认证背景
先分享下我个人选择考取安全认证的原由吧,关注安全认证有几年时间了,但由于工作原因一直未能抽出时间(忙成狗)来备考(给自己找了个完美的借口)。各方面的原因,离开了原有工作单位,出于个人以及新单位的需求,便将考取一个权威的安全认证这件事提上了日程,主要原因有如下几个方面:
1、给予自己这几年的工作经验一个交待,同时借这个认证来包装下自己,让自己看起来能够更加秀外慧中一点(自己先这么YY下);
2、希望借助于备考的过程,完善自己的知识体系,讲得俗气一点,投资一下自己,让自己看待问题更有广度与深度;
3、扩展一下自己的圈子,多交一些圈内朋友,降低自己成为井底之蛙的概率;
4、升职不行,加薪的需求还是有。
认证选择
现阶段主流安全认证类型主要分为三个类型:
1、厂商安全认证:各大IT厂商(例如思科、华为、华三)倾向于具体的技术细节。
2、国际安全认证:目前来看主要以CISSP作为主流之选,以培养CSO,CISO为主要目标。当然细分的还有许多,例如CISA,27001LA,COBIT,ITIL等。
3、国内安全认证:国内安全认证当数国内安全第一证CISP了。
那么问题来了,根据个人的工作内容进行选择,首先排除了厂商的认证,然后在CISP与CISSP之间进行选择,相信有很多朋友在做选择时也会犯上选择困难症,接下来分享下我选择的心理历程,在做考取证书选择时,主要从如下几个方面进行了比较:
1、证书含金量:证书整体口碑,整体上讲两个证书都具有较好的口碑(权当这样讲),CISP几乎已经成为国内安全从业人员的基本认证了。
2、证书的认可范围:CISSP国际范围有效,CISP国内有效(说了当没说,哈哈);行业认可范围:ZF类单位认可CISP;外个、金融、较高安全要求类单位认可CISSP。
3、证书考取难易程度:CISP 10天左右(视不同的培训机构,培训时长有一定的不同,官方数据为8天,新版CISP已将培训时长缩短为5天),基本上完成集训后都能顺利通过考试;CISSP相对较难,培训时长一般为5天(这五天就是听老师吹牛逼),然后就是3-4个月的备考时间。
4、备考内容针对工作的实际帮助程度:只要静下心学习,不只拿证为目的,两个证书内容相似,都可以带来帮助,当然具体的帮助程度要看自己所从事的细分工作了。
5、证书花费:CISP:12800(包含培训、考试费用、三年证书维持金。注:强制参加培训),有一定的价格空间,具体可与培训机构你来我往战斗一番;CISSP:考试费用699美金,培训费用各个机构价格不一样,当然提供的服务也不一样,各取所需,当然也可以不参加培训,自己备考。
6、培训地点:CISSP只在北上广深有培训点,CISP在全国大多数城市都有开设培训点,顺便说一句,由于我在3D魔法城市,因此在这个问题上也让我为了难,因为会涉及到一大笔的机票与住宿费用。
培训机构选择
1、机构实力:培训机构主要在某安与某哲之间做选择,两个机构都有资深的培训经验与资深的讲师,不相上下。
2、资金花费:请先参考上一小节第5点所述,其中某哲与某安都有一个基础价,价格在6-7K之间,某安还提供一个保障班,价格在10K+,不过包赔考试费用。
基于屌丝现状与美女老师的接待,我选择了某哲,再添加一句,某哲的服务态度非常好。
备考历程
整体方面:
1、备考时间:我花费了5个月时间(7-12月)。
2、备考资料:ALL IN ONE第6版+官方备考指南第7版(某哲独有,某安暂无版权)
——————————————————————————————————
华丽分割线,接下来开始我的流水账
7-8月:细读ALL IN ONE第6版,强烈推荐细读此书,讲解细致,作者幽默风趣(只可惜天妒英才,作者已逝),此书有英文与中文两个版本,部分内容我是将两个版本对照进行阅读与理解,当然如果你的英文水平非常好,强烈建议直接阅读英文原版。ALL IN ONE每章后都有相应的练习题供知识点的回顾,可借此强化自己对知识点的理解,ALL IN ONE还配备一套光盘教程,但由于我的英文水平有限,听起来太吃力,也就果断放弃了。
8-9月:细读官方指南,其中有大约70%的内容与ALL IN ONE知识点一致,另外30%是ALL IN ONE当中所没有的知识点,但不得不吐槽一下,其知识点的描述与完整程度完全没有ALL IN ONE来得好(某哲别弄我,接下来讲这本书的好处),这本书在每章节后面都有一个小结回顾,个人非常喜欢这个小结回顾,他完全是提升了一个高度来进行回顾,可以从让你脱离具体的细节知识点上升一个阶梯总结所学。
