我通過了2002年5月18日在中國深圳舉辦的cissp認證考試。
一、cissp 認證簡介
cissp 認證是由國際信息系統安全認證協會international information systems security certification consortium(簡稱(isc)2)在全世界各地所舉辦的考試,符合考試資格人員於通過考試後授予cissp認證證書。(isc)2 成立於1989年,是一個非盈利性組織。cissp 目前已成為全球公認評價信息安全專業人員資質的重要參考依據,同時為了保持專業知識、技能及競爭優勢,(isc)2 要求取得cissp認證的人員必須持續進修,在三年內累積120個cpe(進修點數,可以通過從事相關工作或研究等獲得),否則必須重新參加考試,才能繼續保持cissp 資格,同時(isc)2 在網站上公布cissp 認證證書合格人員的基本資料,供全球查詢。
【我國、香港、日本、韓國、新加坡的情況】
cissp 的考試題目為250 題單項選擇題,均為英文試題,所有考題必須在6 小時之內作答完畢,其範圍都與信息安全有關,包含信息安全管理、訪問控制、通信及網路安全、計算機運作安全、密碼學、應用程式及系統開發、信息安全架構及模型、物理安全以及業務連續性規劃和災難恢復、道德法律等共有十個領域(domain)的專業知識。
二、cissp 考試
我參考了《srv的考試指南》和《cissp all in one》。srv套書雖然有點老(現在有第二版),但是上面的知識組織形式很不錯。練習那本書我沒有時間看完,但是相信練習對實際參加考試會有很大幫助。all in one裡面的知識比較豐富,但是有些東西很羅嗦,但我還是堅持通讀了一遍。
還有一本小冊子,叫做cissp exam cram book,很精練。另外還有幾個網站上提供類似cram的東西,可以用於臨陣磨槍,發現複習的遺漏點。
cissp考的是廣泛的安全領域的知識,不可能有那一兩本書可以完全覆蓋。除了購買考試書籍之外,對信息技術各個領域的知識獲取對豐富知識面是很重要的。通過平時的工作實踐、閱讀各種安全雜誌、郵件列表,或者通過網路途徑與已經獲得認證的人的交流都是很重要的。
參加5.18日的考試,公司給予了很大的支持和幫助。考試是由(isc)2香港總部在深圳舉辦的,那幾天深圳天氣還可以,心情也不錯。不過考試還是有壓力的,一是國內第一次考試,不敢說有很大把握,二是公司寄予很大的希望,有些擔心。考前我們幾個各地的同事在一起聊天,談工作和公司的事情,興奮得到夜裡十一點多又煞有介事地“臨陣磨槍”到一點多,實在是擔心第二天無法堅持六個小時的考試,這才睡下。
到了考場後,一下子輕鬆了許多,教室寬闊明亮,感覺得特別親切(好久沒有進過大學的教室了),而且發現很多面孔都很熟悉,都是以前的同事或者同事的朋友或者朋友的同事,見了他們,信心增加了不少。
考前閱讀英文考試指令的過程就像大學裡的四六級考試,不過更冗長,加上香港國語的旁白也還是聽不大懂。不過這輩子考試經過很多了,無所謂。按照監考的要求,將個人信息和試卷信息塗到答題卡上。試卷拆封后,看到五十多頁的英文試卷覺得很興奮,想了想開始的計畫(包括塗卡,每小時50題),就開始答題了。
isc2建議先做會的題,將沒有把握的題做標記,然後再回頭仔細推敲。這樣的好處是可能從後面的題目中獲得相關的信息。這個方法可能有的人喜歡,但是我認為250題太多了,何況做到最後不知道會是什麼狀態,說不定會混沌一團。我還是按照自己的計畫,因為我覺得時間總是夠的,平均每個題的時間是近1.5分鐘。(考試可以帶英漢字典,我只帶了一本小字典。專業方面的辭彙倒是不怕,就是擔心有些日常辭彙一下子忘記,會影響對題目的理解。按規定只可以帶印刷版的字典,可是考試中竟然有人使用電子字典)。
六個小時的考試太痛苦了,建議大家隨時準備一些提神醒腦的食品(不是興奮劑),飲料不一定很多,我只帶了半瓶從北京帶去的水(喝多了容易緊張,緊張又想喝水)。兩個半小時的時候,我做到了150題,看來時間不是問題。中間出去時看到前面那位還不到到100題(不是偷看),信心又增加了。感覺很疲倦,我準備休息一會兒。吃點東西,看看窗外的風景,又趴在桌子上做了一個夢。
後面的時間很痛苦,做題目的效率明顯降低。最後25題用了近一個小時,不過終於是提前半個小時完成題目。最後的時間,應該是看看前面那些做標記的題目。果然如我所想,基本上後面的題目不會給你多大幫助,因為你真的忘記了。而且題目的第一印象往往是你頭腦中的意識,很難有什麼會幫助你做出改變。有的題目拿不準,想來想去還是選擇最初的答案。這半個小時應該算是球場上的“垃圾時間”。
不過考試中間我發現了一個最大的錯誤,試卷號塗錯了。考試中間走神,看到試卷下方的試卷號,想猜猜它是什麼意思。我的試卷號是730010,我看看每張試卷都是,又看看封面。最後看看答題卡上,突然發現我在答題卡上塗成了730100,我驚出一頭冷汗。一個cissp差點被封殺!提醒大家開始還是注意考試指令,仔細檢查。
考試歷經艱難險阻,真是很精彩。試卷交上的時候,感覺很是自信。不過想起傳說中三分之一的通過率,還是有些擔心。不過總算考完了!
