CISSP 认证考试总结 (ZT)
By 贾文军
我通过了2002年5月18日在中国深圳举办的CISSP认证考试。
一、CISSP 认证简介
CISSP 认证是由国际信息系统安全认证协会International Information Systems Security Certification Consortium(简称(ISC)2)在全世界各地所举办的考试,符合考试资格人员于通过考试后授予CISSP认证证书。(ISC)2 成立于1989年,是一个非盈利性组织。CISSP 目前已成为全球公认评价信息安全专业人员资质的重要参考依据,同时为了保持专业知识、技能及竞争优势,(ISC)2 要求取得CISSP认证的人员必须持续进修,在三年内累积120个CPE(进修点数,可以通过从事相关工作或研究等获得),否则必须重新参加考试,才能继续保持CISSP 资格,同时(ISC)2 在网站上公布CISSP 认证证书合格人员的基本资料,供全球查询。
【我国、香港、日本、韩国、新加坡的情况】
CISSP 的考试题目为250 题单项选择题,均为英文试题,所有考题必须在6 小时之内作答完毕,其范围都与信息安全有关,包含信息安全管理、访问控制、通信及网络安全、计算机运作安全、密码学、应用程序及系统开发、信息安全架构及模型、物理安全以及业务连续性规划和灾难恢复、道德法律等共有十个领域(Domain)的专业知识。
二、CISSP 考试
我参考了《SRV的考试指南》和《CISSP All in One》。SRV套书虽然有点老(现在有第二版),但是上面的知识组织形式很不错。练习那本书我没有时间看完,但是相信练习对实际参加考试会有很大帮助。All in One里面的知识比较丰富,但是有些东西很罗嗦,但我还是坚持通读了一遍。
还有一本小册子,叫做CISSP Exam Cram Book,很精练。另外还有几个网站上提供类似Cram的东西,可以用于临阵磨**,发现复习的遗漏点。
CISSP考的是广泛的安全领域的知识,不可能有那一两本书可以完全覆盖。除了购买考试书籍之外,对信息技术各个领域的知识获取对丰富知识面是很重要的。通过平时的工作实践、阅读各种安全杂志、邮件列表,或者通过网络途径与已经获得认证的人的交流都是很重要的。
参加5.18日的考试,公司给予了很大的支持和帮助。考试是由(ISC)2香港总部在深圳举办的,那几天深圳天气还可以,心情也不错。不过考试还是有压力的,一是国内第一次考试,不敢说有很大把握,二是公司寄予很大的希望,有些担心。考前我们几个各地的同事在一起聊天,谈工作和公司的事情,兴奋得到夜里十一点多又煞有介事地“临阵磨**”到一点多,实在是担心第二天无法坚持六个小时的考试,这才睡下。
到了考场后,一下子轻松了许多,教室宽阔明亮,感觉得特别亲切(好久没有进过大学的教室了),而且发现很多面孔都很熟悉,都是以前的同事或者同事的朋友或者朋友的同事,见了他们,信心增加了不少。
考前阅读英文考试指令的过程就像大学里的四六级考试,不过更冗长,加上香港普通话的旁白也还是听不大懂。不过这辈子考试经过很多了,无所谓。按照监考的要求,将个人信息和试卷信息涂到答题卡上。试卷拆封后,看到五十多页的英文试卷觉得很兴奋,想了想开始的计划(包括涂卡,每小时50题),就开始答题了。
ISC2建议先做会的题,将没有把握的题做标记,然后再回头仔细推敲。这样的好处是可能从后面的题目中获得相关的信息。这个方法可能有的人喜欢,但是我认为250题太多了,何况做到最后不知道会是什么状态,说不定会混沌一团。我还是按照自己的计划,因为我觉得时间总是够的,平均每个题的时间是近1.5分钟。(考试可以带英汉字典,我只带了一本小字典。专业方面的词汇倒是不怕,就是担心有些日常词汇一下子忘记,会影响对题目的理解。按规定只可以带印刷版的字典,可是考试中竟然有人使用电子字典)。
六个小时的考试太痛苦了,建议大家随时准备一些提神醒脑的食品(不是兴奋剂),饮料不一定很多,我只带了半瓶从北京带去的水(喝多了容易紧张,紧张又想喝水)。两个半小时的时候,我做到了150题,看来时间不是问题。中间出去时看到前面那位还不到到100题(不是偷看),信心又增加了。感觉很疲倦,我准备休息一会儿。吃点东西,看看窗外的风景,又趴在桌子上做了一个梦。
