我的CISSP之路

释放双眼,带上耳机,听听看~!

引言


本文写于2012年,通过CISSP认证考试后的总结。一直以来觉得做安全的谈认证考试,挺难为情,你看那些大拿,毕业证都不要,还要啥证书?金融业企业安全建设群(文末有入群方式)近期谈到这个话题的时候很踊跃,才发现企业安全建设中信息安全认证必不可少,毕竟金融企业安全建设并不要求团队成员在某个领域非常高精尖,而要求主要方面都平衡,以及在至少一个领域有自己的专长,通过认证的系统性学习和考试检验,能迫使自己总结提高。现在越来越多的企业将上述证书作为安全职位上岗证+KPI考核,艺多不压身,有兴趣的朋友尝试一下。


开始行动往往就等同于成功




CISSP和CISA是我接触比较早的两个认证,某天有个四大的人递过来一张名片,上面写着CISSP、CISA,我想这两个认证可能比较值钱他才会印在自己名字上拿出来显摆吧。后来去网上搜了一下,确实在安全界这两个认证还是很多人比较认可的,也比较火。我想原因有两个,一是这不同于IT厂商推出的认证,没有题库,也不仅仅是讲自己的安全产品的使用,而确实是在安全的方方面面,虽然难免是一英寸深,一英里宽的评价,但对于刚进入安全圈子的人来说,开阔知识面,增加阅历是很有帮助的。二是安全理念。我觉得安全是没有标准答案的一门学问,在安全的领域,永远没有人可以告诉你做到哪些哪些你们企业就安全了,可以高枕无忧了,恰恰相反,安全是一个持续的过程。安全需要你不断的更新你的知识库,并且你不能仅仅从你的角度出发考虑问题,也不能仅仅从技术角度出发解决问题,安全更多时候面临的是复杂环境,如何做好动态平衡需要做安全的人学习的一门艺术。从这个角度出发,我觉得老外的这些安全认证中给我们很多启发。这些考试普遍需要从多个岗位,多个角度上来看问题(安全不是一个人说了算的事情,是与每一个人的参与有关的),尤其是对风险的管控和对业务的保障,这是不少考试的出题的重要视角。

中间过了很多年,我考了很多IT厂商认证,觉得都很垃圾,后来看到了CISSP、CISA、CCIE、CEH,然后开始打怪通关。2011年第一次报CISSP考试,12月在北京考试,最终成绩出来没有考过。没考过是在自己意料中的,没有花什么时间看书,只是在临考前突击了2天,而且CISSP对英语要求比较高,考试的时候发现很多关键的单词自己都需要查字典,导致自己做题速度很慢,后面基本上遇到不熟悉的单词也不查了。虽然没过,但因为考试在北京,自己在酒店专注的复习看书,不用上班,感觉也是挺爽的。不过在后来在团队面前宣布我的考试成绩,脸还是有点挂不住的,觉得很没面子,同时暗下决心,2012一定要再考一次。

2012开春一过,因为有点其他事情耽误了,我从4月份开始看书,我记得第一次坐在电脑前看英文版的All in one的时候,我给自己建了一个TXT文本文档,标题就是聂君的CISSP之路,里面记载了我每次看CISSP的进度,以及看到有价值的知识点和不认识的重要单词。我开始看的是英文版,因为我在论坛里看了很多人发的帖子建议大家看英文版,后来我发现其实这个建议不适合所有人,比如我。看英文版适合英文很好的人,这样看起来非常有效率,而且不需要经过英文-中文-英文的转换,但这不适合英文不好的同学。我个人的经验是快速看中文版(别跟我说你中文看起来也很慢),每章后面都有个总结,对全章的知识点进行提炼,这个一定要仔细认真看,是全章的精华部分,看完一章后做后面的习题,看看自己的得分到多少,我基本上都低于70%的正确率,很正常。完了之后你开始看对应的英文版,因为中文版式翻译英文版的,看英文版的时候把中文版放在旁边,有不认识的英文长句和英文单词,直接看中文版,比查字典还快。而且All in one很罗嗦,没必要逐字逐句看,每章中文都有一些黑体,你只要理解这些关键段落和关键词的意思及原理就行了,快速突进,一章英文很快就干掉。我自己的实战经历是把所有中文看完,做后面习题。然后看每章英文,看一章做一次Total Seminars的章节练习题,这时候基本都能到80%的准确率了。最后考前复习的时候做了2套模拟题,看了孟紘给我的CISSP单词表。

