|
|
发表于 2018-12-18 22:14
来自手机
|显示全部楼层
此文章由 koyuu 原创或转贴,不代表本站立场和观点,版权归 oursteps.com.au 和作者 koyuu 所有!转贴必须注明作者、出处和本声明,并保持内容完整
本帖最后由 koyuu 于 2019-6-12 16:42 编辑
个人觉得在cybersecurity这行混还是需要撸些证书的。
撸些cissp,ccsp,security+,ceh,ocsp,cism,cisa等等证书还是很有价值。一方面的确可以补完知识体系,扩充行业认识。另一方面对职业生涯的进步也是颇多助益。
在撸cissp过程中通过不同主题的学习与思考自己确实感觉收益良多,做到了不只是拿下一份证书,更多的是重新整理认识了security的框架以及方法论。
足迹上牛人多多,望多沟通交流撸证经验。
-------------------------------------------------------------------------------------------------------------------------------------------------
分享下半年前通过CISSP考试的一些心得:
刚毕业时候就知道有这个证书了,那时公司一个同事通过了这个考试鼓掌祝贺的的时候,觉得这个东东对于自己很遥不可及。当许多年后的自己也顺利通过考试的时候,体会到的只是一刹那的解脱和放松 并没有特别的兴奋。 其实通过了这个考试并不说明什么,一切才刚刚开始。
CISSP考试主要是面向安全管理,对技术的要求并不高。但胜在知识面广,即“一英里宽一英寸深”。
1.考试的特点
a. 8个域的内容什么都会考,随机抽取,没有重点,但是有的知识域(章节)出题权重(数量)比较多。从准备角度来看,必须掌握大纲、教材或辅导书里的知识点;从做题角度来看,押题或收集真题是没必要也没意义的,官方的章节练习题、测试习题都很好的覆盖了知识点以及题型,且考试不会出现曾经做过的一样的题,但理解了知识点就一定能通过。另外考试最后成绩的统计是要求8个知识域都要达到及格线以上。有任何域不通过都会判fail ,这也是这个考试的难度较大的原因之一。
b. 考试没有技术难度大的分析,不研究具体的算法和协议,只要求理解各种模型、标准、算法、协议、流程的优缺点、应用方法与要求等,有计算机基础的人肯定看得懂。目的是知道该用什么技术来解决什么问题,而不是钻研某个技术的详细实现。大量考题都是在一个设定的场景里考基本的理论。
c. 考试内容一定在CBK或者官方指定教材中,绝不会超出;据不完全统计,按照考试大纲,8个域共有65个章节(模块)、198个小节(要点)、1486个知识点(考点)。
d.大部分知识点并不是独立的,是互相关联、综合运用的,必须通过反复阅读和归纳总结来理清关系,建立知识体系,清晰的掌握相关联知识的应用领域、应用场景和方法。
e.应试和运用是完全不同的,考过了这个证还是什么都不会,仍然成不了技术专家;当然,有这个公认的含金量高的认证,是一种认可,方便找工作和升职,而且学习过程可以梳理构建自己的知识体系,知道如何构建和运营一个完善的安防体系,也能结交人脉,对于提升综合能力有很大帮助。就像考驾照一样,考过了就有资格开车上路了,但你还是不敢马上独立跑高速、跑长途,必须搞台车练练手,才能成为老司机;相反,很多老司机常年跑车,但让他去再考一次驾照,不好好准备肯定过不了。技术高手不需要证书来证明,而且技术高手考试的通过率还都不高,因为他没有掌握考试的精髓。相反,管理人员的通过率高些。
2 通过考试的必要条件
a. 自己收集、整理相关的资讯和学习资料;搞清楚怎么约考、怎么背书、怎么维持CPE就行了;简单的说,CISSP所需要的书籍和资料在网络上都能找到。
b. 根据自己的学习习惯 ,建立一个stragety。准备考试是一个比较长期的过程 基本上需要3-4个月的阅读,整理,练习。一般的建议是6个月左右。因此建立一个复习的战略是必须的,并且还需要平衡好工作和生活的时间。
