希望获取CISSP证书的愿望由来已久,2015年参加过一次培训,但由于当时并没有参加考试的计划,上完课就放一边去了,2016年准备好好看看书,买了AIO开始阅读,读了两章以后,由于工作繁忙就又放到一边去了。2018年,又有机会培训,这次立下决心,一定把培训和考试结合起来,一次性完成学习和考试。
总体概述
本文的主要目的是把我的学习及考试经验给各位准备考CISSP的同学们分享一下,因为自己在学习过程中也看了一些分享文章,部分内容感觉受益匪浅,这次自己考过了,理应回馈一些东西。这里说明一点:我的学习方法属于下苦功的方法,适用于喜欢稳扎稳打的同学,理论上讲,肯定还有更好的捷径,只不过这种方法比较适合我的性格而已。
关于培训
2018年7月上旬,开始参加为期5天的培训(汇哲),由于工作上的原因,事实上主要听了3天课,由于上次有听课的经验,所以主要是了解一下老师对CISSP的重要态度和观点,尤其是对学习、复习、应考等方面的一些建议,另外就是拿到培训教材。对于具体的知识点,我知道5天是走马观花,如果不看书,只听课,也就听点大致概念。听完课后,听老师建议,先定个时间,给自己设定一个时限,避免惰性一拖再拖。参考老师观点和其他一些文章的建议,另外考虑年底会比较繁忙,就把时间定在了4个月后(即11月中旬),实践证明,如果按照我的正常节奏,其实5个月会比较好。临考前2周,发现还有一些计划内的学习任务估计难以完成,就把考试时间又往后调了一周,同时向单位请了5天的年休假,做好冲刺准备。
学习资料
学习的材料主要只用了两个:OSG官方的教材(中文、英文,均为电子版),OSG官方练习题(中文纸质版(培训教材)、英文电子版)。临考前一周,做了汇哲的模拟考试题一套。
学习计划
整个学习的过程基本是按计划开展的,当时大致预评估了一下自己的看书进度,决定用2个月看完一遍书,然后用1个月再复习一遍,然后1个月做题。事后评估,这个计划基本靠谱,但还是很紧张,实际进度比预期要慢一些,还是5个月比较充分一些。
实际的进度是:7月11日-9月16日,看完一遍书,用时2个月5天。9月17日-10月29日,看完书第2遍,用时1个月12天,中间穿插了OSG练习题3个章节的做题(其实主要是想看看知识点都是怎么考的)。第二遍用时较长的原因,主要是同时做了笔记,然后后面的几遍所谓“看书”,就是主要就是看笔记了。10月30日至11月4日,看完书第3遍,用时6天,11月5日至11月13日,把所有OSG练习题所有章节的题目做完。然后分别用3天做了OSG的两套模拟题和汇哲的模拟考,抽空抓紧时间看了书的第4遍(平均每章用时1.5小时),然后又用两天的全天时间过完了第5遍(平均每章1小时)。在考前两天把所有做过题的错题、难题、好题过了一遍,自觉复习已经比较充分,然后上考场。
上班时候比较忙,是没有时间看书的,也就间或性的在下班后能有1个小时看看书,好在周末时间相对可控,所以主要是用周末时间看书,周末大概能拿出每天5到6个小时,算下来就是每周大约13~15个小时可以用来学习。第一遍看书的时候,由于看的比较细,平均每周也就只能看两章多一点,算下来21章用了2个多月。OSG有700多页,每页都是密密麻麻的知识点,自己把几乎把所有业余时间都用在了上面,所以进度上有了保障。这里还是要感谢家人的支持。
为什么强调时间计划,原因是要确保知识点牢固掌握,这需要看书四、五遍,题做两遍。如果时间上保障不了,就得往后推考试时间(ISC2这方面考虑比较人性化,推迟考试时间的操作也比较容易)。
学习策略
1.关于学习策略,早先也考虑过以做题为主的策略,但考虑到我本人的一贯学习特点和希望通过这次机会系统梳理一下知识点的好处,还是采用了下苦功的方法,也即把书看熟看透后然后做题,目标是理解和记住书上几乎所有的知识点(除非老师明确说不考),记住所有OSG练习题上的知识点,做到只要考试时遇到这些知识点,都不会出现遗忘或者不知道的情况。
2.说到理解,其实还好,基本上没有不能理解的东西(可能也是自己工作时间较长几乎各领域都干过),OSG书写的比较清晰明白,整体深浅程度一致,兼具理论和实践,说实话,多次感觉这是一本好书!个别地方实在理解不了的,要么上网查一下(比如Oauth、OpenID细节、DNS投毒具体细节等),要么就翻一下AIO(比如CPTED、System High那几种模式到底在说什么)。总体来说,关于对CISSP知识点的理解,我个人觉得不难,大多数知识点比较浅显,但如果说想要理解的很透彻,少一些不理解而死记硬背的,做题时候可以灵活而有信心地选择,还是能有3~5年的专职信息安全工作经验。
