CISSP備考經驗分享

0X00 引子

2016年9月2日，北京。

在經歷了5小時30分鐘的煎熬後，我在一台電腦上點擊了「結束考試」的按鈕，走出狹小的考試房。兩位年輕的監考老師開始在她們的電腦上操作，一位起身去了印表機旁邊，另一位告訴我可以收拾東西了，回去等郵箱裡面的郵件通知吧。根據考友們的信息，一般通過考試的才會收到ISC2的郵件通知的，考試失敗的會當場給一份成績說明。果然，監考老師把列印好的成績單遞給了我，一句簡單的「恭喜啊」讓我懸著的心落地了。隨之而來的好像沒有預想中的興奮，只是一种放松。

在努力了8個月之後，我終於通過了CISSP的考試。

記錄一些經驗，分享給仍然奮戰在CISSP備考道路上的各位安全同行們。

0X01 證書簡介

CISSP認證的簡介，網上一大堆。我只多說以下幾點：

截至2016年3月，中國大陸地區持有證書人數為1800人左右。

CISSP目前在市面上沒有題庫可以背。ISC2對題庫的保護非常嚴格，嚴禁通過考試後公開討論試題。

CISSP報考是有門檻要求的，通過考試後也必須提交安全行業的從業經歷證明，才能拿到證書。

0X02 教材推薦

目前使用人數比較多的CISSP備考教材有以下幾本，我逐個分析優劣。

The Official (ISC)2 Guide to the CISSP CBK。這是官方指定的教材。目前出到第四版。緊跟官方考試大綱。沒有中文翻譯版本，所以讀起來會比較考驗你的英文閱讀能力。但這是我首推的一本書。官方教材還是更貼近考試一些。知識域的劃分、概念的講解都是比較原汁原味的，這對你考試時候理解考題的真實意圖非常有幫助。這本書我是精讀了一遍的，事實證明真心有用

Shon Harris的All In One。目前英文版出了第七版，中文版出到第六版。這也是翻譯成中文的唯一一本教材。第六版仍舊參考的是老版CBK的知識域結構，這是硬傷。考試大綱調整後重新調整了知識域的架構，考試的側重點也完全不一樣了。比如，物理環境安全一章，AIO講了一大堆鎖、視頻監控的東西，其實考綱根本不關心這些細節。最新的第七版我在備考時略讀了一遍，架構更合理了，可以作為備選教材。

CISSP (ISC)2 Certified Information Systems Security Professional Official Study Guide。最新版本是第七版。這本書很有意思，完全打散了考綱的架構，作者根據自己的理解重新組織成了21章。這本書我只是拿來做參考用的，行文風格比較口語化，不像CBK那麼一板一眼的。不建議作為主力教材複習。

Eleventh Hour CISSP Study Guide。這本書我也看了看，是大綱型的書籍，知識點不詳細展開，整理了一下知識脈絡而已。我在高鐵上花了兩個多小時看了一大半之後，就放棄了這本書。

建議以CBK為主，AIO為輔。CBK的英文看不懂的時候，翻翻AIO的翻譯幫助理解記憶。

0X03 測試題選擇

市面上現在找不到真題題庫，只有各類模擬題。首推CBK課後的練習題，這些對加深記憶非常有用。另外，AIO隨書光碟還有一千多道題，我到臨考前都沒做完。這些題考基礎概念比較多，但實際考試中直來直去問概念的題非常少。所以這些題只能幫助你理解概念。

總之，不要期望你做過的模擬題會真的出現在考場上，理解本質最重要。

當你做AIO的題能達到80%的正確率的時候，是時候準備約考試啦！

0X04 有關輔導班

輔導班有用嗎？我的經驗是，輔導班最大的作用是幫助你梳理知識脈絡，以過來人的角度告訴你哪些點可能考的比較多，哪些點出現在考試中的幾率非常小。所以，別聽他們吹噓什麼通過率90%+，但他們真的可以幫你節省複習時間。

0X05 CISSP的作用及其他

有人說，拿到了CISSP以後年薪可以上浮XX%。我覺得這是輔導班的宣傳策略。有人說CISSP不考具體攻防技術，證書沒用。我覺得這是唯技術論的一家之言。

備考這八個月，至少幫我梳理了一遍安全所有領域的知識點，擴寬了我的知識面。重新架構了對安全的全面理解，這是最重要的。

實現了2016年的第一個目標，心情還是很愉快的。

最後，住所有備考CISSP的同行們早日通過！

原文鏈接：CISSP備考經驗