CISSP备考经验分享 - 知乎专栏
{"debug":false,"apiRoot":"","paySDK":"/api/js","wechatConfigAPI":"/api/wechat/jssdkconfig","name":"production","instance":"column","tokens":{"X-XSRF-TOKEN":null,"X-UDID":null,"Authorization":"oauth c3cef7c66aa9e6a1e3160e20"}}
{"database":{"Post":{"":{"title":"CISSP备考经验分享","author":"hblf","content":"0X00 引子日，北京。在经历了5小时30分钟的煎熬后，我在一台电脑上点击了“结束考试”的按钮，走出狭小的考试房。两位年轻的监考老师开始在她们的电脑上操作，一位起身去了打印机旁边，另一位告诉我可以收拾东西了，回去等邮箱里面的邮件通知吧。根据考友们的信息，一般通过考试的才会收到ISC2的邮件通知的，考试失败的会当场给一份成绩说明。果然，监考老师把打印好的成绩单递给了我，一句简单的“恭喜啊”让我悬着的心落地了。随之而来的好像没有预想中的兴奋，只是一种放松。在努力了8个月之后，我终于通过了CISSP的考试。记录一些经验，分享给仍然奋战在CISSP备考道路上的各位安全同行们。0X01 证书简介CISSP认证的简介，网上一大堆。我只多说以下几点：截至2016年3月，中国大陆地区持有证书人数为1800人左右。CISSP目前在市面上没有题库可以背。ISC2对题库的保护非常严格，严禁通过考试后公开讨论试题。CISSP报考是有门槛要求的，通过考试后也必须提交安全行业的从业经历证明，才能拿到证书。0X02 教材推荐目前使用人数比较多的CISSP备考教材有以下几本，我逐个分析优劣。The Official (ISC)? Guide to the CISSP CBK。这是官方指定的教材。目前出到第四版。紧跟官方考试大纲。没有中文翻译版本，所以读起来会比较考验你的英文阅读能力。但这是我首推的一本书。官方教材还是更贴近考试一些。知识域的划分、概念的讲解都是比较原汁原味的，这对你考试时候理解考题的真实意图非常有帮助。这本书我是精读了一遍的，事实证明真心有用Shon Harris的All In One。目前英文版出了第七版，中文版出到第六版。这也是翻译成中文的唯一一本教材。第六版仍旧参考的是老版CBK的知识域结构，这是硬伤。考试大纲调整后重新调整了知识域的架构，考试的侧重点也完全不一样了。比如，物理环境安全一章，AIO讲了一大堆锁、视频监控的东西，其实考纲根本不关心这些细节。最新的第七版我在备考时略读了一遍，架构更合理了，可以作为备选教材。CISSP (ISC)? Certified Information Systems Security Professional Official Study Guide。最新版本是第七版。这本书很有意思，完全打散了考纲的架构，作者根据自己的理解重新组织成了21章。这本书我只是拿来做参考用的，行文风格比较口语化，不像CBK那么一板一眼的。不建议作为主力教材复习。Eleventh Hour CISSP Study Guide。这本书我也看了看，是大纲型的书籍，知识点不详细展开，整理了一下知识脉络而已。我在高铁上花了两个多小时看了一大半之后，就放弃了这本书。建议以CBK为主，AIO为辅。CBK的英文看不懂的时候，翻翻AIO的翻译帮助理解记忆。0X03 测试题选择市面上现在找不到真题题库，只有各类模拟题。首推CBK课后的练习题，这些对加深记忆非常有用。另外，AIO随书光盘还有一千多道题，我到临考前都没做完。这些题考基础概念比较多，但实际考试中直来直去问概念的题非常少。所以这些题只能帮助你理解概念。总之，不要期望你做过的模拟题会真的出现在考场上，理解本质最重要。当你做AIO的题能达到80%的正确率的时候，是时候准备约考试啦！0X04 有关辅导班辅导班有用吗？我的经验是，辅导班最大的作用是帮助你梳理知识脉络，以过来人的角度告诉你哪些点可能考的比较多，哪些点出现在考试中的几率非常小。所以，别听他们吹嘘什么通过率90%+，但他们真的可以帮你节省复习时间。0X05 CISSP的作用及其他有人说，拿到了CISSP以后年薪可以上浮XX%。我觉得这是辅导班的宣传策略。有人说CISSP不考具体攻防技术，证书没用。我觉得这是唯技术论的一家之言。备考这八个月，至少帮我梳理了一遍安全所有领域的知识点，扩宽了我的知识面。重新架构了对安全的全面理解，这是最重要的。实现了2016年的第一个目标，心情还是很愉快的。最后，住所有备考CISSP的同行们早日通过！