经过一个月的学习,顺利通过,在此记录下学习和考试过程,供有缘人参考(或者当作反面教材)
个人背景
从业第 10 年,起初是一名网络工程师,后来在第一家公司逐渐开始做无线、安全、虚拟化等品类的方案,再后来逐渐往私有云方向转变,在工作中接触到的东西比较多,所以知识面还算广。
学习契机
在 IT 圈子里做久了,会发现安全是一个怎么都避不开的话题,而且随着各种新技术的出现,安全方案在逐渐增多,安全市场也一直在扩大,因为工作原因不可避免地要和甲方去讲一些安全的方案,所以觉得有必要花时间去从整体学习一下安全,这不但对自己理解安全市场有一定用处(至少可以获得知识面的拓展),而且也可以让自己的未来多条路可走。很早就听闻 CISSP 是安全从业人员必备的一个证书/荣耀,所以觉得无论从当下需求以及长久发展看,都有必要学习并拿下 CISSP 证书。
2021 年有次碰到一位同事,他刚好也决定学习一下 CISSP,于是俩人一拍即合,使用公司教育经费报名去学习 CISSP,机构是同事选的,当时我也不熟悉这些,只听同事说在安全领域里挺专业的。
2021 年底,第一次参加线下的培训,有些情况在预期之内,有些情况又是预期之外。预期之内的是,CISSP 的覆盖确实很广,很多内容是流程、架构层面的东西,而我平时接触比较多的领域在全书里面只占 1/10 左右,其他东西对我来说都是新的。预期之外的是,CISSP 考试的难度以及需要花费的时间比我想象的多了很多,因为之前也参加过一些厂商顶级的考试,自己投入一个月每天复习一些,看看模拟题基本就可以了,然而培训时得到的信息是,CISSP 至少需要 4 个月时间,需要反复看书直至理解书上的内容。
在第一次参加完培训之后,刚好赶上年底项目很忙,也下了决心去报名考试,于是时间一晃就到了 2023 年。
刚好 2023 年工作上有些变化,时间比以前充裕一些,于是 6 月底约考试,能约到的最早的时间只有 10 月中旬,于是定了下来。
学习准备
虽然考试时间定下来了,买了纸质的书,也制订了学习计划,但最终因为各种原因没能严格执行(主要还是工作时间太耗神,到晚上没精力看书),前两个月只看了 OSG 9 上册的前几个章节,直到 9 月份,工作有变化,平时很闲,刚好汇哲也举办了在线培训,于是又拿起书边参加培训边学习。
培训的内容很好,在讲的时候都能听懂,包括重点是什么老师也都会讲,但是一次听太多内容后,几天后就忘记所学的内容了,于是觉得不能再这样下去了,必须找到适合自己的办法。
最终发现,照着思维导图,针对每个知识点边看书边记笔记很适合我,于是按照这个思路一个 Domain 一个 Domain 的学习。
学完 8 个 Domain 花了 11 天,每天会学习 10 小时左右,可能是因为 deadline 的压力,即使这样学也不觉得有多累。学完后基本上书也翻了一遍,写了 100 页(4 万字左右)的学习笔记,写的过程感觉比光看书的效果好很多。
我是从 D8 往 D1 倒着看的,后面的内容平时熟悉一些,而且篇幅也不长,每天看完之后还有一些时间来做题,于是拿出之前汇哲发的 OSG 官方习题来做,按照汇哲的介绍,完整学完一个 Domain 后的测试成绩最好大于 800 分,我自己做下来每个 Domain 平均成绩 700 出头,有些比较惨只有 600 左右。不过整个做题环节还是很有收获的,一方面可以加深对所学内容的熟悉度,另一方面可以补足之前遗漏的知识点。纠错之后再去做题,成绩基本都是 900 以上。
所有 Domain 的题做完后,做了下 OSG 2021 的官方习题,两套题成绩分别是 740 和 790 左右,不理想但都及格了,查缺补漏完后又做了 OSG 2023 官方习题,成绩 900 分左右,可能有些题和 OSG 2021 重叠,所以做的比较轻松,但无论如何,知识点覆盖面上,我觉得应该差不多了。
