CISSP,你值得拥有(我的学习之路)
2023-2-3 11:48:23 Author: www.freebuf.com(查看原文) 阅读量:20 收藏

(只分享三点:怎么学、怎么练、怎么考。)

我为啥去考CISSP

我是个在信安行业摸爬滚打将近20年的老油条,知道CISSP这个认证是很早前的事情了,但一直以来都觉得它有点难,加上人又懒得要命,也就始终没有去尝试过想去获得这张证书。

2021年底定22年的工作绩效时,突然想想22年在个人成长方面做点什么呢,思来想去,三个原因让我决定去弄张CISSP的认证回来吧:

一是发现自己虽然在行业里混了这么多年了,竟然没有一张比较像样子的专业认证证书,尽管也曾经考了国内的一些权威认证,但感觉吧,差那么点意思。(这里没有贬低国内认证的意思,因为我曾经考过的那些国内认证,基本上从备考到考试通过,都非常的快,大多都是几天的培训,马上就考试,一考就发证的那种,基本没什么难度和挑战,最后感觉没学到啥)。

二是一直就听说CISSP的考试很BT,就想去挑战一下。我有一个老朋友是十五年前的CISSP,那时候还只有英文考试,那的确很牛叉,现在虽然有了中文考试,但250道题做6个小时,还有些题是不算分的,这的确是奇葩到家了。So,我有这个能力和信心吗?该挑战一下自己了。

三是看到有好几个朋友都考过了CISSP,看着他们一个个的“炫耀“自己的证书,想想自己虽已至中年,但就愿意这么堕落、躺平么?不过,决定去考CISSP也并不是单纯的去跟风,因为虽然现在才去正而八经的考CISSP,但对CISSP的认识以及对它的垂涎却非三五载那么点时间。

既然决定要要去挑战自己,那就干吧。

一、关于学习

书是2022年春节的时候买回来的OSG第八版,只不过,买回来后兴奋了几天,后来就让它吃了好几个月的灰,一直到七月底八月初,我都没看过它一眼。直到八月份报了个培训班,才正而八经的学起来。

1、多看书,书本至少看两到三遍,越多越好。我看了三遍,第一遍通读,全面掌握所有基本知识,第二遍系统性学习,并深入掌握重点知识,第三遍重点攻没太掌握的难点知识。平时遇到不明白的知识,或者是做练习时有错误,就必须把书拿出来将相关的知识内容全部再过一遍,一直到读懂、理解。另外,不要有认为只看重点章节内容就能考过的想法,即使你根据老师的建议把所有标红的重点知识全部看透了,考试的时候,你也许最多只能遇到70%的相关题目,加之还有题是不算分的,这样的情况下大概率也是过不了的,so,书上所有的知识一一定都要看。另外,建议看纸制书,不要看电子书。

2、好记性不如烂笔头。书上的重点知识点要写写划划,别一趟书读下来,书还跟新的一样,这不是我的风格,翻烂划烂知识才会进肚子。我读过的书,基本被我划得稀烂。

3、要整理笔记。准备个专门的笔记本,三个作用:一是听课时把听到的重点、难点知识点快速记录下来,方便回头看书。二是分门别类整理重点、难点知识细节,把一类知识写下来,强化学习。三是可以经常把笔记拿出来看看。对一些自己没太掌握的知识点,更要看、写、记、背。有些重要的知识(比如身份认证的各种协议及相关应用、攻击)在OSG的很多章节都有相关知识,那么这个时候就更要汇总、归类、系统性整理到一起,以此加深对它们的全面理解。还比如企业治理框架、风险管理框架,osg书上只有一部分,还有一些在老师的讲议里、在度娘那里,这些,也要整理到一起方便学习。

4、好好上课,不要缺课。报班要花自己的钱,别让钱打水漂是关键。所以,每节课都认真听,认真做笔记,课前做好预习和课前作业,上课认真听讲,课后及时做复习。学习过程中多和学友、老师互动,不懂就问,哪怕说错了也没关系,因为这会更加加深你对知识的思考和理解,会叫的孩子学得多。我报的这个培训班,除了每周一天的线上直播课外,还有一套接近30个小时的网上录播课可以看。在整个的学习过程中,我除了直播课一节没落下外,在考试前三周的时间内,还以1.5倍速把录播课又全部仔细听了一遍,查漏补缺。

5、充分利用时间。上下班的路上(比如坐地铁时)、睡觉前,都是学习的好时候,要善于利用空闲(碎片)时间,聚少成多。我习惯于把习题打印出来,在上下班的路上就拿出来做题、看题。

二、关于练习

多做题,是学习任何一门知识的主要方法之一,CISSP也不例外。所以要充分掌握CISSP的知识,除了看书,剩下的就是刷题、刷题、再刷题。我从开始学习起,包括OSG(第8版)、AIO(第8、第9版)书本上的题,培训机构的题,以及自己各种方式搜索过来的题,前后刷了差不多2140道题,对于做题,我的方法是这样的:

