2024年CISSP认证考试通关秘籍:备考方法与实战经验分享
2024年CISSP认证考试通关秘籍:备考方法与实战经验分享
前言
不久前,一位安全领域从业者通过了CISSP考试,分享了其备考经验和建议。这位从业者在一家互联网企业专注于应用安全,特别是在软件开发生命周期(SDL)管理方面有7年的工作经验。
报考相关("劝退"指南)
对于有一定安全从业经验的人来说,报考CISSP是一个不错的选择,同时建议稍微懂一点点英语。对于完全没有从业经验的人来说,建议谨慎考虑,因为缺乏实践经验可能会使备考过程变得异常艰难,甚至可能导致投入与回报不成正比。
为什么建议有经验的人报考
2023年,CISSP考试改为了CAT模式,电脑会根据考生的答题情况,专门挑考生不会的、答得差的知识点来考。这样一来,每个人的题目都不一样了,想再靠那些小聪明过关就难了。而且考试里的题目,很多都不是书上直接能学到的,得靠考生在实际工作中积累的经验,还有对安全管理的深刻理解才能答得上来。
为什么建议稍微懂一点点英语
CISSP考试的题目翻译是机翻,读起来不通顺,也不符合咱们平时的技术表达习惯。所以啊,要是想考好,最好还是得能读懂英语原题。这对于英语基础不太扎实的朋友们来说,确实是个不小的挑战呢。
基础知识学习
CISSP考试涵盖了8大领域,从技术到管理,那叫一个全面!不过呢,它的特点是知识面广但深度不算特别深,就像是一公里宽但只有一英尺深的水池。它的主要目的是培养咱们的安全管理思维。
说到学习资料,官方的教材是OSG,也就是那个CISSP官方学习指南,民间的话呢,有个AIO,也就是CISSP大全。其实啊,这两本选一本看就足够了。
这位从业者比较推荐大家以OSG为主,毕竟它是官方的考纲,较为权威!目前OSG教材已经出到了第十版,不过第十版为纯英文版的,目前国内还没有中文翻译版的,而且两版差别不太大,如果英语较好可以选择第十版的啃,如果英语不好建议直接看第九版。
对于OSG这本书啊,这位从业者的建议是,除非你已经有非常丰富的大企业安全管理经验,否则最好还是通读(精读)至少一遍。有些人说不用看书,但这位从业者觉得那不太靠谱。虽然书里的知识点可能看起来有点零散,但它真的能帮咱们锻炼结构化思考能力,这对咱们应对考试是很有帮助的。
刷题
这位从业者强烈建议多刷题,理解题,不要背题。不要试图用国内认证考试的思路报考CISSP。这位从业者把承制科技里的所有题目都刷了一遍,包括那八个知识领域的和四个综合练习,同时结合老师在强化学习的时候会把错题、解题思路、出题人逻辑等都讲透彻,还将每道题每个选项背后的知识点都搞懂了。
八个知识域的题目:随机抽取来作答的,考试前这位从业者的正确率能稳定在90%以上。
四个综合练习:这位从业者当模拟题来做,正确率大概在75%到85%之间。大家可以根据自己的情况参考一下这个标准。
这位从业者强烈建议整理错题本。
考试缴费与预约
CISSP考试可以在ISC2官网提前预约,考试时间在每个季度最后一个月进行。考试费用为749美元一次哦,如果没考过,只能再交一次重新考。所以啊,这位从业者建议大家还是准备充分了再去考,不然每次考试都叫749美金也顶不住。对大部分人来说,749美金可不是一笔小数目。
官方偶尔会推出“CISSP中文考试安心保障”服务:948美元即可享受一次考试+如果考挂了在下个季度重来一次。如果对自己不是很有信心的话,这位从业者感觉买这个服务还是挺划算的。
考前准备
在考试之前,请务必准备好个人身份证件以及一张附有个人签名的信用卡(根据官方要求,必须使用信用卡)。
在备考过程中,针对知识掌握情况,建议建立个人的错题集,将错误题目及其对应的知识点详细记录,并参考OSG进行深入理解,以确保充分掌握,因为考试中可能会涉及这些知识点。
进考场
