首页 > 考试 > 认证考核 > CISSP >

临阵磨枪:cissp 认证考试经验总结

2016-06-08

临阵磨枪:cissp 认证考试经验总结

  我通过了2002年5月18日在中国深圳举办的cissp认证考试。

  一、cissp 认证简介

  cissp 认证是由国际信息系统安全认证协会international information systems security certification consortium(简称(isc)2)在全世界各地所举办的考试,符合考试资格人员于通过考试后授予cissp认证证书。(isc)2 成立于1989年,是一个非盈利性组织。cissp 目前已成为全球公认评价信息安全专业人员资质的重要参考依据,同时为了保持专业知识、技能及竞争优势,(isc)2 要求取得cissp认证的人员必须持续进修,在三年内累积120个cpe(进修点数,可以通过从事相关工作或研究等获得),否则必须重新参加考试,才能继续保持cissp 资格,同时(isc)2 在网站上公布cissp 认证证书合格人员的基本资料,供全球查询。

  【我国、香港、日本、韩国、新加坡的情况】

  cissp 的考试题目为250 题单项选择题,均为英文试题,所有考题必须在6 小时之内作答完毕,其范围都与信息安全有关,包含信息安全管理、访问控制、通信及网络安全、计算机运作安全、密码学、应用程序及系统开发、信息安全架构及模型、物理安全以及业务连续性规划和灾难恢复、道德法律等共有十个领域(domain)的专业知识。

  二、cissp 考试

  我参考了《srv的考试指南》和《cissp all in one》。srv套书虽然有点老(现在有第二版),但是上面的知识组织形式很不错。练习那本书我没有时间看完,但是相信练习对实际参加考试会有很大帮助。all in one里面的知识比较丰富,但是有些东西很罗嗦,但我还是坚持通读了一遍。

  还有一本小册子,叫做cissp exam cram book,很精练。另外还有几个网站上提供类似cram的东西,可以用于临阵磨枪,发现复习的遗漏点。

  cissp考的是广泛的安全领域的知识,不可能有那一两本书可以完全覆盖。除了购买考试书籍之外,对信息技术各个领域的知识获取对丰富知识面是很重要的。通过平时的工作实践、阅读各种安全杂志、邮件列表,或者通过网络途径与已经获得认证的人的交流都是很重要的。

  参加5.18日的考试,公司给予了很大的支持和帮助。考试是由(isc)2香港总部在深圳举办的,那几天深圳天气还可以,心情也不错。不过考试还是有压力的,一是国内第一次考试,不敢说有很大把握,二是公司寄予很大的希望,有些担心。考前我们几个各地的同事在一起聊天,谈工作和公司的事情,兴奋得到夜里十一点多又煞有介事地“临阵磨枪”到一点多,实在是担心第二天无法坚持六个小时的考试,这才睡下。

  到了考场后,一下子轻松了许多,教室宽阔明亮,感觉得特别亲切(好久没有进过大学的教室了),而且发现很多面孔都很熟悉,都是以前的同事或者同事的朋友或者朋友的同事,见了他们,信心增加了不少。

  考前阅读英文考试指令的过程就像大学里的四六级考试,不过更冗长,加上香港普通话的旁白也还是听不大懂。不过这辈子考试经过很多了,无所谓。按照监考的要求,将个人信息和试卷信息涂到答题卡上。试卷拆封后,看到五十多页的英文试卷觉得很兴奋,想了想开始的计划(包括涂卡,每小时50题),就开始答题了。

  isc2建议先做会的题,将没有把握的题做标记,然后再回头仔细推敲。这样的好处是可能从后面的题目中获得相关的信息。这个方法可能有的人喜欢,但是我认为250题太多了,何况做到最后不知道会是什么状态,说不定会混沌一团。我还是按照自己的计划,因为我觉得时间总是够的,平均每个题的时间是近1.5分钟。(考试可以带英汉字典,我只带了一本小字典。专业方面的词汇倒是不怕,就是担心有些日常词汇一下子忘记,会影响对题目的理解。按规定只可以带印刷版的字典,可是考试中竟然有人使用电子字典)。

  六个小时的考试太痛苦了,建议大家随时准备一些提神醒脑的食品(不是兴奋剂),饮料不一定很多,我只带了半瓶从北京带去的水(喝多了容易紧张,紧张又想喝水)。两个半小时的时候,我做到了150题,看来时间不是问题。中间出去时看到前面那位还不到到100题(不是偷看),信心又增加了。感觉很疲倦,我准备休息一会儿。吃点东西,看看窗外的风景,又趴在桌子上做了一个梦。

  后面的时间很痛苦,做题目的效率明显降低。最后25题用了近一个小时,不过终于是提前半个小时完成题目。最后的时间,应该是看看前面那些做标记的题目。果然如我所想,基本上后面的题目不会给你多大帮助,因为你真的忘记了。而且题目的第一印象往往是你头脑中的意识,很难有什么会帮助你做出改变。有的题目拿不准,想来想去还是选择最初的答案。这半个小时应该算是球场上的“垃圾时间”。

  不过考试中间我发现了一个最大的错误,试卷号涂错了。考试中间走神,看到试卷下方的试卷号,想猜猜它是什么意思。我的试卷号是730010,我看看每张试卷都是,又看看封面。最后看看答题卡上,突然发现我在答题卡上涂成了730100,我惊出一头冷汗。一个cissp差点被封杀!提醒大家开始还是注意考试指令,仔细检查。

  考试历经艰难险阻,真是很精彩。试卷交上的时候,感觉很是自信。不过想起传说中三分之一的通过率,还是有些担心。不过总算考完了!