后面的时间很痛苦,做题目的效率明显降低。最后25题用了近一个小时,不过终于是提前半个小时完成题目。最后的时间,应该是看看前面那些做标记的题目。果然如我所想,基本上后面的题目不会给你多大帮助,因为你真的忘记了。而且题目的第一印象往往是你头脑中的意识,很难有什么会帮助你做出改变。有的题目拿不准,想来想去还是选择最初的答案。这半个小时应该算是球场上的“垃圾时间”。
不过考试中间我发现了一个最大的错误,试卷号涂错了。考试中间走神,看到试卷下方的试卷号,想猜猜它是什么意思。我的试卷号是730010,我看看每张试卷都是,又看看封面。最后看看答题卡上,突然发现我在答题卡上涂成了730100,我惊出一头冷汗。一个CISSP差点被封杀!提醒大家开始还是注意考试指令,仔细检查。
考试历经艰难险阻,真是很精彩。试卷交上的时候,感觉很是自信。不过想起传说中三分之一的通过率,还是有些担心。不过总算考完了!
乘北航的飞机回到北京,想到很多的工作,还是把CISSP先忘掉的好。
6月6号的时候,手机日历提醒我两周到了(14个工作日,ISC2承诺的时间),我马上打电话到前台,失望的是没有我的信件。电子信箱里也没有。接下来的周末我还在想,还打电话到公司问有没有我的信件。
终于在6月12日的下午,我看到了(ISC)2 寄来的证书,很多同事向我表示祝贺,并让我请客。
CISSP 考试的范围非常广泛,而且每年都有新加的考题,又要求具备实践经验。在复习的时候我就想,不管怎么样,考完后一定要按照CBK的大纲,充实自己在各个方面的知识。在公司内应该组织这样的以Domain为主题的学习小组,小组内可以充分地交流。同时在工作中也应该去应用并丰富学习到的知识。
三、学习考试总结
1.准备
做好考试的心理准备和物质准备。心理准备自不必多说,参加过高考和考研的都有经验。物质准备无非食品、咖啡、音乐等以备深夜读书熬战之用。
当然,还要花一些银子购买书籍、到网络上搜集各种资源,包括订阅邮件列表,到一些CISSP交流网站注册用户。CISSP考试是英文考试,你的英语能力必须过关,不要寄希望考试时查字典。但是参考书无所谓,只要对知识的描述没有错误,一些关键的地方最好还是参考英文描述。
制定学习计划,重在坚持。每个人从业和擅长的领域不同,不熟悉的领域可以多花些时间。一般安全管理和加密方面的题目最难,考试中的比例也不小。道德法律方面的题目一般很直观,不要花时间去研究美国的法律。
2.学习
CISSP考试不存在侥幸,如此大的题量不允许任何的投机。不过有计划地刻苦学习,加上端正的态度和扎实的基础,还是有可能在短时间内取得很好的效果。
技术方面的知识没有什么好说的,有清晰的概念就可以了,要注意增加一些近期新技术方面的知识。但是安全管理方面的题目就不只是概念的问题了,这种题目有一定的灵活性,有的是场景题。自己不擅长的领域一定要多用时间,弄清楚关键概念,要勤翻书,勤查资料。几种资料在一起对比着学习,可以加深理解。但有的问题可能几种资料说法不一,需要请教有经验的同事或者专家。一定要在考试之前确保没有遗漏,因此执行计划是最重要的。
3.练习和模拟考试
按照(ISC)2的约定,考试者不得将考试题目以任何方式泄漏,通过考试的CISSP大都遵守这个规则。CISSP的考试书籍往往会有一定的练习题,不过这些练习一般是根据书籍本身而定的。在刚读完一个Domain后,做这一章的练习就会觉得太简单。SRV的练习题目太多,适合巩固知识。All in One的题目太少而且简单。Boson的考试模拟机不错,可以用来感受一下真实的考试。
通过大量的练习可以强化记忆,通过对比加深理解。模拟考试只是热身,不要因为模拟考试效果不好而影响情绪,一般现场发挥会更好,就像足球场上一样。
4.考试
考试前的报名准备工作要提前进行,包括正确充分的报名材料。收到确认函后,到考试地点的交通和住宿,一定不要出错。如果通过考试,确认函上面的ID就是你的CISSP证书ID。
六个小时笔试考试可能很少有人经历过,一定要做好充分的准备。所有的题目均为单选,选择最恰当的答案。
考试中的技巧自不多言,根据自己的习惯和实际情况。
5.等待
