首页 > CISSP > CISSP认证介绍及学习历程分享
2019
11-28

CISSP认证介绍及学习历程分享

CISSP认证介绍及学习历程分享

一、简介

CISSP是“(ISC)²注册信息系统安全专家”,是由(ISC)²组织和管理,是目前全球范围内最权威、最专业、最系统的信息安全认证,可以证明证书持有者具备了符合国际标准要求的信息安全知识和经验能力,已经得到了全球范围的广泛认可(来自百度百科”CISSP”)。

CISSP的过程分为:认证和考试。现大陆持有证书人数2538人(参考官方统计:点击查看),据不完全统计包含持证未续费及未注册人员在1W人左右。认证介绍也可以参考国内(ISC)2的官方社区

CISSP认证介绍及学习历程分享 - 第1张  | 鹿鸣天涯

报考要求:

1、参加CISSP认证的人员需要遵守CISSP道德规范(即(ISC)²制定的职业守则)。

2、要有在信息系统安全通用知识框架(CBK)的八个领域之中拥有最少2个范围的专业经验5年(或者4年的有关专业经验及拥有学士资格或ISC2认可的证书)。

3、CISSP应考者还需要得到另外一位持有有效ISC2认证的专业人士的推荐确认。

考试:(两种方式任选一种)

1、自适应考试(根据现场答题情况自动变换题目难度、顺序等),即英文考试,题目100-150道,考试时长3小时,总分1000分得到700分通过。

2、线性考试(线性和固定格式,可选中文),题目250道,考试时长6小时,总分1000分得到700分通过。

题目类型:

CISSP题目全部为单(多)选题,包括单选项选择、拖图题、场景分析几种方式。CISSP题目偏向综合分析,需根据结合场景选择最合适的答案。

费用:

1、报考费用699美元。

2、认证维持年费125美元/年。

CBK考核范围:

CISSP认证介绍及学习历程分享 - 第2张  | 鹿鸣天涯

·安全与风险管理(安全、风险、合规、法律、法规、业务连续性)

·资产安全(保护资产的安全性)

·安全工程(安全工程与管理)

·通信与网络安全(设计和保护网络安全)

·身份与访问管理(访问控制和身份管理)

·安全评估与测试(设计、执行和分析安全测试)

·安全运营(基本概念、调查、事件管理、灾难恢复)

·软件开发安全(理解、应用、和实施软件安全)

挣取CPE学分:

只要您通过认证考试,并顺利获得证书,申请成为(ISC)2的会员,需要每三年重新进行认证,重新认证需要挣取继续教育(CPE)120学分,并缴纳年金$125。获取学分可关注官方邮件列表参与相关课程学习,或通过阅读与写作、志愿活动、参加会议等。

二、复习考试

2.1 复习

认证考试的大纲最新是2018年4月版。

推荐学习资料有以下三本:

·CISSP认证考试指南(第7版)(俗称的“ALL IN ONE”)

·CISSP官方学习指南(第7版)(白色封皮)

·Official (ISC)2 Guide to the CISSP CBK(课堂教材)

CISSP认证介绍及学习历程分享 - 第3张  | 鹿鸣天涯

CISSP认证介绍及学习历程分享 - 第4张  | 鹿鸣天涯

CISSP认证介绍及学习历程分享 - 第5张  | 鹿鸣天涯

CISSP的All in one(认证考试指南)及官方学习指南已根据新版大纲更新至第八版,但国内暂时无中文翻译版,因为与第七版更新差别不大,可根据第七版(中文)进行复习。

复习:

其他学长都建议从ALL IN ONE直接开始看起来,因为这本书是公认的最好的复习材料。一般建议先从课堂教材CBK开始,先看一遍,然后All in one(认证考试指南)精读细读一边,最后针对考试看一遍官方的认证考试指南。

课堂教材CBK是英文翻译版,适用于课堂讲课及做笔记,具体内容进行了分块精简,不适合用来复习考试,但依然建议看一遍。

All inone(认证考试指南)是公认最好的复习材料,各个章节对技术原理讲解比较细致,部分内容过于陈旧过于琐碎,因此导致此书对应试考试型来说有些脱离题目设置。但其技术原理讲解比较透彻,对安全技术基础不是特别好的同学,不仅适用考试复习,也可以作为平时工作学习的手边参考书。此书建议通读一遍,细读一遍。

官方学习指南是参考考纲的章节设置,直接针对考试题目设置,比较适合复习后期开始模拟考题复习。

第一次参加培训:从2018年5月份参加了培训班5天课程,这是考纲的八个域的第一遍学习。课堂培训上完课以后,我用了一个月的时间粗略看了一遍CBK,中间把课堂老师讲到的重点以笔记形式记录下来。然后再购买书籍的时候,网上官方学习指南大多缺货,只买到了All in one(认证考试指南)一本。

