前言
在前几月,我顺利通过了CISSP考试,结束了长达两个月的折磨
分享一下我通过CISSP的经验
一、报考相关(劝退指南):
先讲一下我自己的情况,从学习安全方面的东西到现在有九年了,现在在互联网厂做应用安全,sdlc方向。
我的建议是:有安全方面从业经验,且英语不太差的人报考
如果完全没有从业经验,是真的不建议报考,很有可能变成花钱买罪受!
一、为什么建议有经验的人报考呢❓
针对这个考试,以往线性考试的情况下,大家做的题基本上都差不多,所以可以依靠某些投机取巧的方式过关;
但是在2023年,官方认识到了这个问题,并且抽了大量人重考,随后考试模式也变更了CAT模式(可以理解为计算机自适应抽题,哪个知识点答的差,就拷打你哪个知识点),所以这种情况下大家做的题基本上都不一样,基本不可能再依靠"投机取巧"过关。
在考试题中,大部分题目都不是书上学过的知识,需要有比较丰富的实践经验,和对安全管理的认知才能完成作答
考试并不是学明白书上的东西就万事大吉的,到考试的时候大家看到题都会感觉懵逼,因为学的和考的关系不大
二、为什么建议英语不要太差
CISSP考试的时候很多翻译都是一坨💩,翻译的根本不通顺,也不符合常规的技术表述,这就需要我们拥有阅读英语原题的能力。
对于英语基础不太好的兄弟来说,这是一个难事
二、基础知识学习
cissp的内容分为8大Domain,基本上从技术到管理无所不包。但是属于一公里宽,一英尺深,内容深度都不算很深,但是很综合,主要培养安全管理思维。
基础知识,目前官方的教材是OSG(CISSP Official Study Guide)
民间教材有AIO(CISSP ALL IN ONE.) 两者选一者看即可
本人建议以OSG为主,因为OSG算是官方考纲。目前OSG推出了10th第十版,但是中文版本市面上只有第九版,考试已经涵盖了第十版的内容,我建议英语比较好的兄弟们直接看第十版,某宝可以买到第九版。
PS:顺便吐槽一句,中文版的OSG有多处翻译错误和表述问题,大家学习的时候需要把一些关键名词的英语记好
比如rogue Tower,中文版的OSG翻译成“流氓塔”,给我看懵逼了好久...后来我反应过来是tmd伪基站🤡
针对OSG,我的建议是通读(精读)最少一遍,除非你有及其丰富的大企业安全管理经验
很多人说不用看书啥的,我认为是不科学的,书中知识点可能比较零散,但是会对我们的结构化思考能力有所裨益。
三、刷题
❗核心原则 : 要多刷题,千万不要背题,不要试图拿着国内认证考试的逻辑报考CISSP
刷题建议使用CISSP Official Practice/exam,书是英文的,网上可以找到,但是也有民间翻译好的(但很多翻译不准)。
我刷完了Official Practice所有题目,包括八个知识域和四个综合练习,并掌握了题中每个选项涉及的知识。
八个知识域的题目,随机抽取作答,正确率在考试前可以到90%以上
四个综合练习当模拟题做,正确率在75%-85%,大家可以参考一下
❗另外:强烈建议整理错题本,时不时翻看,要弄懂知识,而不是记下来选项
四、考试缴费与预约
CISSP考试可以在isc2官网提前预约,并且在每个季度最后一个月进行考试,考试托管给了PearsonVue机构(中文名叫培生)
考试费用目前是750刀一次,挂了的话钱打水漂,只能重来一次(所以建议准备好再去考,不然真的是送钱,750刀对我来说是一个月饭钱)
有的时候官方会推出"安心考"服务,950刀即可享受一次考试+如果考挂了在下个季度重来一次
大家如果对自己不是很有信心的话,我感觉上个保险还是有必要的,心里有个底(虽然我上了保险,也没用得上,一次通过了)
五、考前准备
考前准备好身份证+一张个人签名的信用卡(官方要求必须是信用卡),进考场前要用