等待考试结果和CISSP证书的到来。
四、认证之后
CISSP需要遵守(ISC)2道德规范-Code of Ethics,并为信息安全做出贡献。考试并不是CISSP的终点,为了保持CISSP认证的先进性和竞争力,(ISC)2要求CISSP在三年内取得120个CPE,否则需要重新参加认证考试。
CISSP考试的CBK覆盖了安全的各个方面,但是考试的深度不够。信息安全方面的其它认证可以弥补这一点,向GIAC、SANS及CISCO、CheckPoint等专业厂商提供的安全认证。
五、后记
传言中国人善于考试,有的考试到了中国会做的很滥。仅仅取得认证不是CISSP的真正目的,与(ISC)2的宗旨相违背。也许,未来的两年CISSP将热遍中国,但愿这些CISSP能够在中国信息安全领域做出真正的贡献,成为未来中国信息安全的中坚,而不仅仅是一张纸文凭。
附:参考资料
书籍:
SRV Examination Book (vol1&2, Version 2)
CISSP Certification All-in-One Exam Guide
CISSP Exam Cram Book
Secured Computing: A Cissp Study Guide
The CISSP Prep Guide: Mastering the Ten Domains of Computer Security
网站:学习交流
www.cissp.comwww.ccure.orgrr.sans.org
www.securityfocus.comgroups.yahoo.com
我的email: chinajwj@yahoo.com
维护一个学习小组: http://groups.yahoo.com/group/CN_CISSP_STUDY/
My 1.5 cents
....
三、学习考试总结
....
3.练习和模拟考试
按照(ISC)2的约定,考试者不得将考试题目以任何方式泄漏,通过考试的CISSP大都遵守这个规则。....
四、认证之后
CISSP需要遵守(ISC)2道德规范-Code of Ethics,并为信息安全做出贡献。...
五、后记
传言中国人善于考试,有的考试到了中国会做的很滥。仅仅取得认证不是CISSP的真正目的,与(ISC)2的宗旨相违背。也许,未来的两年CISSP将热遍中国,但愿这些CISSP能够在中国信息安全领域做出真正的贡献,成为未来中国信息安全的中坚,而不仅仅是一张纸文凭。
------------
Very good points.
Do we still remember 'all about crack' topic?
Also I would like to quote the definition of crack from another topic:
--quote--
cracker (see under crack)
crack (Last modified: Thursday, May 14, 1998)
(1) ....
(2) To copy commercial software illegally by breaking (cracking) the various copy-protection and registration techniques being used.
--unquote--
IMHO, one can not just be a CISSP or is working toward CISSP and at the same time be a cracker or acts as a cracker. The reason is quite obvious.
And, the fact is, if a CISSP does not follow the (ISC)2 Code of Ethics, this CISSP may just be another cracker - this makes the situation the worst, CISSPs are the ones who protect infosec.