第一遍All in one细读:因为没有确定考试准备,此中间休息了两个月没有看书。从8月份开始细读All in one,两个多月的时间细读了一遍,事先进行了时间安排,预估每周复习一个章节。每天按照安排6点钟早起,上班前看书一个半小时,晚上8点左右开始,两到两个半小时左右,基本上保障每天3-4个小时的看书时间(平均每天30页)。每一章节后的练习题,在复习完第二天进行集中答题练习,然后对比答案,以用来作为前一章节的复习。

第二次参加培训:2018年9月份,当我All in one看到第七章节时,恰巧有机会又在周末时间去上了一遍课程,这次主要是针对前面看书的情况进行了重点听讲。这期间把All in one全部看完了第一遍,基本上前面看的也忘得差不多了,很多考点还不是很清晰,思路有点乱。课程结束最后,跟着老师一起预估了一套模拟题,正确率在60%,因为我学习和工作都是信息安全方向,所以基础还算可以,但我知道还远未达到可通过的水平。

第二遍All in one粗读:因为拖得周期比较长,前面看了到后面就忘记了,国庆节后10月份我准备再把All in one过一遍,这次以考纲和重点内容为主。这次用了一个月时间,平均每天3个小时左右,一周完成两个章节内容或课后习题练习。我用标签纸把所有考试重点及重要的技术点所在的页码贴好,重点考试内容记录笔记,在课后习题时再回头把考到的内容仔细再看一遍。

最后冲刺:进度安排主要以All in one课后习题、模拟题为主,做题目然后对比答案,只需要课后习题和一套模拟题,对每道题目的对应知识点做了一本错题本和重要知识点梳理,记录了一本笔记。到了11月份,开始准备预约考试时间了,本来想在准备两个月到元旦左右考试,因为自己没有把握,所以一直按照两个月的时间来安排的计划,结果11月底预约考试时,只有12月12日考场还有空位,否则只能往元旦后再推。临近考试,经过一番思想斗争,我毅然决然报名参加了考试(复习战线拉长会磨削自己耐性不利于复习效果)。在11月份这一个月左右,主要以All in one课后习题、模拟题(多套)、官方学习指南的课后习题为主,重要知识点梳理记笔记,错题整理。中间正确率在70%多一点,要达到正确率在80%,这个跨越确实有点难,感觉复习达到了瓶颈,心理开始变得紧张浮躁。这时候,我找了已经考试的同学和老师进行了请教沟通,了解他们的复习方法和给的建议,慢慢调整心态(特别感谢他们)。

模拟考试:最后在考前一周,我留了几天用来自己模拟考试,特地留了几套模拟题目。我利用一个封闭的小会议室,模拟正式考场环境,一次性做一套题目,过程中抛弃手机,除了上厕所不理会别的事情。此次练习,主要是在模拟考试的内容同时,体会长达6个小时的重要考试的心理历程,以及身体对此的反应,感受考试环境带来的身体的劳累、疲惫、紧张和心理缓和,感觉自己做题的速度合理安排时间。这种考试是体力、脑力、精神和心理的考验,“知彼知己”才能把握好节奏,顺清楚思绪,在答题是做到思路清晰、心智明了。最后模拟了两次,正确率在80%以上,终于达到可以去考试的标准水平了。

总结建议:

复习主要以提到的三本书为主,CBK粗读一遍基本就可以了;All in one,以基础知识讲解为主,基础稍差的同学建议复习以此书(中文版)为主,对技术讲解比较细致,建议All in one至少看两遍,有基础的同学也要细读一遍;官方学习指南是针对考试考纲设计,更符合考试,建议也要看一遍。至于选择哪一本书作为复习主要材料,个人不建议使用CBK,最好All in one和官方学习指南相结合,各细读一遍,粗读时前期复习理解知识重点以All in one为主,后期面向考试模拟时以官方学习指南为主。

关于复习是否使用英文教材?无论教材还是考试题目,中英文因为翻译的原因,多少存在差距,会导致题目意思被曲解。所以建议英文好的同学可以直接看英文书籍,或者中英文辅助(中文All in one+中文版官方学习指南+英文版官方学习指南),英文不是特别好的建议直接用中文版进行复习,后期做课后练习题时,可以用翻译工具中英文对照进行复习。在做模拟题时,模拟题目都是有中英文对照的,在有不理解的地方一定要对照英文,真实考试中有中文翻译是错误的。

复习时间多久为宜?网上前期学长们主要集中复习时间大多在4-6个月左右,也有2个月时间突击的。我个人建议,除考前模拟考试外不建议请假全天候复习,除非已经报考时间紧急,建议4-6个月,工作日每天保证3小时左右的复习时间。