原文链接：","updated":"T12:59:32.000Z","canComment":false,"commentPermission":"anyone","commentCount":36,"collapsedCount":0,"likeCount":70,"state":"published","isLiked":false,"slug":"","lastestTipjarors":[],"isTitleImageFullScreen":false,"rating":"none","titleImage":"","links":{"comments":"/api/posts//comments"},"reviewers":[],"topics":[{"url":"/topic/","id":"","name":"信息安全"}],"adminClosedComment":false,"titleImageSize":{"width":0,"height":0},"href":"/api/posts/","excerptTitle":"","column":{"slug":"lewisec","name":"甲方信息安全随笔"},"tipjarState":"activated","tipjarTagLine":"你的打赏就是对我最大的肯定","sourceUrl":"","pageCommentsCount":36,"tipjarorCount":0,"annotationAction":[],"snapshotUrl":"","publishedTime":"T20:59:32+08:00","url":"/p/","lastestLikers":[{"profileUrl":"/people/xiao-jing-tong-xue-leon","bio":"","hash":"3c5d51e2afdff17dd240","uid":644500,"isOrg":false,"description":"","isOrgWhiteList":false,"slug":"xiao-jing-tong-xue-leon","avatar":{"id":"ef15c3e44a3db0a5718e8","template":"/{id}_{size}.jpg"},"name":"小靓同学Leon"},{"profileUrl":"/people/xiao-ai-ai-87-46","bio":"国足与猪猪侠死忠","hash":"42bfc0a575c73e9c6cdec8","uid":92,"isOrg":false,"description":"","isOrgWhiteList":false,"slug":"xiao-ai-ai-87-46","avatar":{"id":"385afc4b966","template":"/{id}_{size}.jpg"},"name":"小呆呆"},{"profileUrl":"/people/carol-68-39","bio":"","hash":"0af138aecc04","uid":926400,"isOrg":false,"description":"","isOrgWhiteList":false,"slug":"carol-68-39","avatar":{"id":"da8e974dc","template":"/{id}_{size}.jpg"},"name":"Carol"},{"profileUrl":"/people/doraemon-88","bio":"","hash":"8f628fa06f6f379c7f987b6fc381af07","uid":895700,"isOrg":false,"description":"","isOrgWhiteList":false,"slug":"doraemon-88","avatar":{"id":"da8e974dc","template":"/{id}_{size}.jpg"},"name":"doraemon"},{"profileUrl":"/people/raiven","bio":"安全产品经理；业余摄影爱好者；业余Ukulele爱好者；职业柯基爹。","hash":"baf7cc97ab6dfe6d270a888","uid":24,"isOrg":false,"description":"","isOrgWhiteList":false,"slug":"raiven","avatar":{"id":"d06e25a03","template":"/{id}_{size}.jpg"},"name":"Raiven Shen"}],"summary":"0X00 引子 日，北京。在经历了5小时30分钟的煎熬后，我在一台电脑上点击了“结束考试”的按钮，走出狭小的考试房。两位年轻的监考老师开始在她们的电脑上操作，一位起身去了打印机旁边，另一位告诉我可以收拾东西了，回去等邮箱里面的邮件通知吧…","reviewingCommentsCount":0,"meta":{"previous":null,"next":{"isTitleImageFullScreen":false,"rating":"none","titleImage":"","links":{"comments":"/api/posts//comments"},"topics":[{"url":"/topic/","id":"","name":"信息安全"},{"url":"/topic/","id":"","name":"企业信息安全"}],"adminClosedComment":false,"href":"/api/posts/","excerptTitle":"","author":{"profileUrl":"/people/hblf","bio":"在安全行业摸爬滚打的小兵","hash":"dd2dbeea8a43fb75","uid":92,"isOrg":false,"description":"","isOrgWhiteList":false,"slug":"hblf","avatar":{"id":"c8d8d3fd5","template":"/{id}_{size}.jpg"},"name":"hblf"},"column":{"slug":"lewisec","name":"甲方信息安全随笔"},"content":"这本书还没有读完，所以这篇不能算读书笔记，仅仅算一时的感悟罢了。