CISSP 作为安全从业人员含金量最高的认证,一直以来被认为是难度较高、学习成本较大、知识点大而全的考试。这里面也有一部分因素是因为考试费用较高,需要 749$,如果不是公司能够报销通过考试以后的费用,我也不会贸然尝试。相比于国内的一些认证,CISSP 最大的难度在于,考试几乎没有所谓的原题,每次都是新题,而且要求考生理解概念而不仅仅是记住概念。
我从 7 月份末开始准备考试,8 月集中复习,9 月冲刺,前前后后大概花了两个月时间。每天备考 2~5个小时(因为还要上班,所以每天花费的时间不等),没有报名培训班,也只看了一本教材,最终成功通过 9 月 23 日的考试。在这里分享一下自己的经验。每个人都有每个人的学习方法,找到最适合自己的,就是最好的。重点是坚持,战线不要拉太长,否则你的大脑会遗忘很多知识。
有人说,培训班可以让你快速掌握重点,这就要看你是不是愿意花钱和耐心听讲了,网上也有人分享每个章节的脑图。我没有报班,也没有观看视频,就我而言,最好的方法就是在题目中找到重点。虽然 CISSP 考题一直在变化,没有所谓的题库,这也是 CISSP 考试难度较大的原因,但是,通过官方教材的课后习题和网上的各种题目,足以让你知道,真正需要掌握的知识点。文末共享的材料,是送给大家的福利!
考试之前
考试以后
需要的材料, 以下材料足够了,没有必要再花冤枉钱。
- 因为穷,所以在咸鱼上买的一本影印版官方 OSG 教材(其实就是盗版),方便观看。
- 道客巴巴和原创力文档上的 《CISSP 考试练习》,不用花钱下载,在线观看也是很方便的,题目量巨大。
- 同样在咸鱼上 20 块购买的模拟题(报班同学分享的),包括电子版的 OSG 、4 套模拟题和每个域大约 100~200 个题目。
大概每隔 3 年,考纲会有些许变动,教材也会出新版本,2024 年 4 月更新了考纲,我发现实际变动的地方,并没有考到,因此这些细微的变化点需要关注,但是没有想象的那么重要。
考试信息
CISSP 考试对所有英语、德语、现代西班牙语、日语和简体中文考试采用计算机自适应测试
(CAT)。有关 CISSP CAT 的更多信息,请访问 www.isc2.org/certificatons/CISSP-CAT。
这里给大家简单解释一下,CAT 考试,即考完一题,无法返回,每次答题的准确性,会决定你下一题的难度,如果系统认为你考完 100 题正确率较高,通过概率很大,则直接通过。否则,可能还要继续答题。因此每个人答题数量是 100~150 区间。
考试大纲
阶段一:通读教材,耗时一个月
接近一千页的教材,足以让人望而却步,因此这一阶段就是一步一个脚印,对书中的概念有个大概印象就行了。知道 CISSP 考的到底是什么。这一步的重点是,细读 OSG 教材,并结合每一章的考试要点和课后习题,自己总结出每一章的重点。一共二十章,大概两到三天能够看完一章,尽量一个月之内看完。
常见的教材主要是 OSG 和 AIO,各有千秋,有人说都看一遍。我只看了 OSG。
- OSG (Official Study Guide): 官方教材,章节众多,但是每个章节末尾都有重要知识点总结
- AIO (All in One): 大而全面的辅导教材,与大纲一一对应
- CBK (Common Body of Knowledge): 官方考试大纲
第一阶段给人的最大感觉是,课后习题,有些不知所云,有些模棱两可。这是正常现象,在这一阶段,我们只要保证每天花费 2~3 个小时理解常见的 CISSP 概念即可,不要指望第一次看书就能记住和理解所有内容。
阶段二:做题,耗时:二十天
再次重申,之前有同事告诉我,不要题海战术,因为考试没有原题。但是我想说的是,如果不做题,你连书上的很多概念可能都没有正确理解。
我记得网上有个《CISSP考试练习练习题及答案》系列,几十套题,包括什么背题版和练习版,区别在于答案是在每一题的后面,还是在一整套题最后部分集中,不要盲目迷信答案,所有答案的正确率大概在 90%。可以结合 Google,搜索英文原题,看看其他网友的结论。举个简单的例子,TLS 是传输层还是应用层的协议?这就是一个典型的网友意见不一的考题。
温馨提示:如果你觉得在线站点的考题无法复制粘贴,只有VIP才能粘贴文字,而你又不想付费的话,可以通过 Umi-OCR 直接识别文字(可以设置识别中文还是英文,非常方便)
另外再推荐一个英文站点,有很多习题可以在里面找到,即 ISC Exam Questions,好用还免费!