9-10月:再次细读ALL IN ONE,个人偏好,确实更喜欢阅读这本书,当然也可能是由于自已单独掏钱购买,纸张更好,看着更舒服的原因(这个理由似乎可以在公共平台上发表),每二遍阅读的速度明显快于第一遍,因为很多知识点之前都有花费较多的时间去各方查询与理解。
11-12月:开始做练习题,针对自己没有理解到的知识点,立刻回到书本当中去寻找答案,当然两本书对于很多的知识点都只是一带而过,例如SAML XSAML SPML SOC HTML5等相关知识点,具体理解还得多亏度娘与众多好友以及培训导师的耐心解答,在此深表感谢。
冲刺阶段:最后20天冲刺阶段,再次泛读两本书,建立自己的知识结构体系,以及练习题的错题回顾。
时间分配而言,我的周期较长,正常情况是备考三个月,我采取的是细水长流的方式,平均每天坚持花费大约4小时(晚3+早1)(算上节假日与白天工作有空闲查询知识点的时间)。
考试回顾
考试总时长360分钟,总题目数250题,平均一题差不多90秒,中间休息时,时间不会暂停,看起来时间会很紧张,但是大家完全不用担心时间不够用的问题,在做题速度上你可以有充分的自信,据说一些大神180分钟便可做,我整体花费了240分钟,然后使用近60分钟的时间来回顾标记需检查的题目,由于有午睡的习惯,担心下午精神状态不好,我选择的是在上午9点开考,根据个人习惯,有很多的朋友选择是下午1点开考。
依照之前通过考试朋友的建议,做完100道题后休息10分钟,然后做完150道再次休息10分钟,然后回到考场检查标记题目直到交卷,并建议备好红牛与士力架。可能由于休息得很好的原因(我是在广州考场,附近有一家汉庭酒店,在一个巷子里面,很幽静,适合考前睡眠,此处有广告嫌疑了),原计划做完100题后休息,结果发现状态奇好,又计划做到第150题的时候休息,此时人生三急有点体现了,脑袋有点晕胀了(此时连续考试差不多有3个小时了),但我觉得此时的状态还是很不错,思维集中程度较高,担心休息后会出现思维再次难以集中的情况,因为我选择继续答题,直到第200题的时候,感觉实在是憋不住了,果断举手召唤监考老师,我要休息!我要上厕所!(其中第185-200题的状态不太好,注意力不太集中,读题2-3遍都没读懂题目在问什么内容,这部分的题目错误率应该较高,因此建议大家最多做到第150题的时候,还是好好休息一下,同时也解决一下个人问题);休息期间就喝了几口热水(我备了士力架与热水,头晚购买士力架的时候,本来购买5条,结果收银小妹说这个10块三条,要不你再拿一条吧,然后以满怀期待的眼神看着我,我当机立断,立马再拿了一条,共计6条20元;由于平时没有吃太多零食的习惯,此时虽然有些饿了,但对士力架完全无欲望,至今6条士力架还留在我的揹包里,权当做个纪念了吧)。回到座位,完成最后50题的选择与标注记题目的二次选择(我改了5题),状态进入得还蛮快,果然休息一下还是很有效果。可能我有强迫症,担心勾选的答案不是自己所选择的,然后又花了大约半个小时的时间将所有的题目答案全部确认了一遍。
注意事项:
1、提前至少半小时到达考场,监考老师会做考前规则的宣读与身份的确认,过程还是蛮长。
2、需准备双证件,一般都选择身份Z(51屏蔽)+签名信用卡。
3、进入考场前所有物品老师会分配一把钥匙给你锁在小柜子里,外套必须脱下挂在外面,建议根据各地气温的情况选择里面的衣服注意保暖(我脱掉外套后就只剩下一件非常薄的衬衫了,刚好遇上广州降温,虽说有室内空调,但还是觉得凉飕飕,舒适度较差)
总结:考试内容针对需要死记硬背的内容非常少,绝大多数考察内容是针对概念,流程的深入理解,结合实际应用场景进行考察,选项当中不乏众多让人纠结的选项,建议一定好好洗个头,因为让人挠头的次数不会少。
4、该休息时果断休息,休息之后,状态恢复没有想像中的那么慢。
说在最后的话
CISSP虽说是国际信息安全专家认证,但我将之定位在信息安全人员从业认证,通过CISSP考试只是一个新的开端,“路漫漫其修远,吾辈须上下求索”。重在过程积累,希望我分享的内容能给大家所有帮助,借之前一朋友说的话“度人度已”,为自己积善积福,祝愿各位看官顺利通过!
心怀天下,细尽已责~