开头

考cissp的念头是在考完信息系统项目管理证书后就有的,但是因为拖延症,一直没有付诸行动,不过所幸当时没考,因为即便考过了因为工作年限不够也白考,没法申请证书。19年在闲鱼上买了《all in one cissp认证考试指南》,网上大家习惯成all in one。但真正下决心考试是今年(2020年)六七月份,并在十一之前,在官网上报了名。前几年考试都是英文的,但是现在提供中英对照的,只要你报名时选择中文即可。对于语言这块后面会细说。

复习过程

这次考试是选择自己看书完成的,除了花80块淘了一本all in one,其他资料均是在网上搜集的,很感谢已经考过的热心前辈们。之所以选择不报班,一个重要原因当然是贫穷;另一个方面,因为自己是信息安全专业的,考试内容就算不是很熟悉的但或多或少了解的,所以还是比较有信心。所以对于报班这一块,我可能给不了太多建议。

复习的书籍,在网上找了一圈,大概有三本:

  • 官方教材:CISSP CBK英文版,这本书我压根没看过,引用网上的介绍“1600多页的内容,看的时候感觉像是听老和尚在念经,枯燥乏味,昏昏欲睡,以至于好几次都想放弃”。

  • CISSP All-in-One Exam Guide,中英文版,就是上面提到的all in one,这本书总共8个章节,对应cissp的8大域。英文版1300多页,我买的中文版有900多页,所以每一章节的内容非常多。

  • official Study Guide第八版,网上简称osg,中英文都有。这本书总共有21个章节,是将8大域细分成21章,每一个章节都可能包含多个多个域的内容,每一章的开头会注明对应八大域的哪一节。

复习书籍大致就这三本,通过在网上看的经验贴来看大致是后两本书,然后对于有英语阅读能力的建议看英文原版。我复习的时候用的是osg,因为当时看All-in-One的纸质翻得难受,而且感觉内容太多了,写的太细了,后来就换osg了,当时好All-in-One 看了2/3的样子,中间搁置了一段时间,而且就走马观花的看了一下,所以这一段大概可以不算在复习范围。之后就开始看osg,原谅我英语水平太差,选择中文翻译版,虽然有些地方翻译的有些蹩脚,但大致意思可以理解。不过需要说明,到后面做题的时候发现,有点知识点需要对应中英文来看的。比如在磁盘清除剩余数据时,用到擦除(Erasing)、清理(Clearing)、清除(Purging),中文看是差不多的,但是对应的含义差异很大的,所以需要说明的是,在看中文版的时候,也要注意英文的标注,有些没有标注的,在做题的时候遇到混淆的,要及时去翻英文版本。

在第一遍看osg的时候,我是边看边通过xmind画脑图,标注重点内容,本来想着回过头来看的,但是后面基本没有回过头去看,因为电子版的书籍是支持关键字搜索的,想要看哪一个知识点,直接搜索一下看书就可以了。

第二遍是做在网上找的谷安的练习题,练习题是根据八大域来划分的,因此每做完一个章节的题,就回过头看一下书本内容,但这一遍看的不算完整,因为后面有点偷懒,主要是围绕错题来看的,错题对应的知识点就去书上回顾一遍。

说实在的,这两遍下来,我脑子对cissp的八大域内容还是难以接受,我没有理解为什么这么划分信息安全的内容,特别是osg这本书,直到考完,我内心还是没有完全理解他的章节划分逻辑,很多章节前后有重复的内容,前后顺序上也有一些不能理解。我想也可能是因为外国人写文章的思路可能和我们会不一样吧,我们写文章都会讲究层层递进,循序渐进。但到最后,顺着书的思路,能够把八大域的内容理顺了。

第三遍是效果比较明显的一遍了,从头到位,每看完一章,做完课后练习题,并对答案。课后题都是很基础的题目,基本能在书中找到对应的答案的,这个题主要是用来巩固一些知识细节吧。

最后一遍是做的官方提供的练习题,这个练习题有第一和第二版本,第一版本有“铭学在线”提供的中文翻译版,直接在线做,做完可以看分数和答案。第二版本题目更多、更新一些,但是只有英文版,当时想问”铭学在线“购买翻译版本的,因为担心看英文时间来不及,但是“铭学在线”小助手说中文本只提供给报班的学员,啊这……我都坚持到这份了,不能因为这么点英文题又要去报班吧……行吧,然后就着Google翻译和自己的那点英文水平看英文题了。所幸做了英文的题目,让我意识到仅仅看翻译出来的中文会直接影响选择的答案。当时做到一个题目,google翻译过来,三个选项是“事件”,让我怀疑人生。后来去群里问了考过的前辈:考试的时候提供的中文翻译会不会有问题,答案是肯定的,所以这时候心里有点担心了,离考试就一个月不到了,再去看英文原版也来不及了。就只能边做题边注意一些重要知识点的英文。事实证明,这个是很有必要的。最后一遍看书就是这样边做英文题边浏览的,这一遍看的比较快,因为很多东西扫一眼过去了。然后到最后考试,综合题还有一份没有来得及做,不过完全没有影响,因为……(后面说