看书复习有哪些方法?我的复习过程比较笨,就是通读,细读,课后习题,找重点,错题记录。第一点,一定要合理安排时间,根据总体时间和章节,每天看多少页书,要做好合理规划。第二点,一定要坚持,在复习过程中,一定会遇到瓶颈时期,看书看不下去,书本太厚看完遥遥无期,或者模拟题总是错同样的知识点,正确率提升不了,这个时候一定不要放弃,按照计划慢慢看完,等你回头来看时可能就理解这个知识点了。第三点,多与同学交流,交流学习方法,交流对题目的理解,多向他人请教,不要让自己钻进牛角尖里。

复习到何种程度去报考?复习过程中,要能够清楚了解具体知识点考察哪些内容,相关内容属于那一章节的哪些知识点。考题中有25道题目属于不计分测试题目,模拟跟实际考试存在心理和技术发挥问题,一般推荐模拟考试正确率在80%以上,再去进行考试报名。

如何思考题目理解题意?常常题目内容全都认识,可完全不理解题目的出题意图,不知道如何作答。题目中很少是非黑即白的纯理论知识答案,大多题目需要理解然后作答,这个时候请尽量把题目意思带入到自己的实际工作经验场景中去,这样会比较容易理解。大多题目不会只有一个答案,乍一看似乎至少有两个答案都是正确的,一定要充分利用排除法、代入法、比较法,理解场景设置选择最优选项。

个人体会“六句话”:合理安排规划、保证每天学习时间、坚持不泄不躁、错题本很重要、模拟题目1000-2000道、代入实际工作经验中才能显高效。

2.2 考试

报考:

CISSP的考试由VUE考试中心管理,在国内有北京、上海、广州几个考点,一个考点内一般会有10多个考试座位,每天都有人预约考试,所以你需要提前通过考试中心官网(自己缴费)或者培训班(代理缴费)的方式提前预约考试时间,建议一般在提前一个月时间预约,以留取一个月的最后复习时间。

如需更改考试日期,必须至少提前2个工作日(48小时)通知,少于24小时无法更改和取消,(改期手续费,50美金,取消该考试,100美金)否则您的考试将被作废。

报考后会收到邮件提示,告诉你考点的详细地址、考试具体时间、所需要携带的证件及注意事项、证书申请流程。

考前准备:

1、考试时请带上两个有效证件:身份证、军官证、护照、驾驶证(任选一);以及信用卡、医保卡、社保卡、(任选一),需要两个证件同时有效。

2、考试6小时,时间不间断,中间可以去厕所及吃饭,耗费体力需要准备一些干粮。

3、熟悉交通路线,提前参观考场环境,提前预定来往车票及附近酒店,注意饮食。

考试过程:

考试会要求提前半小时入场(考试流程顺序及注意事项及不讲了),考试过程中,一定要心平气和放松心态,按照平时做题速度进行,切忌心浮急躁答题速度过快。部分题目中英文翻译南辕北辙,有些中文翻译题目词语错误的会在其上直接划掉(类似“在法医取证过程中”),当发现有疑问时,可切换英文对照读题。当做题时间一小时以后会有疲惫感觉,可以申请休息(吃点东西或去厕所),特别是感觉不顺,切忌浮躁。我提前模拟过两次,所以心态基本平稳,做题时间4个小时未休息基本完成题目,用了半个多小时进行回顾检查。暂时不确定答案的题目可以先标记(一般来说第一感觉最准确),答完所有题目后提交前,系统会提示你回顾做了标记的题目。考试过程中,一般来说时间充裕,一定要自己审题。

认证背书:

考试完成后,可提前示意老师交卷,走出考试间,老师会当场打印考试成绩(通过与否),当然也会收到官方邮件通知,如果通过后,需要9个月内完成会员申请,登录(ISC)²官方网站(填写个人信息),使用注册账号填写背书审核材料(个人经历证明审核及已通过认证人员的担保),然后等待官方审核的邮件通知(认证背书不细赘),背书流程可能需要6周左右,待审核通过大概需要8周左右收到纸质证书。

其他建议:

是否选择英文考试?英文水平较高者,建议选择英文,考题没有歧义。英文为自适应考试,考试系统根据你的答题情况,调整出题难度,题目数量较少时间较短,但自适应考试有看运气的成分。英文水平不佳的最好建议选择中文考试,但模拟及考试时一定要中英文对照进行。

考场能否提前查看?建议提前一天到考场视察环境,以防止临时情况耽误考试导致迟到。

是否会有几率被抽取进行重考?考试后,官方会根据监控视频进行心理测评和考题情况分析,有极小几率部分人员会被抽取进行重考(重考采用全新的题库)。从被抽中考试的情况来看,一则是看运气,二则分数不能考的太高或太低,做题目速度不要太快,同期同学不要扎堆一起报考。

