CISSP备考心得 | 只有认真准备才能从容应对
个人背景
从业第10年,起初是⼀名网络⼯程师,后来在第⼀家公司逐渐开始做无线、安全、虚拟化等品类的方案,再后来逐渐往私有云方向转变,在⼯作中接触到的东西比较多,所以知识面还算⼴。
学习契机
在IT圈⼦⾥做久了,会发现安全是⼀个怎么都避不开的话题,⽽且随着各种新技术的出现,安全⽅案在逐渐增多,安全市场也⼀直在扩⼤,因为工作原因不可避免地要和甲⽅去讲⼀些安全的⽅案,所以觉得有必要花时间去从整体学习⼀下安全,这不但对自己理解安全市场有⼀定⽤处(⾄少可以获得知识⾯的拓展),而且也可以让自己的未来多条路可⾛。很早就听闻CISSP是安全从业⼈员必备的⼀个证书/荣耀,所以觉得⽆论从当下需求以及长久发展看,都有必要学习并拿下CISSP证书。2021年有次碰到⼀位同事,他刚好也决定学习⼀下CISSP,于是俩人⼀拍即合,使⽤公司教育经费报名去学习CISSP,机构是同事选的,当时我也不熟悉这些,只听同事说在安全领域⾥挺专业的。2021年底,第⼀次参加线下的培训,有些情况在预期之内,有些情况⼜是预期之外。预期之内的是,CISSP的覆盖确实很广,很多内容是流程、架构层面的东⻄,而我平时接触⽐较多的领域在全书里面只占1/10左右,其他东⻄对我来说都是新的。预期之外的是,CISSP考试的难度以及需要花费的时间⽐我想象的多了很多,因为之前也参加过⼀些⼚商顶级的考试,⾃⼰投⼊⼀个⽉每天复习⼀些,看看模拟题基本就可以了,然⽽培训时得到的信息是,CISSP⾄少需要4个⽉时间,需要反复看书直至理解书上的内容。在第⼀次参加完培训之后,刚好赶上年底项⽬很忙,也没下决⼼去报名考试,于是时间⼀晃就到了2023年。刚好2023年⼯作上有些变化,时间⽐以前充裕⼀些,于是6⽉底约考试,能约到的最早的时间只有10⽉中旬,于是定了下来。
学习准备
虽然考试时间定下来了,买了纸质的书,也制订了学习计划,但最终因为各种原因没能严格执⾏(主要还是⼯作时间太耗神,到晚上没精⼒看书),前两个⽉只看了OSG9上册的前⼏个章节,直到9⽉份,⼯作有变化,平时很闲,刚好汇哲也举办了在线培训,于是⼜拿起书边参加培训边学习。培训的内容很好,在讲的时候都能听懂,包括重点是什么⽼师也都会讲,但是⼀次听太多内容后,⼏天后就忘记所学的内容了,于是觉得不能再这样下去了,必须找到适合⾃⼰的办法。最终发现,照着思维导图,针对每个知识点边看书边记笔记很适合我,于是按照这个思路⼀个Domain⼀个Domain的学习。学完8个Domain花了11天,每天会学习10⼩时左右,可能是因为deadline的压⼒,即使这样学也不觉得有多累。学完后基本上书也翻了⼀遍,写了100⻚(4万字左右)的学习笔记,写的过程感觉⽐光看书的效果好很多。我是从D8往D1倒着看的,后⾯的内容平时熟悉⼀些,⽽且篇幅也不⻓,每天看完之后还有⼀些时间来做题,于是拿出之前汇哲发的OSG官⽅习题来做,按照汇哲的介绍,完整学个Domain后的测试成绩最好⼤于800分,我⾃⼰做下来每个Domain平均成绩700出头,有些⽐较惨只有600左右。不过整个做题环节还是很有收获的,⼀⽅⾯可以加深对所学内容的熟悉度,另⼀⽅⾯可以补足之前遗漏的知识点。纠错之后再去做题,成绩基本都是900以上。所有Domain的题做完后,做了下OSG2021的官⽅习题,两套题成绩分别是740和790左右,不理想但都及格了,查缺补漏完后⼜做了OSG2023官⽅习题,成绩900分左右,可能有些题和OSG2021重叠,所以做的⽐较轻松,但⽆论如何,知识点覆盖⾯上,我觉得应该差不多了。为什么做官⽅的习题,原因是官⽅习题会有很详细的答案解释,这可能会包含⼀些书中描述不清楚的地⽅,所以个⼈觉得官⽅的习题还是很值得看的。后来⼜陆续在平台随便挑了⼏套题做了下, 基本都是及格的成绩,总共算下来做了2000道题左右,整个有效的复习时间>200⼩时。考前两天基本就是再看⼀下所有之前做错的题⽬,以及看自己整理的笔记(已经140页5万字了)。
