历史背景
在2003年就听同事提到这个考试,据说不少CCIE都转向考这个去了。但是决定要考CISSP还是在去年3月份,主要是因为自己近两年一直做这方面的工作。那时候买了在市面上可以买到的CISSP Passport和All In One 中文版(第2版)。一开始计划6月考,结果All In One看得太慢,后来就改为9月份了。夏天7、8月间挺辛苦的,把All In One中文版和英文第1版都仔细看了,做书后和CD上的题目还不错,至少80%吧!但是cccure上的不是很好,只有60%左右。这样一直复习到9月底,结果北京的考试取消了,后来因为别的事情也很多,考试日期迟迟没有眉目,学习也就中断了。
准备考试
虽然没在学习,但是隔三差五去ISC2看看有没有考试信息,终于在年前等到了。本来以为会在3月底,结果安排在3月11日,也就是只剩下40天复习了。
第一阶段(10天): 为了迅速回忆以前学过的内容,我把中文书和英文第一版都过了一遍,尤其是自己当初标记的那部分,这个花了大约10天。
第二阶段(18天): 好在拿到了All In One第3版,从2月4日开始一直到2月22日仔细读了一遍,做了PPT笔记。
第三阶段(12天):开始看Prep Guide第2版,同时补充自己的PPT笔记,做到3月7日(为什么2月份只有28天!!!);一边做了ccure上的题,一般也就72%到85%;看了论坛上考过的人说75%以上就可以了,自己又增加了信心。最后2章应用安全和操作安全没有时间做了。
第四阶段(02天):最后两天主要就看自己的复习笔记了。第一天6章,第二天4章。第二天还感冒了,幸好喝了冲剂很快就好了。
考试经历
早上6点半起来,爸爸下了面条当早餐(老婆说不能吃面,要吃汤圆,所以还放了3个汤圆),老婆在我包里塞了3个面包。7点55分到考场,我是第2个到的。这次北京有11个人考试,都不怎么认识,有一个似乎在老蒋的活动上见过。
8点半准时开讲考试规则;有不少人要更改地址(想改成公司的)。似乎ISC2地回复函上一律用的家庭地址,而不是公司地址,尽管报名表上我记得选的是公司地址。
9点钟准时考试。看了一下答题卡,每45题一列,于是计划在12点的时候做完180题,正好四列。结果作了50题之后,发现已经过了一个小时。算算1个小时50题,5个小时做完也行,就不用检查了。前100题作的挺晕的,很多题都做了标记等做完了有时间再看。100题以后好一点,甚至出现了单纯靠知识点得题,也就是说要么是对的要么是错的。绝大多数题都可以用 All In One里面频繁出现的一个词Vague,每道题都需要思考,而不是仅仅把记忆的东西回现就可以选择答案的。
做完250就已经快下午2点了,花了大概半个多小时把答案填到答题纸之上,剩下的半个小时检查了前50题里面做了标记的,该了大概3、4题。大多数题还是不确定,就凭第一印象的选择了。旁边唯一的一个女生做的比较快,还出去吃了带来的午餐。绝大多数人都没有吃东西,甚至都没怎么喝水。
下午3点考完出来觉得好累,但不觉得很饿,有一种终于熬过去了、重获新生的感觉:)
考后感想
简单的罗列一下吧!考过了话算经验,没考过的话算教训。
1、All In One还是写得不错的,至少有讲解和例子(虽然有时候看起来很幼稚的例子);Prep Guide就是知识点和术语、数据的堆砌,我有点后悔后来去看,早知道再看一遍All In One了!不过All In One写的是有点啰嗦,看第一遍还好,第二遍还是看自己标记的段落好了,不用全看。
2、cccure的题和考题风格完全不一样。cccure考知识点,记性好的没问题。但是考试考的是理解、直觉和经验。因此不推荐做大量cccure上的题,顶多每学习一章作一点题帮助理解和记忆。
3、正如书上说的,具体国家的法律是不用记的,物理安全和其它domain里面的那些数字也是不用记的。想想也是,安全管理人员最重要的还是提高sense,工作中遇到的具体的问题查资料即可。正如很多人提到过的,渗透测试和配置管理是热点。强烈建议关注DRP/BCP这个domain,看书的时候多问问为什么这么做,而不是简单的记忆那些步骤。All In One里面讲的似乎也不太够,最好看看其他资料,要是有过实际操作的经验就更好了。总之,多从管理的角度来看安全问题吧!
有几道题没有拿准的,到现在还想翻翻书确认一下;但又不敢,怕打击自己;呵呵,耐心等ISC2的邮件吧!希望是以Congratulations开头!也祝考友们好运!