考试感受

考试时间是2020年12月23日,在上海徐汇区,头一天晚上过去,住在离考场步行5分钟的汉庭,因为考试6小时,所以头一天准备了第二天的口粮,好好睡了一觉,休息的还算不错。第二天过去,到考场需要量体温,看上海绿码。然后一些身份验证的流程。需要注意除了身份证外,还要有一个有签名的证件,护照或者可以签名的信用卡就可以,其实这个就是签名识别认证。

考试中途可以举手示意上厕所,休息的。考前看了经验贴说时间很充裕,大概三四小时能做完,然而……我苦苦写了5小时,真的是从写第一题开始就感觉完蛋,因为发现考试题和之前做的练习题完全不是一个套路,练习题都很细节,包括一些具体的数值都会涉及,但是考试题就相对灵活,有一种要你学以智用,看你理解没有的感觉。然后做了大概5、6题,都是不确定的状态,总有至少两个选项让人纠结。包括考前,信心十足的认为,密码学的题应该能够全拿下,但却也遇到让我纠结的,有一个题,大概说,Cryptography的基础是什么,一个选项是cipher,一个是encryption,然后就有点晕了,az,cipher以前一直理解密文的意思呀,encryption是理解加密的意思呀?最后选了cipher,到现在还是不太确定,只怪自己太大意了,当时没有闪……

整场考试中间休息了两次,花完了6小时,毕竟把题做完休息一下就剩四五十分钟了,稍微看了一下一些不确定的题就倒计时结束了。考试过程中感觉不太好,总感觉自己这段时间书白看了,复习的时候一直在记一些细节的东西,但是都没有考到(这可能就是不报班的一个弊端,容易走弯路),而题目中有些知识点压根没有看看到过,所以也对自己选择的复习资料表示怀疑。

出来考场结果就出来了,通过了,出乎意料,第一感觉就是运气好,本来不打算写总结了,因为感觉就是靠运气过了,看过的书压根没起作用,没啥好分享的。后来仔细想想,如果这段时间我没复习,直接去考,再好的运气应该也过不了。虽然考题和练习的时候很不一样,复习的侧重点有点偏了,但是这段时间的学习,对信息安全整体知识架构有一个更全面学习和深刻的理解,所以在选最优选项的时候,即便不是十分确定,但心里能够侧重最优解。

需要注意

以上就是复习和考试的过程了,目前因为工作年限还没到,需要等到明年才能背书申请证书,所以这个事要先放放了。总结以上内容,就几点注意吧:

  • 书籍的选择看个人,通过这次考试,我个人感觉osg这本书不是特别适合,但是因为all in one这本我没怎么看,也没法比较;
  • 看书最好看英文原版的,即便是看中文的,重要知识点也要对照英文看一下;
  • 复习时间不要太长,时间太长前面看的会忘记,也是浪费时间,网上说三个月,每天两小时,大概180小时,这个可能因人而异,大差不大;
  • 如果决定考试了,可以提前一两个月报名,一方面,每次考试的名额有限,时间太近可能报不上,另一方面,算是给自己一个压力防止自己拖延症吧;
  • 除了身份证外,还要有一个有签名的证件,护照,或者可以签名的信用卡就可以;
  • 这个考试没法靠刷题,250题做下来,有一道题似曾相识,但不确定是不是完全一样,看书的时候要理解,不能靠死记;
  • 考试的时候心态很重要,都是选最优解,只要书上的内容都看过了理解了,基本没有问题的,不要想结果;
  • 复习的时候不用太注重记忆一些很细节的地方,还有一些法律法规之类的,这个一般不考,虽然做练习题的时候一直碰到;
  • 考试总共250题,正确率70%算通过
  • 预祝考试顺利通过!

有用的网址

https://zhuanlan.zhihu.com/p/50328161

https://www.pearsonvue.com.cn/Clients/ISC2.aspx

电子版资料网盘:链接:https://pan.baidu.com/s/1_tW-cWoJ145qNsUqLW1TzQ 密码:o9l2