1、把习题全部打印成纸制的来刷。建议有条件的可以这样,有几个好处:一是符合大多数人的传统学习习惯,看纸制材料还是方便些的,尤其是对读书这件事,二是可以在纸上做笔记,加强对知识的理解,三是可以带上身上随时翻看。

2、要反复刷、重点刷、刷重点。2140来道题,我总共加起来至少刷了至少4000道次,有些重点题要隔段时间反复刷,让它们的知识点在你的脑海里形成肌肉记忆。另外,对于错题,最好是能再单独挑出来整理成错题集,重新打印重新刷。比如,当时培训机构给的705道章节题,我整整刷了三遍,AIO第8版、第9版的综合题分别刷了两遍。

但请记住一点:刷题是刷知识,而不是刷题目本身。你今天刷的时候也许只知道错误接收率和错误拒绝率这个概念,明天你就能知道它的具体含义,还知道它们一个叫I类错误、一个叫II类错误,后天你就会知道交叉错误率,以及它们的应用场景(什么情况要杜绝I类错误、什么场景要杜绝II类错误)。我刷了2000来道题,真正考试的时候,遇到的与练习题样子几乎差不多的不超过5道,但知识点绝大部分覆盖到了。

3、对于每一道题一定要在书上翻到知识点的出处。它在第几章?书上哪一页?知道他在考什么,并把知识点记录在习题纸(或笔记本)上,对于每个题的每一个选项,也要能大概知道它是什么意思,映射的是其他什么知识,再重新复习书本知识,确保书本知识完全掌握。(当然,并不是所有的知识在OSG这一本书上都能翻到,书上没有的,就去别的地方找并且做笔记吧)。

要确保刷题的最终平均正确率达到75%以上,基本上就算掌握差不多了。

关于做题,还有个方法可以和大家分享:

我每次在刷一套题前会从三个维度来评价每一道题,一是自认为掌握了有把握的(认为这题一定能答对),二是似懂非懂的,三是完全懵逼的。每回答一题我都会把它归到一个维度里去。核对答案后,再看每个维度的正确率分布,如果说自认为有把握的都错得比较多,那就说明其实并没搞懂,只知其表而不知其里,如果完全懵逼的都对了不少,只能说明运气真不错,只不过,并不是每次都有那么好的运气。再根据分析的情况,调整学习方向与重点!目标是增大有把握的题的题量和正确率。

三、关于考试

完整的备战四个月,终于走上了战场,只要有努力就会有收获,虽然考试的过程中,有很多道题让我手心流汗,但最后走出考场,看到打印出来的成绩单后,内心是无比激动的。我又一次战胜了自己!

这次考完CISSP,给我的感觉是“既是一场脑力考试,更是一场体能测验”,250道题,6个小时,还真不那么容易熬过去。

怎么才能在战场上发挥出自己最好的状态,怎么能够让自己在最后一百米不掉链子呢,有些小心得也和大家分享一下:

1、考前调整心态,做好准备。因为这个考试时间比较长,坐久了可能会让人烦躁,所以,在考试前,一定要休息好,把心态调整平和,准备一些你认为能提神、能让你兴奋的东西。我这次考试的时间是11:45-17:45,中午的时间,吃午饭么又尴尬,所以我干脆就是前一天晚上美美的睡了一觉,第二天直接睡到9点起,然后煮碗面吃了,带上水、一块士力架、一支风油精就上了考场,没吃午饭。在考到4个多小时的时候,实在顶不住了,申请出来喝了口水、咬了口士力架、抹了点风油精,重上考场一撸到底。

2、考试的时候不要去刻意观察时间。考试时,电脑上是有本次考试倒计时的(分秒计时器),建议你不要过于去关注这个时间。统共6个小时,平均下来1.44分钟一道题,相对来说时间还是比较充足的。最主要的是你过于关注这个时间的话,会容易让你分心、注意力不集中,尤其是在中后段的时候,可能会引起你精神、情绪上的变化,“怎么还有这么久”、“我怎么还有这么多题没答”、“时间还够不够”,这势必会影响你的发挥。

3、一些应考技巧。一是认真读题,一定要把题读懂了再答,一遍读不懂读两遍,要知道它考的是什么知识;二是不要答太快,哪怕是遇到你一眼就熟悉的题,别秒选;三是中英文对照还是要看看的,有些翻译真的很坑;四是静心答题,不要东张西望,脑袋不要有太大的转动幅度,不要有过多的肢体、表情动作。

最后,给大家一点点小建议:如果你决定了要拿下CISSP认证,那么建议你,做好充分的准备,一鼓作气,一把拿下!除非你的意志非常的坚定,是那种越战越勇、越挫越勇的人(反正我不是那种人,一次搞不定我就歇菜)。因为这门课知识面是非常的广,考试也有那么点BT,如果一次考不下来,那么一而再,再而三,三而竭,越到后面会越没信心。关键是考试费贵啊,每次5000多大洋,谁不肉疼!

祝所有的CISSP学友们都能如愿!


文章来源: https://www.freebuf.com/articles/others-articles/356468.html
如有侵权请联系:admin#unsafe.sh