  乘北航的飞机回到北京,想到很多的工作,还是把cissp先忘掉的好。

  6月6号的时候,手机日历提醒我两周到了(14个工作日,isc2承诺的时间),我马上打电话到前台,失望的是没有我的信件。电子信箱里也没有。接下来的周末我还在想,还打电话到公司问有没有我的信件。

  终于在6月12日的下午,我看到了(isc)2 寄来的证书,很多同事向我表示祝贺,并让我请客。

  cissp 考试的范围非常广泛,而且每年都有新加的考题,又要求具备实践经验。在复习的时候我就想,不管怎么样,考完后一定要按照cbk的大纲,充实自己在各个方面的知识。在公司内应该组织这样的以domain为主题的学习小组,小组内可以充分地交流。同时在工作中也应该去应用并丰富学习到的知识。

  三、学习考试总结

  1.准备

  做好考试的心理准备和物质准备。心理准备自不必多说,参加过高考和考研的都有经验。物质准备无非食品、咖啡、音乐等以备深夜读书熬战之用。

  当然,还要花一些银子购买书籍、到网络上搜集各种资源,包括订阅邮件列表,到一些cissp交流网站注册用户。cissp考试是英文考试,你的英语能力必须过关,不要寄希望考试时查字典。但是参考书无所谓,只要对知识的描述没有错误,一些关键的地方最好还是参考英文描述。

  制定学习计划,重在坚持。每个人从业和擅长的领域不同,不熟悉的领域可以多花些时间。一般安全管理和加密方面的题目最难,考试中的比例也不小。道德法律方面的题目一般很直观,不要花时间去研究美国的法律。

  2.学习

  cissp考试不存在侥幸,如此大的题量不允许任何的投机。不过有计划地刻苦学习,加上端正的态度和扎实的基础,还是有可能在短时间内取得很好的效果。

  技术方面的知识没有什么好说的,有清晰的概念就可以了,要注意增加一些近期新技术方面的知识。但是安全管理方面的题目就不只是概念的问题了,这种题目有一定的灵活性,有的是场景题。自己不擅长的领域一定要多用时间,弄清楚关键概念,要勤翻书,勤查资料。几种资料在一起对比着学习,可以加深理解。但有的问题可能几种资料说法不一,需要请教有经验的同事或者专家。一定要在考试之前确保没有遗漏,因此执行计划是最重要的。

  3.练习和模拟考试

  按照(isc)2的约定,考试者不得将考试题目以任何方式泄漏,通过考试的cissp大都遵守这个规则。cissp的考试书籍往往会有一定的练习题,不过这些练习一般是根据书籍本身而定的。在刚读完一个domain后,做这一章的练习就会觉得太简单。srv的练习题目太多,适合巩固知识。all in one的题目太少而且简单。boson的考试模拟机不错,可以用来感受一下真实的考试。通过大量的练习可以强化记忆,通过对比加深理解。模拟考试只是热身,不要因为模拟考试效果不好而影响情绪,一般现场发挥会更好,就像足球场上一样。

  4.考试

  考试前的报名准备工作要提前进行,包括正确充分的报名材料。收到确认函后,到考试地点的交通和住宿,一定不要出错。如果通过考试,确认函上面的id就是你的cissp证书id。

  六个小时笔试考试可能很少有人经历过,一定要做好充分的准备。所有的题目均为单选,选择最恰当的答案。

  考试中的技巧自不多言,根据自己的习惯和实际情况。

  5.等待

  等待考试结果和cissp证书的到来。

  四、认证之后

  cissp需要遵守(isc)2道德规范-code of ethics,并为信息安全做出贡献。考试并不是cissp的终点,为了保持cissp认证的先进性和竞争力,(isc)2要求cissp在三年内取得120个cpe,否则需要重新参加认证考试。

  cissp考试的cbk覆盖了安全的各个方面,但是考试的深度不够。信息安全方面的其它认证可以弥补这一点,向giac、sans及cisco、checkpoint等专业厂商提供的安全认证。

  五、后记

  传言中国人善于考试,有的考试到了中国会做的很滥。仅仅取得认证不是cissp的真正目的,与(isc)2的宗旨相违背。也许,未来的两年cissp将热遍中国,但愿这些cissp能够在中国信息安全领域做出真正的贡献,成为未来中国信息安全的中坚,而不仅仅是一张纸文凭。

  附:参考资料

  书籍:

  srv examination book (vol1&2, version 2)

  cissp certification all-in-one exam guide

  cissp exam cram book

  secured computing: a cissp study guide

  the cissp prep guide: mastering the ten domains of computer security

  网站:学习交流

  我的

  维护一个学习小组:

  my 1.5 cents

  三、学习考试总结

  3.练习和模拟考试

  按照(isc)2的约定,考试者不得将考试题目以任何方式泄漏,通过考试的cissp大都遵守这个规则。....

  四、认证之后

  cissp需要遵守(isc)2道德规范-code of ethics,并为信息安全做出贡献。...

  五、后记

  传言中国人善于考试,有的考试到了中国会做的很滥。仅仅取得认证不是cissp的真正目的,与(isc)2的宗旨相违背。也许,未来的两年cissp将热遍中国,但愿这些cissp能够在中国信息安全领域做出真正的贡献,成为未来中国信息安全的中坚,而不仅仅是一张纸文凭。

相关文章
最新文章
热点推荐