看到长亭的C总写了很棒的一篇读书笔记，忍不住在人家文章的评论里叨叨了很多废话，留作是自己一个阶段的简单总结吧。甲方企业的安全诉求主要聚焦在几类：合规、上级要求、自发。合规的最多，等保、分保只要扣在脑袋上，不做也得做。买什么设备，标准里都写清楚了。遇到这类诉求的甲方，他们看重的自然是资质全不全。上级要求的也有，比如，有某个国资集团的控股，集团层面要求下属企业5年内完成网络安全方面的建设，需要购置防火墙、IDS、防病毒、VPN等等。遇到这类诉求的甲方，他们看重的更多的还是集团内的成功案例。最后一类是自发要做的。比如曾经失泄密让老板肉疼过的。比如web应用被挂过黑页插过暗链，导致被公安关停过的。比如出过安全方面的负面案例被曝光过的。不管哪样，这类甲方企业都是老板觉醒了，自发要做，而且必须立刻看到收效的。遇到这类诉求的甲方，第一阶段建设重心还是堵漏洞。等大面上的都弥补的差不多了，接着就是体系化、全面化、管理提升优化。有些老板要求安全主管必须规划出未来五年的信息安全框架，达到的预期效果，每年的投入预算。但是不管怎样，这个阶段最适合拿出ISO27001等等最佳实践做做务虚的工作啦。这时候需要乙方公司提供咨询，但不是产品咨询，而是安全规划咨询，四大们熟悉的那套东西。扯了一大堆废话，其实回过头看，这个路子跟赵老师在书中提到的路子，大方向是基本一致的。而我个人的看法是，传统型企业安全建设大体分三步走：首先需要的是安全服务。这个服务并非渗透测试等技术服务，而是务虚的规划咨询服务。拿出一个漂亮的PPT，描绘出一个贴合自身需求的蓝图，才能去找老板要钱，而且是持续性的要出来钱。第二阶段是引入各类设备，用一个个项目和设备把蓝图落地。这时候会频繁的和各类乙方公司打交道。但并非仅限于网络安全，还会囊括数据安全、系统安全加固、员工意识培训服务等等内容。第三阶段是管理提升。把每个设备调优、用好，把所有日志关联分析，每项技术产品是不是完整支持了管理诉求，内部流程如何优化改善。以上。望各位前辈大佬多多批评指正。","state":"published","sourceUrl":"","pageCommentsCount":0,"canComment":false,"snapshotUrl":"","slug":,"publishedTime":"T23:17:04+08:00","url":"/p/","title":"读《互联网企业安全高级指南》有感","summary":"这本书还没有读完，所以这篇不能算读书笔记，仅仅算一时的感悟罢了。看到长亭的C总写了很棒的一篇读书笔记，忍不住在人家文章的评论里叨叨了很多废话，留作是自己一个阶段的简单总结吧。甲方企业的安全诉求主要聚焦在几类：合规、上级要求、自发。 合规的最…","reviewingCommentsCount":0,"meta":{"previous":null,"next":null},"commentPermission":"anyone","commentsCount":0,"likesCount":0}},"annotationDetail":null,"commentsCount":36,"likesCount":70,"FULLINFO":true}},"User":{"hblf":{"isFollowed":false,"name":"hblf","headline":"","avatarUrl":"/c8d8d3fd5_s.jpg","isFollowing":false,"type":"people","slug":"hblf","bio":"在安全行业摸爬滚打的小兵","hash":"dd2dbeea8a43fb75","uid":92,"isOrg":false,"description":"","profileUrl":"/people/hblf","avatar":{"id":"c8d8d3fd5","template":"/{id}_{size}.jpg"},"isOrgWhiteList":false,"badge":{"identity":null,"bestAnswerer":null}}},"Comment":{},"favlists":{}},"me":{},"global":{},"columns":{"lewisec":{"following":false,"canManage":false,"href":"/api/columns/lewisec","name":"甲方信息安全随笔","creator":{"slug":"hblf"},"url":"/lewisec","