最近看到身邊很多人在備考CISSP,作為一個拿證三年多的老司機,忍不住來分享一下考證心得。附證書↓
先簡單介紹一下自己,我是09年計算機相關專業畢業的,畢業之後一直做IT運維相關的事,5年多的時間,期間管機房、管設備、管網絡、管系統到後面的管項目。差不多2012年開始接觸等級保護,到後面信息安全工作逐漸變多,加上對信息安全的興趣,也就把自己的發展重心偏向於信息安全。
2014年下半年報的谷安CISSP第五期保障班,2015年6月份通過的CISSP考試的,從學習到認證差不多1年的時間,到現在拿到證書也3年有餘了,回想這一路歷程,想從「入坑前」、備考中、認證後三個階段和大家分享CISSP考試認證心得。
一、入坑前準備
那會兒調整自己的發展重心,初衷是想著有沒有什麼認證考試能夠確認一下自己在這個領域的知識掌握情況。剛開始了解到的是CISP這個認證,由於之前工作是做IT運維,所以基本的一些安全知識還是了解一些,當時從網上下載的CISP題庫,經過測試,發現很簡單,對比一下自己的初衷,遂放棄了這個認證。後來差不多過了半個月才知道有CISSP這個認證的,國際認證,內容全面,還有很多沒聽說的概念和內容,心裡想,這個應該就是我的目標了。
所以,我覺得入坑前,先了解下CISSP這個認證具體是什麼,包含什麼內容,再評估一下CISSP這個認證是不是就是自己的後期發展目標,現有的知識體系掌握與CISSP的差距情況等。如果都OK的話,那就入吧。
二、備考中階段
緣分吧,認定CISSP這個目標後就找到了谷安。很感謝谷安老師初期給我詳細的介紹,還有備考階段的輔導、解答。一周的現場教學與後期分階段的視頻遠程教學,過程很快也很順利。回想一下備考階段,在下面幾個方面做了比較多的準備工作:
1、 平時的積累
如果先前是做IT或安全相關的工作,多少會在一些知識領域有所積累,要不然很多從零開始會比較累,也很難掌握透徹。備考中的積累,主要是方式方法上的一些注意。
首先是把CISSP認證放在心上,不要輕視。
其次,由於知識內容是分領域的,而且不同領域之間的關聯度很低,所以針對不同領域多用思維導圖的方式,一個領域包含哪些知識,一個知識再有哪些更細分的知識點,工作閒暇的時候看,坐地鐵的時候看,一開始對著思維導圖看,到後面就默想,隨著時間的積累,腦袋裡就能逐漸把整個知識結構建立起來。
2、知識點的消化
學習過程中多多少少會遇到先前不了解的知識點。比如我在學習過程中了解的訪問控制模型,BLP、Biba等都是不知道的。
這種知識點的消化,首先是要記住,死記硬背,一次沒記住就多記幾次;其次是關聯性的了解,因為僅僅靠背,時間長了總會忘記。關聯性的了解,主要是圍繞該知識點的來歷、背景(出發點,解決什麼問題等)、同類知識點的差異比較等方面;最後是場景化的應用,也就是在實際工作中,這個知識點是如何應用的。
上次有個同事問我,為什麼訪問控制列表相比訪問能力表在訪問權限傳遞的處理上要困難,理解這個問題,首先是理解訪問控制列表和訪問能力表,基於訪問控制矩陣列的訪問控制列表是每個客體附加可以訪問它的主體明細表,基於訪問控制矩陣行的訪問能力表是每個主體附加可以訪問的客體明細表。在訪問權限傳遞上,比如咱們平時有使用OA系統,假如某員工A要出差了,就會提前進行代辦設置,讓員工B有權限處理A的一些工作流程,這個時候就存在訪問權限傳遞的過程,如果通過訪問能力來實現,就明細比通過訪問控制列表實現要容易。
三、認證後階段
當時知道通過考試後,心情肯定是喜悅的。但很長的一段時間,不知道下一個目標是啥了,甚至有些迷茫。這幾年斷斷續續和一些通過考試的同行、同事交流,也有不少人會有這樣的心理歷程。
我覺得也很正常,長時間的備考,目標很明確,這個時候通過考試,拿到了業界認可的認證,這種「解脫」後的心理狀態自然會有很大的變化。
回想自己拿到認證後,從IT運維轉向安全的崗位,跌摸滾爬的這幾年,逐步的發現安全涉及的知識真的很多很多,想南北通吃幾乎不可能,即使在某一領域有深刻的理解也能很好的立足。
所以,我覺得通過認證後,首先需要及時調整自己的心態,這僅僅是對自己所掌握知識的一個確認,獲取這個認證也僅僅是安全領域的一個入門和敲門磚,逐步讓自己保持一個平常心;其次,在儘可能短的時間內確定自己往後的職業發展方向,特別是方向會發生變化的情況下;最後,在發展方向上,保持不斷地學習,保持思考的廣度和深度,保持理論和實際應用的結合。
歡迎一起交流