2020年我有拿到 Offensive Security 的 OSWE 的认证,这个认证算得上是应用安全代码审计方面含金量比较高的认证。当初,我也写过一篇文章「一键 Shell,我的 OSWE 之旅」分享了课程学习和备考的经历,感兴趣的同学可以看看这篇文章。在考完 OSWE 之后,就考虑去考一下 CISSP,毕竟 CISSP 算是国内目前安全领域内认可度比较广的证书之一了。同时,也是为了证明自己在安全实战和理论方面都有所掌握,拿到认证并不代表什么,但是取得认证的过程却是大有裨益的。下面就分享一下在 CISSP 准备过程中以及考试的一些经验。

考试报名

我的 CISSP 备考过程是没有参加任何培训的,也没有做过什么培训班的题目,主要的复习资源都是官方的材料。其实,在2021年初当时就有考试的计划,不过当时也没有明确的目标,也就偶尔翻了一下书。直到年末才开始认真准备,差不多3个月左右的准备时间,提前1个月预约了考试时间和考点。上海一共有2个考点,一个在人民广场一个在徐家汇,都是比较市中心的位置。如果有过几年的安全经验的话,两到三个月的备考时间是比较合适的。因为 CISSP 预约考试之后换预约时间是需要再付费的,所以建议还是确定好考试时间再注册报名考试。当时我做 Practice Test 的准确率差不多有 80% 左右,感觉差不多了就报名了考试。可能一开始没有合适的时间,可以没事多看看,看到合适的时间就果断的报名考试。值得注意的一个点是考试报名的时候应该把名放在前面,一开始我以为是要和中文拼音保持一致的,后来考点的人和我说还是要调整过来的。

备考

教材的选择可以说是准备考试的第一步。因为考虑到教材的准确性和翻译问题,备考过程中我看的全都是英文的教材,包括像 Official Study Guide 以及 All in One,习题做的就是 Practice Test。英文教材的表述会更地道,更准确,另外一点就是英文教材已经更新到第9版了,中文教材还没有更新。Practice Test 的最新版本是第3版。

OSG 和 AIO 的选择,我强烈推荐 OSG。OSG 和 AIO 对比下来,感觉逻辑更清晰,知识点更明确,AIO 感觉更像是知识点的延伸,所以有的知识点讲的特别发散。当然如果准备时间比较充裕,也可以看看作为一个补充。对于 CISSP 的八个 Domain:

我本身主要是参与最后3个 Domain 的相关工作,不过这三个 Domain 在知识点占得比重不能算很多。第一个 Domain 是教材中篇幅最长的,可见其重要程度。风险是 CISSP 中非常重要的一个概念,很多的知识点都是围绕着风险展开的,所以对风险务要有深入的理解。

备考材料主要就是 OSG 以及官方的 Practice Test,两本书基本都过了3遍以上。习题差不多第一遍的时候准确率 70% 左右,后面 80%,到最后有一些能做过 90 以上。不过也有一些题目是记忆的缘故,我也会把错的题目记录下来。当然有的题目可能会错好几次,可能也需要反复的联系来加深理解。建议是把教材完整的看完一遍,并且完成教材上的习题再去做习题册。到后期可以查漏补缺,针对薄弱的知识点做加强和巩固。

视频我是看过 Mind Map,这个视频集合质量挺高的,做的也比较好,建议时间充裕的话可以多看看。另外就是一个网站 wntzwu,里面每天会有一道练习题,练习题的难度都是比较难的,知识点很深,我当初做的时候错的特别多,不过也可以作为一个补充材料吧。这些材料基本就已经是我所有的备考材料了,可能备考的重点主要不是盲目的刷题,还是结合知识点的掌握,练习题的目的是验证自己对知识点的掌握程度而已。对于知识点的把控,也要做到抓重点,有一些特别偏的可以就了解了解就好了。反复的阅读和练习真的能加强知识点的掌握,比如 Bell-LaPadula 和 Biba 模型,一开始我根本分不清,后面多做几次就印象很深刻了。

考试

大陆的考试只能报名中文考试,当初我还想报名英文考试来着,但是英文考试还必须要去香港参加。考试一共是 250 道题目,考试时间为 360 分钟,当然大多数人可能不会用完所有的时间,不过相对于 OSWE 的 48 小时来说,CISSP 已经算得上是比较轻松的了。参加考试前记得带好自己的证件,包括身份证以及一张带有姓名全拼的银行卡,考试需要提前半小时进入考场,记得不要迟到。考试过程中是可以出来休息和上厕所的,不过这些时间是占用你的考试时间的,进出都需要经过严格的检查。如果是早上考试的话,建议起来早一点,吃好早饭,这样也不会考试中途饿了想吃东西。

考试过程是中英文都有的,建议中英文题干都看清楚,每一个选项都看看。可以先排除掉一些不可能的选项,再选择符合自己预期的选项。如果是自己完全没接触过的知识点或概念,建议直接相信自己的第一感觉,因为纠结耽误更多的时间也没有太多的意义。考完试结束考试之后就会现场拿到成绩单,知道自己有没有过了。感觉做最后一题的时候还是比较忐忑的。

image.png

总结

CISSP 算得上是安全领域覆盖范围非常广的一个认证,但是它对于一些技术实现可能没要要求的那么地深入。不过对于安全从业人员对于整个安全领域的了解还是有好处的,像我在这次准备过程中最大的收获就是加强了密码学相关知识的掌握。