2021年CISSP考试总结
一、教材选择
目前行业内普遍使用的是(ISC)2®CISSP® Certified Information Systems Security Professional Official Study Guide(简称OSG),中文版有第8版,英文版已经出到第9版,9版相比8版有很多概念上的改变,请参照9版,比如隐私盾在9版中已经失效。建议有能力的同学看英文版。但是该版本属于概要版本,细节讲的不是很透,特别是域5身份与访问管理部分讲解SAML等概念时讲的不清楚,请参考AIO继续学习。(AIO的书可以不细看,后面练习题可以做做扩展下思路,毕竟多一套题源)
在练习题方面,官方有(ISC)2®CISSP® Certified Information Systems Security Professional Official Practice Tests Third Edition的练习册。这本书值得拥有,我的建议是阅读原版做题,把每道题的解释弄清楚,并且答案里的解释有很多是教材的扩展内容,请务必掌握。
因此,教材的使用优先级次序:
(1)(ISC)2®CISSP® Certified Information Systems Security Professional Official Study Guide(简称OSG)9版。(主要)
(2)(ISC)2®CISSP® Certified Information Systems Security Professional Official Practice Tests Third Edition。(主要)
(3)ALL IN One(AIO)。(辅助)
(4)另外,NIST的各种标准有精力也可以看看(OSG中大量提到),OSG大部分引用了NIST里的各种标准,就像我们的CISP引用国内的各种标准和法律法规。老实说,我下了很多,但看过的只有RMF,想搞懂风险管理框架的过程。
https://csrc.nist.gov/publications/sp800
二、其它学习材料的选择
(1)国外有很多刷题的网站,但比较有名的是examtopics,能见到以往的真实题型并且有很多人的讨论,对于考生熟悉题型非常有帮助的,不过好像要收费,我只是在偶尔免费的时候使用,如果期望在这网站上发现要考的原题,我觉得您是想多了。还有exampracticetests和brainscape啥的我也免费用过,在bing里搜一些examtopics上的题目,很容易关联其他做题网站。(高能提示:这些网站上的答案不一定是标准答案,不一定是标准答案,这也是我刚开始比较迷惑的地方,因为这不是官方给的题,所以没有标准答案,要靠个人的水平进一步判断)
(2)国内也有人做题库,题源基本是“(ISC)2®CISSP® Certified Information Systems Security Professional Official Practice Tests Third Edition”汉化版本的,或者来自examtopics的一些汉化版本。如果自学能力强,可以不用这些题库。直接看原版的做题资料也行,做好错题本帮助巩固知识点。另外,还有个湾湾的讲师网站Wentz Wu(在bing里搜索),他每天给出一道题,并且有详细的讲解。我很多不明白的在其网站上搜一搜都有比较好的答案。建议学习中难点可以在其网站上搜一搜,讲的浅显易懂。当然这位讲师还出了本The Effective CISSP: Security and Risk Management 的书,我觉得也不错。
三、学习重点
不管是培训机构(它们好像有学习群,如果能入群一起讨论还是很有用的)还是自学,我觉得重点还是自己,有人在架构和思路上给你讲清楚也不错,能讲透彻的不多,但愿您能遇到。因此,重点还是靠自己。结合网上经验和我的经历,我觉得很有必要把OSG阅读至少2-3遍,我把OSG9版英文增加部分翻译阅读了一遍,我大概刷了2000-3000道题。Wentz Wu建议一般情况下刷2000道题过,非英语考生5000道题过。当然,也有天才少年,看很少的书做很少的题就过了;嗯,祝愿您是天才少年,挣华为和互联网公司的高薪水,为国争光。
在学习内容上,当然是要把全书认真看一看了,不过有些感悟可以介绍一下,不要太注重技术,CISSP考的是人,技术和运营,并且是理论+行业(美)最佳实践。因此,很多管理上的知识必须掌握,流程上的东西必须掌握了,比如:风险评估(这部分我觉得CISP教材讲的比较透)、BCP/DRP过程、漏洞评估/补丁管理、变更管理以及角色、配置管理、安全评估/审计、SDLC、身份配置过程、证书生命周期、数据生命周期、RMF(风险管理框架)框架、CMM/SAMM、安全人员角色和职责、数据相关人员角色和职责、取证过程、事件响应过程、渗透测试过程、道德规范、PDCA过程(CISP教材里讲的比较透)、ITIL基本概念、隐私/HIPPA相关概念和关键组成、SOC审计概念。并且切实理解这些流程从前到后的功能是什么,各种过程的目的和目标以及作用得弄清楚。其他就是技术和物理上的知识点了,这个只能做好笔记认真复习。
最后,建议您做好自己的笔记,不要用他人的笔记,自己做一遍有利于加深理解,当然如果是天才少年,请忽略;哦,忘了提一句,我很不年轻,所以需要做笔记。
四、CISSP和CISP对比
我觉得CISP挺好的,CISP教材丰富并且具有很强的抽象性,如果学的深,理解的透完全在安全市场够用和管用;我想说的是如果国内也搞250道题,6小时考试,很难过,我觉得您也不一定开心。CISP和CISSP都强调合规,我想在工作中能保证您工作合规的东西应该是最重要的。所以,我觉得公平看待两个证书比较好。
五、总结
没有捷径可走,天才少年除外。祝您早日通过各种考试,学习国内国外先进技术,强身健体,为祖国安全事业添砖加瓦!
偶然发现的一百道有趣练习题(有段历史了,也没标准答案,各位可以适当参考):
附件:https://www.t3trainings.com/wp-content/uploads/2018/04/dumps-300-400.docx