做一个复习计划,然后按部就班的执行,通过与否全在于做了没做,有多大的决心了。一般而言,大部分人需要不间断学2小时×120天就差不多了,基础较差、拖拖拉拉的人可能要半年甚至一年。但个人不建议拖过半年,之后的倦怠会毁了你的学习的动力和热情。
c.很多考点书上讲的不多、不全、不细,需要做题来巩固。而且需要通过做题来理解它的出题思路和答题技巧。官方习题册的题量已经足够了,还有一些培训班流出的习题在网络上面也可以找到。
d. 看中文效率比较高,以中文为主来看书是可以的,但最好扎扎实实看点英文资料,做英文题,因为很多考题的翻译很烂,需要看英文术语、用英文思维才能准确理解题干、判断混淆项和最佳项,而且考试真题的简体中文翻译也不符合我们平时学习的思维和表述。考试时候可以选中文,不确定的话 可以点选英文原题来做判断。
3.考试体验
a. 约考不用太早,基本上提前半个月预约就行了,总会有考位的。约早了总会纠结是否复习不充分,要不要延迟考试(50美元/提前24小时改签)。当然也有建议早点约考,给自己一个明确的期限,倒逼自己抓紧时间。我是提前2周预约了考试,那时求战欲望很强烈了才确定下来。实际考试选的是简体中文,但全靠看英文对照做题。选中文的话是 6个小时250道题 英文是自适应考试,3个小时 100到150题不等。实际考试时候,我差不多4小时完成第一遍,中途在120题和250题各休息一次。最后1小时从头到尾把所有题检查了一遍,更正了几道题, 5个小时交卷。最后点击submit的时候虽然很紧张但还是比较有把握的,之后拿到打印的成绩单也印证了自己的感觉。
b.ISC2的考试系统界面看上去是很过时、老旧的程序风格, 右上角显示剩余的时间和完成的题数。做题是不能跳着选做任一题的,必须从头到尾逐个的做,因为你除了点击答案,只能点“上一题、下一题、做标记”3个按钮。老老实实一个一个的做,挺枯燥的,非常考验耐心和毅力。所以平时复习的时候需要有意锻炼下。
c. 考试的真题没有和做过的练习题是一样的,至少我没遇到过。(ISC2题库保密工作还做得挺好,这也是这个证书含金量的保证)。考试时候出现的是大量的管理类、理论性、概念性、理解框架模型原理流程方法的题,虽然内容都很明显在考试大纲范围内,但很多的具体知识点的描述并不是书里的原文;有的是在CBK或NIST 800系列特别出版物中有类似的描述;有的是在特定场景里的实际情况。所以这是典型的应用型考试而不是简单的考察知识点的定义。250道题,我遇到有5道排序题、3道拖拉匹配题、3道图片点击选择题;其余全部是单选题。绝大部分是题干不长,就问2句话的简短问题,约有200道;还有50道是情景题,就是先描述一个场景,然后告诉你后面的3道题都是基于这个场景的;而且,每间隔20道普通简短题,就会出一道情景题,这个规律和节奏还是很稳的(情景题一定要小心,不然一偏差就会连错3道.不少题前后有关联、暗示的关系,做到后面,会启发到原来前面那个题应该是这样的。所以留时间把题目检查一遍是有好处的。
我用过的资料有:
Cybrary的CISSP PPT ,这个有视频但我没有看 只翻了2-3遍ppt。
Google/Youtube 相关的视频,通常3-5分钟有人就能把一个概念说的很清楚。比如Hash,Kerberos。
Youtube CISSP IT dojo, Larry Greenblatt CISSP tips
CISSP11小时,也是英文原版的教材。200页。
Sunflower CISSP 笔记。
CISSP OSG7 ,AIO 交叉翻看了。
Reddit CISSP板块 很多人分享的心得 很好的参考。
截至到2019年5月31日 全球一共有 136,428名CISSP,澳洲是2539名,中国2538名。
|
|
从钱到钱(全篇完结最后在61楼,能把所有的文字连起来读更有意思)85楼新的感受 (2011-12-22) 新澳之旅 
发表于 2018-12-19 15:07