考试心得
约的8点开始考试,早上6:20起来收拾吃饭,本来计划打⻋去考场,结果叫了⻋后竟然需要等⼗⼏分钟,⽽且时间越来越长,于是被迫去赶地铁,还好距离不远,7:40到达考场,开始办⼿续⼊场考试。考试中⼼温度还⾏,所以虽然带了外⾐也没⽤上,证件除了身份证和银⾏卡外,还带了护照以防万⼀。考试的时候,发现题⽬和做的⼤部分完全不⼀样,有些题很难读懂,题⽬本身会设置若⼲个⼲扰词,答案也会有⼲扰项,加上翻译的问题,经常看⼀个题不知道⾃⼰应该往哪个⽅⾯去思考,有些题我真的看了好⼏分钟,中英⽂反复看,最后才勉强读懂答题。答题的时候⽩板很重要,在考试时看着题很难静下来去思考知识点,经常就忘记某个流程是咋样的,这时候需要静下来,把相关词写在⽩板上帮助⾃⼰梳理,这样虽然耗时间,但因为未来有些题的知识点会重复,所以记下来也可以帮助未来答题。我就这样⼀道道做题,有些题⼏秒就能看出答案,有些题要花⼏分钟,平均⼀道题100s左右答题时间,算下来时间够,所以也没怎么着急。做到100道题的时候本该休息⼀下,但当时精⼒还很集中,就没休息继续做到了160题,然后申请出去去了洗⼿间,吃了个士力架,喝了点脉动,继续进去做题。做完全部题⽬花费了5⼩时40分(总时间6⼩时,佩服那些3⼩时就能做完题的⼈),没有太紧张也不怎么轻松。很多时候都关注在确保⾃⼰读懂题和对⽐哪个答案最优了,之前说的什么XX优先于XX之类的答题⽅法完全抛到脑后了。出来后拿到成绩单,通过。
学习及考试建议
虽然最后考试通过了,但感觉并不是实⼒换来的,只能说你怎么对待⼀件事,它就会以什么样的⽅式回馈与你,只有认真准备才能从容应对。下⾯是我总结的⼀些经验教训:1.尽早学习,找到适合⾃⼰的学习⽅式:如前⾯所说的,我是临时抱佛脚加班加点去学习的,整个过程压⼒很⼤,睡眠也不好,尤其后期做题成绩不好的时候很焦虑,那时候唯⼀能做的就是找个公园散⼼,先不去想考试的事,等睡⼀觉第⼆天再积极做题;2.多做笔记:个⼈觉得笔记作⽤很⼤,可以以⾃⼰容易理解的⽅式去记录知识点,复习后期⽤笔记查缺补漏很⽅便,如果有时间,可以在做完笔记后再听听⽼师的课,帮助加深理解;3.官⽅练习题要看,但⾮官⽅的习题更要看:官⽅习题其实要⽐真实考试简单很多,同类型的题考场上不到1/4,但⼀些⾮官⽅题的难度和考场类似,所以多做⼀些⾮官⽅习题是可以让你早点熟悉那种难度以及熟悉出题套路的,这次因为时间原因,我没做多少⾮官⽅的题,可能因为这个原因导致真实考试时做的很慢;4.买个考试保险:因为约考试⽐较早,那时候还没有买⼀送⼀的考试保险,后来听说有这东⻄,特别想取消考试重买⼀份,如果有想考的朋友可以关注官⽅的⼀些动态,多花点钱买⼀次考试机会能让⾃⼰安⼼⼀些;5.考试当天要预留⾜够的时间:尽量保证不出意外的情况下提前 30 分钟能到现场,以防有什么意外的事情发⽣;6.考试要冷静,时间⾜够:个⼈觉得虽然有些题很难,但平均下来时间还是够的,所以根据⾃⼰的情况及时休息,保证以最佳的状态来做题。
后续
考完后当天就收到了ISC2的邮件,提示考试完成,需要进⾏下⼀步(Endorsement),和机构⽼师交流后准备学位证书、⼯作经验的材料,按照提示提交到系统,审核共花了约18天(13个⼯作⽇)左右,等待过程也是有些煎熬,⽣怕中间出什么差错,过程刚好赶上CISSP中⽂考试取消这⼀"⼤事件",⽣怕⾃⼰受这件事的影响,等最后拿到证书那刻,⼼中的⼀块重⽯落下。