slug":"lewisec","avatar":{"id":"4b70deef7","template":"/{id}_{size}.jpg"}}},"columnPosts":{},"postComments":{},"postReviewComments":{"comments":[],"newComments":[],"hasMore":true},"favlistsByUser":{},"favlistRelations":{},"promotions":{},"switches":{"couldAddVideo":false},"draft":{"titleImage":"","titleImageSize":{},"isTitleImageFullScreen":false,"canTitleImageFullScreen":false,"title":"","titleImageUploading":false,"error":"","content":"","draftLoading":false,"globalLoading":false,"pendingVideo":{"resource":null,"error":null}},"config":{"userNotBindPhoneTipString":{}},"recommendPosts":{"articleRecommendations":[],"columnRecommendations":[]},"env":{"isAppView":false,"appViewConfig":{"content_padding_top":128,"content_padding_bottom":56,"content_padding_left":16,"content_padding_right":16,"title_font_size":22,"body_font_size":16,"is_dark_theme":false,"can_auto_load_image":true,"app_info":"OS=iOS"},"isApp":false},"sys":{}}参加CISSP认证考试经验谈
对于CISSP认证的评价这里就不多说了，仁者见仁，智者见智。我于在上海参加CISSP考试，日收到Congratulation的mail。先说介绍一下自己，98年硕士毕业，做过的工作比较杂，接触过通信网络，DSP开发，应用的开发，系统集成等工作，大 的的项目也做过几个。平时售前和售后兼做。也许是因为接触过的东西比较多，所以CBK10个Domain有一些已经接触 过了，学习起来相对容易一些。我不赞成工作时间比较短的人参加这个考试，首先学习起来比较困难，再者靠背书考过了意义也不大。现在已经过了考个稀罕的证书就一 下能挣多少钱的时代了。考试不过是给自己一个挑战，激发一下学习的热情。认识三个以前考过的朋友，非常感谢他们给我的指导。大致备考过程是这样的：先是去ISC2把CBK下载下来，仔细看了一下，里面好多内容一头雾水，后来去段博士的地盘( ./education/cissp.htm) 拿了些东西来看，然后到YAHOO的讨论组去看了看大家的讨论。ITPUB上没有得到什么有价值的资料，虽然这里是目前国内对此 讨论最多的地方。书买了两本，ALL-IN-ONE（托人从美国带来）和PASSPORT（国内出版），电子版的有preguide，SRV虽然 也搞到了，但是看起来没有多大价值。ALL-IN-ONE的作者是女性，非常有耐心，一个概念翻来覆去的讲，有经验、时间紧的朋 友就不要看了，价格也不便宜。preguide是一本常好的书，非常精练。我看的是第一版，现在的第二版估计更好。书看了几遍，开始看不进去，离考试还有一周的时候，突击了一下，把所有的事情都放下，白天黑夜的做题，进展很快。模拟题就看 ，争取把所有的题目都做一遍，有写题目虽然很无聊，也绝对不可能考到，但是对加深印象，强化知识点有些帮助的。最后做了新版的B OSON，感觉题目非常好，考试前做了一下，第一套题目的正确率在70％左右，复习了几天，后面几套就能做到90％了，对考试帮 助很大。总的感觉这个考试并不难，尤其是对我们这些久经考验的人来说，四选一的英语考试考了这么多次，CISSP的题型早就驾轻就熟了。有几点建议：1. 经验是很主要的2. 看书要仔细，每次考试250道选择题，全部考试至少要覆盖2500个知识点，而且每年的题目都在增加。不要存在侥幸心理觉得某个 知识点可能不会考，要看尽量多的内容，对每个知识点要清晰。3. 参考资料不要贪多，精读一两本书，每本书总会难免有点偏颇，两本书可以互为补充。4. 多做题目，不到深圳不知道自己钱少，不到北京不知道自己的官小，不做题目不知道自己掌握的不牢。5. 不要指望该考试对带来高薪职位我的考试花絮：1. 本来考试费是公司支付，但因为现在要跳槽，只能是自费了，既然考过了也算值了；2. 本来想考3月份的考试，因为报名的人少，考试取消了；又想参加5月的考试，因为SARS取消了，真是好事多磨；3. 中圣公司在国内第一次组织这种考试，经验不是很丰富；4. ISC2发往国内的mail经常会收不到，有人8月25日就收到mail了，我却是到9月16日实在等不住了给HK的Barba ra打电话，第二天才收到她转来的。期间向ITPUT的老大CISSP求救，他告诉我一个字“等”，看来是有点不负责任的说法。5. 曾经觉得很难，曾经觉得有些考试很无聊，曾经很自信一定可以考过，曾经因备考搞得身心极度疲惫，曾经兴奋，现在觉得考试just so so.............6. 抽时间我会把我的笔记整理一下，奉献给大家。用户名：ztsing