乘北航的飛機回到北京,想到很多的工作,還是把cissp先忘掉的好。
6月6號的時候,手機日曆提醒我兩周到了(14個工作日,isc2承諾的時間),我馬上打電話到前台,失望的是沒有我的信件。電子信箱裡也沒有。接下來的周末我還在想,還打電話到公司問有沒有我的信件。
終於在6月12日的下午,我看到了(isc)2 寄來的證書,很多同事向我表示祝賀,並讓我請客。
cissp 考試的範圍非常廣泛,而且每年都有新加的考題,又要求具備實踐經驗。在複習的時候我就想,不管怎么樣,考完後一定要按照cbk的大綱,充實自己在各個方面的知識。在公司內應該組織這樣的以domain為主題的學習小組,小組內可以充分地交流。同時在工作中也應該去套用並豐富學習到的知識。
三、學習考試總結
1.準備
做好考試的心理準備和物質準備。心理準備自不必多說,參加過聯考和考研的都有經驗。物質準備無非食品、咖啡、音樂等以備深夜讀書熬戰之用。
當然,還要花一些銀子購買書籍、到網路上蒐集各種資源,包括訂閱郵件列表,到一些cissp交流網站註冊用戶。cissp考試是英文考試,你的英語能力必須過關,不要寄希望考試時查字典。但是參考書無所謂,只要對知識的描述沒有錯誤,一些關鍵的地方最好還是參考英文描述。
制定學習計畫,重在堅持。每個人從業和擅長的領域不同,不熟悉的領域可以多花些時間。一般安全管理和加密方面的題目最難,考試中的比例也不小。道德法律方面的題目一般很直觀,不要花時間去研究美國的法律。
2.學習
cissp考試不存在僥倖,如此大的題量不允許任何的投機。不過有計畫地刻苦學習,加上端正的態度和紮實的基礎,還是有可能在短時間內取得很好的效果。
技術方面的知識沒有什麼好說的,有清晰的概念就可以了,要注意增加一些近期新技術方面的知識。但是安全管理方面的題目就不只是概念的問題了,這種題目有一定的靈活性,有的是場景題。自己不擅長的領域一定要多用時間,弄清楚關鍵概念,要勤翻書,勤查資料。幾種資料在一起對比著學習,可以加深理解。但有的問題可能幾種資料說法不一,需要請教有經驗的同事或者專家。一定要在考試之前確保沒有遺漏,因此執行計畫是最重要的。
3.練習和模擬考試
按照(isc)2的約定,考試者不得將考試題目以任何方式泄漏,通過考試的cissp大都遵守這個規則。cissp的考試書籍往往會有一定的練習題,不過這些練習一般是根據書籍本身而定的。在剛讀完一個domain後,做這一章的練習就會覺得太簡單。srv的練習題目太多,適合鞏固知識。all in one的題目太少而且簡單。boson的考試模擬機不錯,可以用來感受一下真實的考試。通過大量的練習可以強化記憶,通過對比加深理解。模擬考試只是熱身,不要因為模擬考試效果不好而影響情緒,一般現場發揮會更好,就像足球場上一樣。
4.考試
考試前的報名準備工作要提前進行,包括正確充分的報名材料。收到確認函後,到考試地點的交通和住宿,一定不要出錯。如果通過考試,確認函上面的id就是你的cissp證書id。
六個小時筆試考試可能很少有人經歷過,一定要做好充分的準備。所有的題目均為單選,選擇最恰當的答案。
考試中的技巧自不多言,根據自己的習慣和實際情況。
5.等待
等待考試結果和cissp證書的到來。
四、認證之後
cissp需要遵守(isc)2道德規範-code of ethics,並為信息安全做出貢獻。考試並不是cissp的終點,為了保持cissp認證的先進性和競爭力,(isc)2要求cissp在三年內取得120個cpe,否則需要重新參加認證考試。
cissp考試的cbk覆蓋了安全的各個方面,但是考試的深度不夠。信息安全方面的其它認證可以彌補這一點,向giac、sans及cisco、checkpoint等專業廠商提供的安全認證。
五、後記
傳言中國人善於考試,有的考試到了中國會做的很濫。僅僅取得認證不是cissp的真正目的,與(isc)2的宗旨相違背。也許,未來的兩年cissp將熱遍中國,但願這些cissp能夠在中國信息安全領域做出真正的貢獻,成為未來中國信息安全的中堅,而不僅僅是一張紙文憑。
附:參考資料
書籍:
srv examination book (vol1&2, version 2)
cissp certification all-in-one exam guide
cissp exam cram book
secured computing: a cissp study guide
the cissp prep guide: mastering the ten domains of computer security
網站:學習交流
我的
維護一個學習小組:
my 1.5 cents
三、學習考試總結
3.練習和模擬考試
按照(isc)2的約定,考試者不得將考試題目以任何方式泄漏,通過考試的cissp大都遵守這個規則。....
四、認證之後
cissp需要遵守(isc)2道德規範-code of ethics,並為信息安全做出貢獻。...
五、後記
傳言中國人善於考試,有的考試到了中國會做的很濫。僅僅取得認證不是cissp的真正目的,與(isc)2的宗旨相違背。也許,未來的兩年cissp將熱遍中國,但願這些cissp能夠在中國信息安全領域做出真正的貢獻,成為未來中國信息安全的中堅,而不僅僅是一張紙文憑。