3.这次学习CISSP,除了做纸质版的OSG练习题(没有电子版的),实现了全程电子版学习,主要是嫌带着厚重的书不方便(有人说可以把书裁成一章一章的携带学习,倒也不错,这点我用在了OSG练习题上),第一遍看书的时候,用pdf阅读软件自带的标记功能划线、加着重底色、加标注等等,整本书被画的也几乎是密密麻麻。我看书比较仔细,对自己的要求是每句话都看懂,看不懂觉得奇怪的地方就去看英文电子版,然后通常立刻就释然了(几乎都是翻译的问题),这时在中文版上把翻译错的地方修正过来。考虑到翻译总是会有不尽人意的地方,特别是考试的时候,如果看不懂中文的时候,必然要看英文版,所以绝大多数关键的概念词汇都看了英文,并把英文原文标注在书上便于后面记忆。顺便说一下,OSG第七版中文版绝大多数内容翻译的比较靠谱,但至少有接近100处翻译的不妥当、不准确或完全错误,这个时候要看英文,否则在逻辑的健康性上会出现问题。
4.翻译问题值得反复强调,不仅仅是看书,做题时候更重要,有些题理解不了的时候,大多也是因为翻译的问题,不是题干翻译的不好,就是选项翻的不对,而又以题干翻译问题为主。这一点在考试的时候也要注意,后面我会说。
5.看第二遍的时候,主要是看做了标记和标注的地方,书上那些对知识点的解释性的话,以及一些具体的帮助理解的内容就不怎么看了。看第二遍同时开始做电子版笔记,主要考虑:一是方便携带,不管何时何地,学习只需要笔记本电脑就可以了,纸质的书啊本啊之类的一律不再用带;二是电子版便于修改,便于拷贝,便于随时查看。我笔记本电脑用的是Mac本,所以pdf阅读标记用的是自带的“预览”,笔记用的是自带的“备忘录”,用下来感觉还好,基本功能够用,快捷键配置也还算合理。由于手机也是苹果的,所以备忘录可以自动同步到手机上,便于在知识点记不清楚的时候随时拿出手机查找确定。
6.我做笔记的原则是,做完这次笔记后,就不用再看书了,以后各遍的复习都只看笔记。除非是看不明白的地方需要再看书拾遗补漏。做笔记比较费时间,主要是电子版的书没有复制文本的能力,全都得靠手敲,只到最后几章的时候,才找到一个截屏OCR6.的工具,省了不少手敲文本的工作量。要是早点用这个工具的话,会好得多。统计了一下,笔记字数大约有9万字(都是干货),敲的时候不觉得,弄完了才意识到其实工作量巨大,以至于后面看笔记的时候,还是觉得要看的内容太多,看起来很慢(原本以为看笔记会很快的),在看第5遍书的时候,每章居然还要用1个小时,这是超出预期的。
考试现场
1.关于考试当天的后勤及现场情况,网上经验说得比较多,这里说几点我的感受和经验。
2.提前去踩个点,看看考场在哪,规划一下当天的交通路线,这样可以确保当天顺畅到达,减少意外情况。如果早上9:00考试,那么8:30至8:40之间到比较好,因为会有读考场规矩、存包、上厕所、排队办手续、录掌纹照相的过程,办完了差不多就9:00了。进考场的时候,除了身份证件和存包的钥匙,什么也不能带,随身包和手机钱包之类的统统放在带锁的储物柜里。
3.早餐要吃好,家里没条件的话,要给自己设计一下在哪里吃和吃什么的问题,要确保能量可以保障6个小时的剧烈脑力劳动。
4.带两瓶清水、一个面包、一包面巾纸备用。面包还是要吃几口的,虽然当时那个环境下也确实不饿不想吃,但吃东西主要是考虑补充能量。类似红牛之类的缓解疲劳的饮料,也可以考虑带一两瓶,毕竟六个小时需要全神贯注。
5.中间出来得放松休息一小会,至少你会有需要上个厕所什么的,我是在做完100道题、220道题的时候出来了两次,每次上厕所,喝水、吃点东西,也就10分钟不到就回去了。
6.考场内部本身比较安静舒适,都是一个一个的仅放一台考试用电脑(以及耳机)的隔断座位,椅子也比较舒服,可以转动、调节上下和向后倾斜,周围考试的人考的内容都不太一样,不断有人进出,但一般在做题也感觉不到。监考老师就在后面坐着,有透明的玻璃可以监视全场。举手示意,老师就会进来带你出去,每次进出都有监考老师带,都要扫描掌纹确定身份。
7.同考场会有考其他内容的,并不都是在考CISSP,有的考试需要不停的敲键盘,会有一些声音,如果觉得不爽,这时可以戴上桌上配的耳机,隔音效果巨好,戴上就什么也听不见了。
8.进考场的时候,会发一支笔和一个可涂写擦除的用于当草稿纸的塑料小册子,还会发一个耳塞(基本用不到),考试界面上可以找到计算器,所以不用考虑带这些东西,表应该也是带不进去的也不用带,考试界面上有一个剩余时间的指示。