针对知识方面一定要建立自己的错题本,把错了的每个知识点对着OSG或者GPT弄懂,考试指不定就考到了。
手写笔记这块看个人习惯,我的话喜欢把东西写下来,然后时不时review,下图这种篇幅的笔记,在考前我写了大几十页(忽略我不好看的字)
六、考试开始前
到考试当天,我们需要前往官方指定的PearsonVue考场,一般在一线城市(北上深,成都,西安等等)都有考点
如果所在城市没有考点的同学,需要提前订好酒店去一线城市考试,还是比较辛苦的
考试大部分会在上午开始,考试基本上都能准时进行,进入考场范围后不能复习任何资料,手机关机。
随后工作人员会进行人证查验,拍照,在正式进入考场前,要录入掌纹(是的你没看错,不是指纹)
北京PearsonVue考场外面大概是这个样子
七、考试进行时
进入考场后,一般十几个人在一个考场,全程头顶摄像头录音录像,每个人之间有很高的隔板
而且别人考的大概率也不是CISSP,因为PearsonVue承接多家考试
所以不要有任何歪心思,考场比高考还严。
目前CAT模式的考试是"自适应"的,三个小时时间,题目都是单选,作答100-150道题都有可能,计算机会自动计算你的答题准确率和通过率,当你作答第100道题后,如果计算机认为你已经可以通过考试,那么你的考试会直接结束(当然也不排除,机器认为你这次考试挂定了
笔者是作答到120道题考试结束的,平均一分钟一道题。
所以大家要稳住心态,无论作答到多少道题,冷静思考,调动经验和所学才是最重要的。
至于大家最关心的考试题目难度,我只能说:比较难(在我自认为我的安全经验超过了绝大多数人的情况下)。
考试中的题目只有25%左右是能用所学知识直接秒杀的,其余都得根据题干描述择优选择,这很让人纠结
考试结束后,我整个人脑子都是一种发麻的感觉
八、考试结束
在100-150题这个区间内,机器会根据数学计算,判定你是否通过,你永远也不知道点下一题的时候,界面是不是"考试结束"四个大字
在结束后,需要重新录入掌纹,比对身份信息;
接下来考场的老师会把你的成绩单背面朝上递给你(据说是为了防止一块考的朋友如果看到没过,比较尴尬.. 😅)
拿到成绩单,如果上面的内容,和本文第一张图一致,那么恭喜你,你顺利通过了CISSP考试!🎉
如果成绩单上列出了你存在不足的知识domain,那么很遗憾,意味着考试还需再战
九、背书与证书维持
在考试通过后,isc2会向你的邮箱发送邮件,收到邮件后就可以准备背书工作啦。
背书成为“member”要求有五年的工作经验,可以选择背书人背书,也可以选择官方审查资料背书
一般选背书人的多一些,某宝也有这种服务,本科如果是IT相关专业,可以减少一年经验要求。
背书成为"associate",准会员,不需要满足工作经验,每年要交50美金,维持准会员身份,满足工作经验后提交材料可以转正。
在大概6-8个周背书审核通过后,会发邮件告知大家,在缴纳会费(每年135刀)后,会取得CISSP证书
纸质版证书后续会寄到ISC2的中国办公室,然后办公室会联系大家确认详细地址。
证书就是长这样啦~
拿到CISSP证书后,我们需要交年费(135刀),并且赚取CPE(学分)来维持证书(3年120 CPE)
这个在收到证书时都会提供相关资料
十、最后
对于CISSP这一认证,想必大家都看重它不一般的含金量,所以选择和我一样花钱找罪受
最后祝大家考的全会也许不太现实,但可以衷心祝愿大家在CISSP考试中蒙的全对😛
Contact To Me
如有大家关于CISSP报考,学习相关问题,欢迎联系我的微信:J0o1ey997
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...