認證背景
先分享下我個人選擇考取安全認證的原由吧,關注安全認證有幾年時間了,但由於工作原因一直未能抽出時間(忙成狗)來備考(給自己找了個完美的藉口)。各方面的原因,離開了原有工作單位,出於個人以及新單位的需求,便將考取一個權威的安全認證這件事提上了日程,主要原因有如下幾個方面:
1、給予自己這幾年的工作經驗一個交待,同時借這個認證來包裝下自己,讓自己看起來能夠更加秀外慧中一點(自己先這麼YY下);
2、希望藉助於備考的過程,完善自己的知識體系,講得俗氣一點,投資一下自己,讓自己看待問題更有廣度與深度;
3、擴展一下自己的圈子,多交一些圈內朋友,降低自己成爲井底之蛙的概率;
4、升職不行,加薪的需求還是有。
認證選擇
現階段主流安全認證類型主要分爲三個類型:
1、廠商安全認證:各大IT廠商(例如思科、華爲、華三)傾向於具體的技術細節。
2、國際安全認證:目前來看主要以CISSP作爲主流之選,以培養CSO,CISO爲主要目標。當然細分的還有許多,例如CISA,27001LA,COBIT,ITIL等。
3、國內安全認證:國內安全認證當數國內安全第一證CISP了。
那麼問題來了,根據個人的工作內容進行選擇,首先排除了廠商的認證,然後在CISP與CISSP之間進行選擇,相信有很多朋友在做選擇時也會犯上選擇困難症,接下來分享下我選擇的心理歷程,在做考取證書選擇時,主要從如下幾個方面進行了比較:
1、證書含金量:證書整體口碑,整體上講兩個證書都具有較好的口碑(權當這樣講),CISP幾乎已經成爲國內安全從業人員的基本認證了。
2、證書的認可範圍:CISSP國際範圍有效,CISP國內有效(說了當沒說,哈哈);行業認可範圍:ZF類單位認可CISP;外個、金融、較高安全要求類單位認可CISSP。
3、證書考取難易程度:CISP 10天左右(視不同的培訓機構,培訓時長有一定的不同,官方數據爲8天,新版CISP已將培訓時長縮短爲5天),基本上完成集訓後都能順利通過考試;CISSP相對較難,培訓時長一般爲5天(這五天就是聽老師吹牛逼),然後就是3-4個月的備考時間。
4、備考內容針對工作的實際幫助程度:只要靜下心學習,不只拿證爲目的,兩個證書內容相似,都可以帶來幫助,當然具體的幫助程度要看自己所從事的細分工作了。
5、證書花費:CISP:12800(包含培訓、考試費用、三年證書維持金。注:強制參加培訓),有一定的價格空間,具體可與培訓機構你來我往戰鬥一番;CISSP:考試費用699美金,培訓費用各個機構價格不一樣,當然提供的服務也不一樣,各取所需,當然也可以不參加培訓,自己備考。
6、培訓地點:CISSP只在北上廣深有培訓點,CISP在全國大多數城市都有開設培訓點,順便說一句,由於我在3D魔法城市,因此在這個問題上也讓我爲了難,因爲會涉及到一大筆的機票與住宿費用。
培訓機構選擇
1、機構實力:培訓機構主要在某安與某哲之間做選擇,兩個機構都有資深的培訓經驗與資深的講師,不相上下。
2、資金花費:請先參考上一小節第5點所述,其中某哲與某安都有一個基礎價,價格在6-7K之間,某安還提供一個保障班,價格在10K+,不過包賠考試費用。
基於屌絲現狀與美女老師的接待,我選擇了某哲,再添加一句,某哲的服務態度非常好。
備考歷程
整體方面:
1、備考時間:我花費了5個月時間(7-12月)。
2、備考資料:ALL IN ONE第6版+官方備考指南第7版(某哲獨有,某安暫無版權)
——————————————————————————————————
華麗分割線,接下來開始我的流水賬
7-8月:細讀ALL IN ONE第6版,強烈推薦細讀此書,講解細緻,作者幽默風趣(只可惜天妒英才,作者已逝),此書有英文與中文兩個版本,部分內容我是將兩個版本對照進行閱讀與理解,當然如果你的英文水平非常好,強烈建議直接閱讀英文原版。ALL IN ONE每章後都有相應的練習題供知識點的回顧,可藉此強化自己對知識點的理解,ALL IN ONE還配備一套光盤教程,但由於我的英文水平有限,聽起來太吃力,也就果斷放棄了。
8-9月:細讀官方指南,其中有大約70%的內容與ALL IN ONE知識點一致,另外30%是ALL IN ONE當中所沒有的知識點,但不得不吐槽一下,其知識點的描述與完整程度完全沒有ALL IN ONE來得好(某哲別弄我,接下來講這本書的好處),這本書在每章節後面都有一個小結回顧,個人非常喜歡這個小結回顧,他完全是提升了一個高度來進行回顧,可以從讓你脫離具體的細節知識點上升一個階梯總結所學。