9.进去坐好,监考人员做简单操作后,示意可以了的时候,就开始正式考试,先做一个简单的对相关协议的同意,然后每道选择题就展示出来,可以点击“下一题”、“上一题”、“查看英文”、“计算器”,“标记此题”,右上角显示目前做到了第几题,还剩多少分钟,拖拽题很简单,就是可以把左边的选项拖到中间不同的空白框框中以对应右边的说明。每道题,可以选择一个选项为答案,然后点“下一题”,也可以不做任何选择直接点“下一题”(然后可以集中做这些没有做答的题),但个人建议还是作答,然后标记一下。250道题做完的时候,出来一个界面,可以选择只看标记过的,也可以从头到尾全都看,还可以选择没做的题看。还有一个按钮,点击后可以显出所有的题号,点击题号就可以查看此题并修改选择。
10.答题并不容易,我做题比较慢,在我的感觉中,题目大致可以分成这么几类。
11.大约1/5的题属于很简单的,在几秒或十几秒内可以作答,这种也不需要标记。本来期望更多的题是这样的(按照OSG练习题的情况,差不多2/3的题都属于很快能做答的),但并不是这样。
12.有大约1/2的题需要把题干看明白,然后把选项也看明白后,然后才觉得,“哦,没错,应该是这个,这考的就是XXX那个知识点嘛”,但是一眼看不出来,属于全新的题,这种需要1分钟或者更多一点。
13.有大约1/5的题觉得是完全没见过类似的题,考哪个知识点也并不很明确,但可以凭着工作经验大致判断应该选什么,这种需要大约2分钟时间。
14.按照这个进度,时间是比较紧张的,我本来做题就慢,更何况稍微看着有点复杂的题,我都会打开英文看原题(好在平时看书就比较注意英文怎么说,所以看起来并不费劲,反而觉得很熟悉),一般说来,英文题看起来比中文题要说的清楚的多,可以比较透彻的弄明白说的是什么意思,对于比较复杂的题,中文版在清楚程度上可能只达到85%的样子,但英文版能够把事情说到95%到100%清楚的样子。这个经验是做OSG题时就掌握了的,所以考试时,前100道题我几乎都打开了英文,后来发现这种方法做题速度太慢,后150道题,基本上对于比较简短的题,都不再打开英文。
15.做完以后,我还有40多分钟来检查,这点时间也就只能看看做过标记的题。强调一下,感觉检查很有必要,做题时的思维和检查时的思维是不一样的,后者通常层次更高也更全,在复查阶段,我大约改了6、7道题,都是那种“另一个选项显然更合适一些”的感觉,并没有太多的不确定。
16.从考题上看,需要死记硬背的基本没有。比如端口号、加密算法密钥长度、法律法规、技术标准什么的,基本不用记(除非业内是个人都知道的),这类题,OSG练习题还有一些,但真正考试的时候不会有,这也反映了CISSP并不是靠单纯背书就能过的。但书必须看,原因在于,不看书仅靠工作经验是没法过的,因为你不知道OSG书上的那些态度,也不知道一些特定的做工作中不会用到的知识点(比如Accreditation、Confinement、Clipping、CER这些词一出现就知道在考啥)。你把书上强调的那些话都记住了,前两类的题基本不在话下,可以很快就能给出答案。需要说明一下,因为考试只考250道题,而全书大约有3000个知识点或者更多(粗略估计),所以理论上讲,如果只求速过,可能有更好的方法,只不过我并不知道怎么做。
17.全部搞定以后,点击结束答题交卷之类的按钮,重复两次确认后完成提交。此时示意监考老师,老师带你出去后,再次扫描掌纹,然后在服务台的地方给你打印一张考试结果,本来以为会写“congratulations!”,仔细一看,原来写得是“恭喜!”。等待打印的时候,相对还是比较自信的,觉得基本上绝大多数题都答的比较有把握,后来检查修改时,也觉得应该是又改对了几道不太有把握的,所以不太有忐忑的心理,相对比较有谱一些。
个人总结
再说一点感受,年龄其实不是问题,我年龄较大(40来岁),上培训课的时候,张老师看了全班,说“你们都比我小,除了卫总可能比我大点”,当时的感觉是,看来自己是老到一程度了,以后是没法再装嫩了。但总体上看,从理解力、记忆力上,CISSP并不算什么挑战。从考试当天的体力上看,也不算问题(模拟考试的时候倒还真觉得有些累),考试的时候,由于比较紧张,身体会自然调节能量供给,早餐如果比较给力的话,一般都不会有问题。关键还是要抽出时间,把既定的学习、复习目标完成,这样就会自然而然产生信心。