这一阶段最大的体会,做题速度巨慢,因为我们在阶段一看的很多知识点都忘了,而且有些概念并没有被理解。我大概做了 5 套题(每套题几百题),这些也足够了。最重要的是理解其中的每一题。如果这一题的核心概念,在 OSG 教材里并没有描述,可以忽略。真正考试的时候,不在 OSG 教材里的出现过的概念,不会超过 10%。
除了做了一部分网上的题目,我也做了咸鱼上买的疑似培训机构的考题,这个时候,你会发现,所谓的培训机构里的每一章(八大领域,每个领域一套题,题目量在 200 以内)的模拟题,绝大部分都跟网上的题目一致。这也是我说的,为什么参加培训没有那么重要的原因。培训机构的好处是,可能将其中的一些问题进行了分类。
阶段三:回顾教材,重温课后习题,耗时半个月
这个时候,理论上你已经掌握了 CISSP 绝大部分领域的知识点,此时再看教材和课后习题,你会有一种豁然开朗的感觉,原来这个概念是这个意思。并且,有很多网上的练习题,其实就是课后习题的扩展。因此,再次复习会让我们快速掌握重点,可以自己记下每章重点概念,毕竟好记性不如烂笔头。不要相信机构提供好的现成的脑图,最重要的是你按照自己的理解,画出来的脑图或者记下的重点。
考前最后一周,每天 1 套模拟题,一共 4 套,都是之前在咸鱼上买的,超过 20 块就不用买了。我在周五、周六、周日三天,每天累计十几个小时以上,再次重温 OSG 教材上的重点和课后习题。
考试当天是周一,开始放飞自我了。很多人说,考试的时候感觉题目很恶心,因为很多题,看起来答案都对。其实,当你真正理解出题人的意图,明白某个安全概念的时候,你就会发现,答案和真相也也只有一个。真正意义上模棱两可的题目,也不会超过 10%。
考试
考试的考场,一般也是培训机构,同一个考场可能会有不同类型的考试。手续较为繁琐,考试预约的时间是 2:15 开考,但实际流程是 2:00 进入培训机构的大门,开始挨个上去,进行各种文件签名;第二轮上去轮流采集手掌指纹和拍照;第三轮再次验证手掌静脉,然后全身检查,进场。2:45 才进场,只能说考试机构的效率很低。
正式考试的时候,还是比较考验心态的,毕竟点了下一题就无法回退,所以每一题的选择要慎重,同时又要控制时间。我是感觉前几题,题目难度较大,越往后反而越简单。可能是到后面心态平和了,感受也不一样的。大概考了一个半小时,做到 100 题的时候,突然显示考试已结束,吓我一跳,此时屏幕显示可以离开考场,咨询管理员最终成绩。
考试机构的前台小姐姐问我过了没,我说不知道,不是你们才应该知道考试结果吗?她们说也不知道。等我再次验证手掌静脉后,打印机打印了一张纸,小姐姐看了一下,说:“啊?没过”。顿时整个人都不好了。等我拿到那张成绩单,她们又说,逗你玩的。当时心里一万个***在奔腾。
个人花了 20 元巨款购买的材料也在此共享给大家!CISSP 机构模拟题。至于如何报名考试和如何申请证书,这里就不多说了,相关帖子有很多。在这里,预祝各位看官都能取得理想成绩!