为什么做官方的习题,原因是官方习题会有很详细的答案解释,这可能会包含一些书中描述不清楚的地方,所以个人觉得官方的习题还是很值得看的。
后来又陆续在平台随便挑了几套题做了下, 基本都是及格的成绩,总共算下来做了 2000 道题左右,整个有效的复习时间 >200 小时。
考前两天基本就是再看一下所有之前做错的题目,以及看自己整理的笔记(已经 140 页 5 万字了)。
考试心得
约的 8 点开始考试,早上 6:20 起来收拾吃饭,本来计划打车去考场,结果叫了车后竟然需要等十几分钟,而且时间越来越长,于是被迫去赶地铁站,还好距离不远,7:40 到达考场,开始办手续入场考试。
考试中心温度还行,所以虽然带了外衣也没用上,证件除了身份证和银行卡外,还带了护照以防万一。
考试的时候,发现题目和做的大部分完全不一样,有些题很难读懂,题目本身会设置若干个干扰词,答案也会有干扰项,加上翻译的问题,经常看一个题不知道自己应该往哪个方面去思考,有些题我真的看了好几分钟,中英文反复看,最后才勉强读懂答题。
答题的时候白板很重要,在考试时看着题很难静下来去思考知识点,经常就忘记某个流程是咋样的,这时候需要静下来,把相关词写在白板上帮助自己梳理,这样虽然耗时间,但因为未来有些题的知识点会重复,所以记下来也可以帮助未来答题。
我就这样一道道做题,有些题几秒就能看出答案,有些题要花几分钟,平均一道题 100s 左右答题时间,算下来时间够,所以也没怎么着急。
做到 100 道题的时候本该休息一下,但当时精力还很集中,就没休息继续做到了 160 题,然后申请出去去了洗手间,吃了个士力架,喝了点脉动,继续进去做题。
做完全部题目花费了 5 小时 40 分(总时间 6 小时,佩服那些 3 小时就能做完题的人),没有太紧张也不怎么轻松。很多时候都关注在确保自己读懂题和对比哪个答案最优了,之前说的什么 XX 优先于 XX 之类的答题方法完全抛到脑后了。
出来后拿到成绩单,通过。
学习及考试建议
虽然最后考试通过了,但感觉并不是实力换来的,只能说你怎么对待一件事,它就会以什么样的方式回馈与你,只有认真准备才能从容应对。下面是我总结的一些经验教训:
- 尽早学习,找到适合自己的学习方式:如前面所说的,我是临时抱佛脚加班加点去学习的,整个过程压力很大,睡眠也不好,尤其后期做题成绩不好的时候很焦虑,那时候唯一能做的就是找个公园散心,先不去想考试的事,等睡一觉第二天再积极做题;
- 多做笔记:个人觉得笔记作用很大,可以以自己容易理解的方式去记录知识点,复习后期用笔记查缺补漏很方便,如果有时间,可以在做完笔记后再听听老师的课,帮助加深理解;
- 官方练习题要看,但非官方的习题更要看:官方习题其实要比真实考试简单很多,同类型的题考场上不到 1/4,但一些非官方题的难度和考场类似,所以多做一些非官方习题是可以让你早点熟悉那种难度以及熟悉出题套路的,这次因为时间原因,我没做多少非官方的题,可能因为这个原因导致真实考试时做的很慢;
- 买个考试保险:因为约考试比较早,那时候还没有买一送一的考试保险,后来听说有这东西,特别想取消考试重买一份,如果有想考的朋友可以关注官方的一些动态,多花点钱买一次考试机会能让自己安心一些;
- 考试当天要预留足够的时间:尽量保证不出意外的情况下提前 30 分钟能到现场,以防有什么意外的事情发生;
- 考试要冷静,时间足够:个人觉得虽然有些题很难,但平均下来时间还是够的,所以根据自己的情况及时休息,保证以最佳的状态来做题。
后续
考完后当天就收到了 ISC2 的邮件,提示考试完成,需要进行下一步(Endorsement),和机构老师交流后准备学位证书、工作经验的材料,按照提示提交到系统,审核共花了约 18 天(13 个工作日)左右,等待过程也是有些煎熬,生怕中间出什么差错,过程刚好赶上 CISSP 中文考试取消这一”大事件”,生怕自己受这件事的影响,等最后拿到证书那刻,心中的一块重石落下。