9-10月:再次細讀ALL IN ONE,個人偏好,確實更喜歡閱讀這本書,當然也可能是由於自已單獨掏錢購買,紙張更好,看着更舒服的原因(這個理由似乎可以在公共平臺上發表),每二遍閱讀的速度明顯快於第一遍,因爲很多知識點之前都有花費較多的時間去各方查詢與理解。
11-12月:開始做練習題,針對自己沒有理解到的知識點,立刻回到書本當中去尋找答案,當然兩本書對於很多的知識點都只是一帶而過,例如SAML XSAML SPML SOC HTML5等相關知識點,具體理解還得多虧度娘與衆多好友以及培訓導師的耐心解答,在此深表感謝。
衝刺階段:最後20天衝刺階段,再次泛讀兩本書,建立自己的知識結構體系,以及練習題的錯題回顧。
時間分配而言,我的週期較長,正常情況是備考三個月,我採取的是細水長流的方式,平均每天堅持花費大約4小時(晚3+早1)(算上節假日與白天工作有空閒查詢知識點的時間)。
考試回顧
考試總時長360分鐘,總題目數250題,平均一題差不多90秒,中間休息時,時間不會暫停,看起來時間會很緊張,但是大家完全不用擔心時間不夠用的問題,在做題速度上你可以有充分的自信,據說一些大神180分鐘便可做,我整體花費了240分鐘,然後使用近60分鐘的時間來回顧標記需檢查的題目,由於有午睡的習慣,擔心下午精神狀態不好,我選擇的是在上午9點開考,根據個人習慣,有很多的朋友選擇是下午1點開考。
依照之前通過考試朋友的建議,做完100道題後休息10分鐘,然後做完150道再次休息10分鐘,然後回到考場檢查標記題目直到交卷,並建議備好紅牛與士力架。可能由於休息得很好的原因(我是在廣州考場,附近有一家漢庭酒店,在一個巷子裏面,很幽靜,適合考前睡眠,此處有廣告嫌疑了),原計劃做完100題後休息,結果發現狀態奇好,又計劃做到第150題的時候休息,此時人生三急有點體現了,腦袋有點暈脹了(此時連續考試差不多有3個小時了),但我覺得此時的狀態還是很不錯,思維集中程度較高,擔心休息後會出現思維再次難以集中的情況,因爲我選擇繼續答題,直到第200題的時候,感覺實在是憋不住了,果斷舉手召喚監考老師,我要休息!我要上廁所!(其中第185-200題的狀態不太好,注意力不太集中,讀題2-3遍都沒讀懂題目在問什麼內容,這部分的題目錯誤率應該較高,因此建議大家最多做到第150題的時候,還是好好休息一下,同時也解決一下個人問題);休息期間就喝了幾口熱水(我備了士力架與熱水,頭晚購買士力架的時候,本來購買5條,結果收銀小妹說這個10塊三條,要不你再拿一條吧,然後以滿懷期待的眼神看着我,我當機立斷,立馬再拿了一條,共計6條20元;由於平時沒有吃太多零食的習慣,此時雖然有些餓了,但對士力架完全無慾望,至今6條士力架還留在我的揹包裏,權當做個紀念了吧)。回到座位,完成最後50題的選擇與標註記題目的二次選擇(我改了5題),狀態進入得還蠻快,果然休息一下還是很有效果。可能我有強迫症,擔心勾選的答案不是自己所選擇的,然後又花了大約半個小時的時間將所有的題目答案全部確認了一遍。
注意事項:
1、提前至少半小時到達考場,監考老師會做考前規則的宣讀與身份的確認,過程還是蠻長。
2、需準備雙證件,一般都選擇身份Z(51屏蔽)+簽名信用卡。
3、進入考場前所有物品老師會分配一把鑰匙給你鎖在小櫃子裏,外套必須脫下掛在外面,建議根據各地氣溫的情況選擇裏面的衣服注意保暖(我脫掉外套後就只剩下一件非常薄的襯衫了,剛好遇上廣州降溫,雖說有室內空調,但還是覺得涼颼颼,舒適度較差)
總結:考試內容針對需要死記硬背的內容非常少,絕大多數考察內容是針對概念,流程的深入理解,結合實際應用場景進行考察,選項當中不乏衆多讓人糾結的選項,建議一定好好洗個頭,因爲讓人撓頭的次數不會少。
4、該休息時果斷休息,休息之後,狀態恢復沒有想像中的那麼慢。
說在最後的話
CISSP雖說是國際信息安全專家認證,但我將之定位在信息安全人員從業認證,通過CISSP考試只是一個新的開端,“路漫漫其修遠,吾輩須上下求索”。重在過程積累,希望我分享的內容能給大家所有幫助,借之前一朋友說的話“度人度已”,爲自己積善積福,祝願各位看官順利通過!
心懷天下,細盡已責~