導班,網上應該有各類課程。我因為沒有參加過,所以也就不做推薦了。至少可以找一兩個志同道合的朋友互相鼓勵,
對一些知識點和疑問,也可以很好的相互促進交流。
g.提前半小時到考場,遲到15分鐘不允許考試。帶點水和容易吃的東西方便考試過程中補充能量,以及中間休息調整。考試時間6小時肯定來得及,中間出去休息不限次數,但是每次不能超過10分鐘。
h.注意安全術語的英文詞彙。可以對照OSG或者 AIO附錄的詞彙表,中文考試的翻譯很差,我甚至有遇到關於消除數據剩餘的題目裡兩個選項都是「清除」的情況,查看英文才發現詞彙不一樣,一個是purging,另外一個是clearing。我在備考刷官方習題集和AIO在線題的時候,因為都是英文題,用有道翻譯官直接拍照翻譯加快讀題速度,翻譯準確性和真實考試的翻譯效果也差不多,所以特別留意了英文詞彙的對照。
CISSP雖然很多知識點都是點到為止,但是內容真的很廣很全。學習考試通過認證並不能代表某一方面的安全技術有多厲害,但是可以從總體上對安全有更多的認識,對於安全從業者是一個很基礎和推薦的選擇。難度不高,相信付出時間學習的人,都可以得到很好的收穫,成為一個新的起點!