我报考的是2012.5.19上海考试,考点在浦东新区的交大信息安全学院。位置很偏僻,偌大的城市,路上看不到什么人,连打车都打不到。考前两天我在复习的时候,基本上看1个小时书休息5分钟,效率非常高,心无旁骛。其实我在考前2天的时候基本上中文也就刚看完,英文还没开始,心里特别没底。但我在2天内看完英文后,心里就有底了,过了1个多月,成绩出来,顺利通过,当时我高兴的跳起来了。


整个过程其实平时我没花多少时间,可能也就是二三十个小时吧,真正有效率的是考前2天的专心复习,有点类似于大学里考试前的突击,效果特别好。有几点供参考:

  1. CISSP考试是要注重体系的,要以老美的价值观安全观对待,明白了CISSP出题者的套路,才能选对所谓的最合适的那个答案。不要问为什么,只有老美才知道。

  2. 考试6个小时,250道题,绝对对体力是个考验,所以我建议考前最后一天12点一定要睡觉,否则撑不住,而且没休息好,对考试大脑思维很不利,我第一次考试就是太晚睡,结果到最后头晕眼花,快没力气看题想题答题了。第二次早点睡,效果好多了。虽然最后还是感觉头晕的不行,心里骂老美真变态。

  3. 英文一定要看,但如何看,取决于你的时间和你的英文水平,不同情况,不同级别英文能力的人都有办法在短时间内过,但方法很重要。

  4. 没有真题,我考了两次,我都记不起来有一道题是相同的。我们应该感到庆幸,没有题库的认证能够保证认证质量,也不会让我们辛辛苦苦考过的认证直接扔进垃圾堆了。

  5. 考试过了,没有考试成绩。考试没过的话会有一封邮件告诉你十个CBK你的成绩先后顺序,针对性的看你成绩最烂的CBK吧,我的好像比较烂的是物理和环境安全、法律、法规、遵从和调查、业务连贯性和灾难恢复,确实和我的工作经历有关系。

  6. 考试过了,不代表有任何区别,人还是那个人。但考试通过能起码让自己感觉不是太坏,而且通过考试前的学习,对自己的专业知识也做个梳理归纳总结,还可以学到诸如直接证据、间接证据、决定性证据等等知识,肖恩哈里斯的书中也有很多搞笑的段子,也非常不错。

我推荐看一个人写的体会。J0ker将自己求学CISSP的亲身经历整理成《怎样成为一名CISSP》系列文章,有兴趣看看。


顺便说下我的CISA,基本上只看了同事给的一本PPT打印版材料,没什么营养的书籍,其他一概没看,考前也没复习之类的。推迟了两次才最终决定去考的,因为再也不能推迟了,结果过了。


开始行动往往就等同于成功。


题图:以色列网络间谍部队8200


——————鸡汤分割线——————


决策心理学认为,人在面临选择时,通常会采用“满意原则”,而不是“最优原则”,从自己最熟悉的待选项开始逐一进行考察,如果考察到一个满足内心标准的选项,就会采纳,而不是对比所有待选项选择最优。所以更高的标准,才会有更好的选择。一个成熟的人,他的标准来自他的内心,而大多数人,易受环境所左右。一个年轻人,进入一所不那么优秀的高校,对自己的标准会不由自主的降低以适应这个环境,减少自身与环境的冲突,而这种做法对他们的人生也许是致命的。外在安逸的环境,容易让我们在一个低标准下,自觉“满意”地度过每一天。以中高档标准要求自己是更恰当的做法,一定能从中受益。

有兴趣加入的朋友请关注微信公众号“君哥的体历”,扫描下方二维码加我微信,留言 微信号+公司名称,验证身份后入群。


本群主要用于探讨金融行业企业安全建设的实践,主要讨论如何做好安全运营、安全攻防,安全嵌入业务、安全考核、安全度量、安全如何体现价值、安全汇报,安全内控,更低的成本实现安全合规等最佳实践,解决安全在企业落地的最后一公里的问题,希望大家踊跃提问,发言,分享体历。进群的朋友先修改备注,姓名-公司。进群新人先做自我介绍,发招聘广告前请自觉发红包,其余广告禁止。为保障群质量,定期清理人员。



附注:

  • 聂君,信息安全从业人员,十余年金融行业信息安全从业经历,默默无闻。好读书,不求甚解。性格开朗,爱好足球。

  • 本订阅号文章是个人对工作生活的一些体验和经历分享,站在不同角度和立场解读会有偏差,见仁见智,不求正确统一,但求真、善、美。



长按识别二维码,和我交流。

老板打赏专用通道,请我一杯咖啡

本文源自微信公众号:君哥的体历

人已赞赏
安全工具

金融企业网络安全应急响应之技术篇

2019-10-16 13:51:58

安全工具

金融企业安全建设探索之四个安全建设问题

2019-10-16 13:52:08

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索