想考CISSP的念头是两年前开始的,不过那时候全球CISSP的人数只有3000人,所以感觉上这肯定是个很难的考试,不敢轻 易去尝试,只是慢慢地开始注意这方面的信息,从AMAZON买一些相关的书籍,比如<<information security management handbook>>第一卷和第二卷,还有<<hacking exposed>>,但那时候专门针对CISSP考试的书还是很少,要想通过考试,最好参加ISC2不定期举办的r eview seminar(很贵。。。),一直到去年年中(2001年年中),市场才开始出来几本书,不过评论都不怎么样,其中评论比较好 的有<<CISSP Prep>>, 以及后来的<<All In One>>,除此以外还有一套比较有名的书是SRV的TEXT BOOK(www.srvbooks.com),刚出来的第一版,卖到99US一本,分上下两本,上本理论,下本是练习题,有1 500道左右,内容覆盖很广,比其他几本书覆盖的内容都要广,现在网上流传的就是这第一版,不过很多人买了以后对他的评价并不高 ,我那时候参加了几个网上的讨论组(groups.yahoo.com),很多人都很不满,表示错误太多,我那时候差点一冲动就 买了(还好。。),2002年初的时候,SRV出了第二版,我那时候觉得这下应该有所改进吧,所以到SRV网站上直接下单买了两 本,等了两个礼拜终于等到了,打开包裹一看,刚开始很兴奋,不过看了以后感觉很难懂,很多概念相互之间没有关联,而且其中的语法 和用词跟平时看的技术书风格完全不一样(估计作者可能是欧洲人),看的头昏脑涨的,但没有办法,如果这个证这么好考的话,那考过 的人数就不会那么少了,平时工作时间很忙,没有时间看,只能每天看一点积少成多,还好工作跟网络安全有关,所以有几个章节看起来 比较轻松一点,比如象telecom security, cryptography,但其他的章节难度大多了,很多管理和理论的东西,象法律那一章,还有物理安全等,不过这个学习过程对 整体理解安全是个很好的帮助,因为我们大多数平时大多注重技术方面的东西,对很多管理方面的东西并不很了解,通过CISSP的学 习可以让我们对安全的认识上升到新的层次。2002年九月底我到ISC2的网站上报了名,用信用卡直接付的款,还得提供你的一些 个人资料,如果对各DOMAIN的熟悉程度,有多少年经验等等,,在SUBMIT以前我把填的资料用打印机打了一份,也许以后会 用到,两天后收到了确认E-MAIL,告诉你考试的地点,时间,交通路线等等。
终于,考试的日子到了,考试一般都是星期六早上九点开始,不过八点半以前一定要进场,千万不能晚,前一天晚上应该要休息休息,不 过我还是看到两三点钟,晚上睡也睡不着,一早五点多手机的铃响了,我想还早就再睡了一会儿,谁知道一睡就到7点了,跳起来赶快清 洗一下出了门,星期六路上没有人,路上很顺利,考试的地点在sherton宾馆,我到那里是八点钟左右,不过人已经很多了,宾馆 周围停满了车,找了很久才在宾馆后面找到一个很隐蔽的车位,也许其他人都没有看到,哈哈,签到处有人检查你的证件,一定要有照片 的那种,最好是护照了,还得带上ISC2发给你的那封E_MAIL的打印件,不知道国内的考场是不是查身份证,然后找位置自己坐 下来,去晚了就没有好位置了,考试人还挺多,有一百多人左右,竟然还有三个MM,有一个看上去是中国人,看来这行还不仅仅是Ma n的专利,然后考官说了一大通关于考试的东西,无非是要注意掌握时间,仔细看题目,铅笔是他们发的,不过我自己也带了,考试是我 们十年前考英语时候的那种画圈的那种答题方式,很落后吧(想不到现在IT考试还有笔试的),不过这种方法不大容易把题目泄露出去 ,注意,根据你跟CISSP的协议,不能在公共场合讨论任何CISSP的考题,否则要取消你的CISSP的资格,考卷有四到五个 版本,旁边的人跟 你的版本是不一样的,考试时间6个小时,250道题目,不过不是所有的题目都记分的,但你不知道是哪些题目不记分,所有你得回答 所有的问题,考试中间可以上厕所或者吃一些东西,不过都出去进来都要签字,每次只能出去一个人,我那天特意什么都没有吃,整六个 小时没有离开座位,离终场前45分钟的时候作完了所有题目,在考试中我把吃不准答案的题号写在了草稿纸上以便检查,剩下的45分 钟我就去检查那些题目,我做完后数了一下,有41道题目,等检查完这41道题目的时候,考试时间也差不多到了,这个时候已经是下 午三点了,感觉又渴又饿,不过脑子里最强烈的念头就是:终于结束了,出了门马上回家。接下来就是漫长的等待了,到了第四个星期, 那天中午开始看到网上有人说收到了结果,我在公司不能查YAHOO的mail,干瞪眼,熬过了漫长的一个下午,回家第一件事就是 查yahoo,终于看到的久违的ISC2的地址,谢天谢地,我已经是CISSP了。
考试资源推荐
<<All In One Cissp certification guide>>
SRV Text book第二版
<<information security management handbook>> Volume I, II ,III
www.cccure.org
www.cissps.com
www.isc2.org
<<Maxinum Security>>
<<hacking exposed>>
我基本上就是看上面的资料,要注意的是<<All in One CISSP certification guide>>里的内容写得很好,但有一些内容没有涉及到,要到SRV的书里看,www.cccure.org里有 很多study guide,可以在考试前最后几天里用来回忆知识点,上面的online quiz非常好,在考前三个星期左右至少要每天花两个小时做上面的题目,熟悉想关的知识点,不过很多答案是错的,要根据你学的东 西判断对错, 最后还有一点就是考CISSP要有三年安全相关的工作经验,考完后还要有一位拥有CISSP的人或者其他方面的专业人士或者你的 雇主为你签一份保证书证明你的背景,这一点是最近刚刚加上去的,大家要注意跟你的雇主保持良好的关系,否则考完后也麻烦.