文章数：11
访问量：3814
注册日期：
阅读量：1297
阅读量：3317
阅读量：437035
阅读量：1124138
51CTO推荐博文
& &2013年3月起，CISSP考试已发布中文，考生可在考试时选择Chinese Simplified(中文简体)，并到任意个pearsonvue参加考试。中文考试界面为中英文对照模式(在同一页面，屏幕左右分别显示中文及英文)，所以考生不必太担心翻译问题！考试每个月都有很多场，但是每场考试能报名的考生仅几名。由于近期问到中文考试报名等相关情况，现简单给大家说下从报考-复习-申请-维持的CISSP成长之路吧~(*^__^*) 关于考试报名：关于报名考试方法：到网站直接报名即可。报名流程请见附件说明：附件中包含更改CISSP考试考点，语言，考试时间的方法，需要注意的是，更改考试信息是需要付手续费的，并且需要至少提前24小时联系考试中心进行修改。所以大家在注册考试时要仔细，别填错时间，考点哈~（报名注册中有一点需要注意，有时pearsonvue的网站会有小小抽疯，当你注册账号时，有时是你自己可以编辑用户名和密码，但有时当你填完资料，网站会提示将在一个工作日内将密码发到你邮箱，可密码一直迟迟不来，为不耽误报考，建议考生再重新开个账号吧）国内考点：上海市徐汇区天钥桥路333号腾飞广场8楼805室上海市上海黄浦区汉口路650号亚洲大厦10楼1001室北京市海淀区首体南路6号新世纪日航饭店写字楼1153室广东省广州市越秀区中山六路222号捷泰广场19楼1904室香港轩尼诗道139号中国海外大厦18楼B单位每天可选择以下时间开始考试：9:00&&9:15&&9:30&&9:45&&10:00&&10:15&&10:30&&10:45&&11:00第一次考试如不过需等待30天以后选择第二次考试第二次考试如不过需等待90天以后选择第三次考试第三次考试如不过需等待180天以后选择第四考试如四次考试还不过，那第五次开始，重考需要等待的时间将再一次从30天开始。、关于参加考试需携带的证件：一般需要携带***以及带有你签名的信用卡或护照。如选择英文考试，考生可携带字典。但不允许携带其他任何个人物品，比如手机，电子词典等。考场外有个小箱子，考生在进入考场之前监考会让你把个人物品锁在箱子内。可以携带食物，但是食物是放在考场外，吃的时候是需要到指定的地方吃。关于考试成绩及通过标准：大部分考生可在完成机考后立刻得知成绩。但在一些特殊情况下，一些考生需要等候长一点的时间才可得知。无论以何种语言报名考试，通过标准都是一样的，即1000满分700分通过。而证书也是统一的英文证书，并不会在证书上体现你是以何种语言报名参加考试的。关于申请证书：考试通过后，需要向官方提交背书文件及一份类似英文简历的文件来申请证书。背书文件需要一位已经通过CISSP，并且一直在维持证书的人为您签字做背景证明。背书文件需要你签字后扫描成电子档，然后再附上简单的工作介绍的电子版（即从事的工作简单介绍，属于哪个CBK，从事多长时间等）关于如何维持证书及提交CPE：获取CPE可通过：参加信息安全相关的会议，讲座，培训，阅读书籍，通过其他考试认证等等。推荐教材：《All in one 6th》《CISSP认证考试指南》等&
了这篇文章
类别：┆阅读(0)┆评论(0)　　2014年CISSP考试报名时间和注意事项　　2014年CISSP考试相关信息已公布：　　报名费用：599美金　　1，考试时间：几乎在每个考点的每个月都可以报名考试，需要提前10天左右预约即可。　　2，考点：北京，上海，广州　　3，考试时长：6小时，总共250道题，总分1000分，700分通过，机考，考完当场出成绩。　　4，考试内容： 10大CBK
[信息安全与风险管理 访问控制 安全结构与设计 业务连续性和灾难恢复计划 电信与网络安全 密码学 物理（环境）安全 法律法规合规性和调查
软件开发安全 操作安全]　　5，更改考试日期或退考：提前2日申请，20美金手续费　　6，CISSP报考要求：报考者必须具备至少五年的工作经验，拥有大学本科学历，需要四年工作经验，研究生学历仍需要四年工作经验，工作经验应为10大CBK的一个或多个范畴。　　7，申请证书：一背景证明 二，准备好英文简历　　8，CISSP证书维持：一，每年向官方缴纳85美金的年金 二，需要每年至少提交20个CPE，3年至少120个CPE。　　9，CPE的获取途径：参加培训班，阅读文章，参加相关的大会等　　详细咨询:汇哲小张 联系方式: 021-4 QQ:
楼主发言：1次 发图：0张 | 更多
<span class="count" title="万
<span class="count" title="万
请遵守言论规则，不得违反国家法律法规回复(Ctrl+Enter)考cissp是报培训班还是自学？ - 知乎12被浏览3294分享邀请回答0添加评论分享收藏感谢收起0添加评论分享收藏感谢收起与世界分享知识、经验和见解