考试当天,考生需前往PearsonVue官方指定的考场参加考试,这些考场通常设立在一线城市如北京、上海、深圳、成都、西安等地。若考生所在城市未设考点,则需提前预订酒店前往一线城市应试,这可能会带来一些不便。
考试大多安排在上午开始,且通常能准时进行。一旦进入考场区域,考生将不允许复习任何资料,且需将手机关机。随后,工作人员会进行身份验证,包括核对证件、拍照,并在正式进入考场前,要求考生录入掌纹信息(而非指纹)以完成身份验证流程。
考试中
进入考场后,你会发现有十几名考生共处一室,整个考场都处于摄像头的严密监控和录音录像之下。每个考生之间都设有很高的隔板,以确保考试的独立性。此外,由于PearsonVue承接了多家考试机构的业务,因此你周围的考生很可能并非都在参加CISSP考试。这里要特别提醒的是,考场的纪律非常严格,甚至超过了高考的标准,所以千万不要有任何作弊的念头。
当前的CAT模式考试是一种“自适应”考试形式,时长为三个小时,全部为单选题。考生可能会遇到100到150道不等的题目。计算机系统会实时评估考生的答题准确率和通过可能性。一旦在回答完约100道题后,如果系统判定考生已满足通过标准,考试将提前结束。当然,如果系统认为考生此次考试通过无望,考试也可能会在此时终止,但这种情况较为少见。
这位从业者考试答题到122道题考试结束的,用时2个多小时。
因此,大家一定要保持平稳的心态,无论做到多少道题,都要冷静思考,充分利用自己的经验和所学知识来应对,这才是最关键的。
大家最关心的考试题目的难度:非常具有挑战性(至少在从业者看来,他的安全经验已经算是比较丰富了)。大概只有25%左右的题目能直接用学到的知识快速解答,剩下的都得根据题目描述,仔细斟酌选项,然后选择出最优的一项答案,答题的时候你会发现有同时几个选项也是可以选的,但是必定会有最优的一项,真的很让人纠结。
考试结束
在100到150题的范围内,计算机会通过算法来判断考生是否通过考试。在100题之后考生永远不会知道,当你点击下一题的时候,屏幕上会不会突然出现“考试结束”这四个大字。
考试结束后,考生还得再录一次掌纹,确认身份信息。然后,考场的老师会把考生的成绩单背面朝上递给他,这么做可能是为了保护考生信息,防止泄露,也有人说是为了避免考生因成绩未过而感到尴尬。
拿到成绩单后,要是上面的内容和本文开头提到的第一张图一样,那就恭喜你啦,你已经成功通过了CISSP考试!但如果成绩单上指出了你知识掌握不足的知识领域,那就比较遗憾了,意味着你还需要再次努力,准备下一次的考试。
背书与证书维持
在考试通过后,ISC2会向考生的邮箱发送邮件,收到邮件后就可以准备背书工作啦。
要成为CISSP的“member”(会员),需要满足五年的工作经验要求(如果你的本科专业是IT相关的,那么可以减少一年的工作经验要求)。你可以选择通过背书人进行背书,或者选择官方审查资料来进行背书。通常来说,选择背书人的方式更为常见,可以在网购平台上也能找到相关的服务。
在大概6-8周背书审核通过后,会发邮件告知大家,在缴纳会费(每年135美金)后,会取得CISSP证书。
一般纸质版证书后续会寄到ISC2的中国办公室,然后办公室会联系大家确认详细地址。
拿到CISSP证书后,考生们需要交年费(135美金),并且赚取CPE(学分)来维持证书(3年120 CPE)。
自学、报培训班
这位从业者经过考下来的经历,感觉CISSP证书的含金量真的很高,同时考试难度相对来说也挺大的,但是在老师的带领学习下感觉还是比较轻松的。
如果各位平时就是学霸,可以选择自学自考;如果各位经济实力较强,可以选择报名CISSP保障培训班,毕竟有老师指导学习以及背书、维持服务,能帮我们提升学习效率,大幅度提升CISSP考试通过率。