不计分题目如何设置的?考试题目有25道题目仅供官方测试之用,用于调整考试大纲、测试难易程度或者新技术,不计入总分,但也不标注那些题目为不计分题目。

考试难度如何?CISSP跟国内CISP很早就签署了准备互认的备忘录,只因在法律法规方面不统一至今未达成互认,对技术的考核两者同样都是“一公里宽一厘米深”。但作为一个国际上认可度比较高的高级证书,个人认为CISSP的难度等级比CISP高1-2个级别,但在我参与过的认证考试中,不认为其是最难的考试,毕竟只是涉及知识面广泛,对技术基础和工作经验有一定要求。

CISSP 英文全称:“ Certified Information Systems Security Professional”,中文全称:“(ISC)²注册信息系统安全专家”,由(ISC)²组织和管理,是目前全球范围内最权威,最专业,最系统的信息安全认证。
考试的价值在于可以迅速建立起个人对安全体系的知识框架。

CISSP考纲包括8个CBK:
1.安全与风险管理 (安全、风险、合规、法律、法规、业务连续性)

涵盖了信息安全的 基本概念。CIA原则、安全治理和合规、法律法规、个人安全策略、风险管理、威胁模型。

2.资产安全 (保护资产的安全性)

在资产生命周期中如何保护。信息分类、保持所有权、隐私、数据安全控制、需求处理。

3.安全工程 (安全工程与管理)

如何保护信息系统的安全。安全设计原则、措施、缓解脆弱性、密码学、物理安全

4.通信与网络安全 (设计和保护网络安全 )

如何保护网络架构、通信技术。安全的网络架构、网络组件、安全的通信、网络层攻击。

5.身份与访问管理 (访问控制和身份管理 )

包括控制物理和逻辑访问、身份标识与认证、身份即服务、授权方法、访问控制攻击。

6.安全评估与测试 (设计、执行和分析安全测试)

评估和测试策略、测试安全控制、收集安全过程数据、分析和报告结果、开展和促进审计。

7.安全运营 (基本概念、调查、事件管理、灾难恢复)

维护网络安全的活动。包括调查、日志监控、安全资源配置、事故管理、预防措施、变更管理、业务连续性、物理安全管理。

8.软件开发安全 (理解、应用、和实施软件安全)

应用安全原则去开发软件系统。软件开发生命周期中的安全、开发活动中的安全控制、评估软件安全、评估外部获取软件的安全性。

上述8个领域基本涵盖了安全工作中的所有方面。

复习材料有:

CISSP All in One(有中文版)

CISSP OSG官方学习指南

以CISSP All in One(第六版)为例,将会学习以下内容:

信息安全治理与风险管理
包括基本原则,安全框架,风险管理、风险评估和分析;
安全策略、信息分类、责任分工。

访问控制
包括原则,身份认证,访问控制模型、方法和技术,可问责性。

安全架构和设计
包括计算机架构、安全模型、通用准则。

物理和环境安全
包括物理安全规划、支持系统、周边安全。

通信与网络安全
包括ISO模型、TCP/IP模型、布线、互联技术和设备、远程连接、无线技术。

密码技术
密码概念、类型;加密方法,公钥基础设施,链路加密,常见攻击。

业务连续性与灾难恢复
BCP项目组成,恢复战略。

法律法规、合规和调查
计算机犯罪、知识产权、隐私。

软件开发安全
包括系统的开发生命周期,开发模型,变更控制,分布式计算,web安全,数据库安全,人工智能,恶意软件。

安全运营
角色分工,运营责任,配置管理,介质管理,数据泄露,系统可用性,脆弱性测试。

考试时间

6个小时完成250道题

考试通过后,可在9个月内申请证书。申请证书需要的学历和工作经验条件,考试通过后的通知邮件里的链接会有详细的描述。

现行证书申请流程要求,必须有一位持有有效CISSP证书的专业人士,为申请人提供背书(endorsement)。各位可以通过同事,搜索LinkedIn,查找微信公众号(ISC2xx分会)等方式找到很多热心的CISSP大神,请他们为自己背书。如果确实找不到,也可以在申请证书时选择由ISC2提供背书的方式。

背书申请可直接在ISC2官网上提交。各位用注册邮箱登录后,输入背书大神的姓和证书号码,然后按照后续页面要求填写自己的工作经历,注意一定要把工作内容和信息安全知识域联系起来,而且时间加起来要超过5年。填完简历后提交背书,帮你背书的CISSP会收到一封邮件通知。

等待审核及证书寄送
背书完成后,申请人的注册邮箱会收到一封标题为“Endorsements”的确认邮件,告知申请人ISC2已收到申请和背书资料,开始安排审核。请确保证书邮寄地址填写正确。审核预计需要6周时间,如果6周后还没有收到消息,请发邮件到某某邮箱等等。

最后编辑:
作者:jacky
这个作者貌似有点懒,什么都没有留下。

留下一个回复

你的email不会被公开。