CISSP 2017最新考生复习经验分享汇总(1).docx

考生（一） 总是看别人的心得, 终于可以自己写一次啦.本人毕业后一直从事信息安全工作, 5年外企工作经验, 下面说一下我的学习计划供大家参考. 2016.02.18 到2016.04.28, 第一遍all in one 6th, 我直接看的英文, 课后题正确率60%左右. 2016.4.29 到 2016.7.17(5.20 到6月20有事完全没看), 第二遍all in one 6th, 课后题正确率80%左右.然后就高兴的找preguide 的review question来做, 发现正确率很低, 有的知识点在all in one里面没见到,所以决定看preguide. 2016.7.18 到2016.9.10(中间孩子生病耽误了10几天), preguide 只看了这一遍, review question在做第二遍的时候正确率大概75%左右. 2016.9.11到2016.10.12, 找了很多各章节的题目, 包括以前老一点的题目, 如果遇到不是很清楚的就去找看相应的章节. 做题速度也明显提升, 基本3个小时能答完250道的速度. 因为白天工作是项目赶进度的时候, 没有时间看, 晚上和周末要陪孩子. 我基本都是早上在路上看书, 晚上9点多孩子睡着了再看, 有效时间每天差不多保证2小时(当然也有哄着孩子睡觉自己睡过去的时候). 考试的时候是理解题多一些,  但也不全是情景题. 不会直接考概念, 都会转个弯问, 答案里面基本有两个一看就是错的, 但剩下的两个就看你怎么理解了.有图形题和配对题. 对我来说看书和做题都很重要,  必须对大部分的知识点都有概念了再做题, 查缺补漏. 如果能看下去CBK, 可以直接看CBK, all in one还是10个域的知识点, CBK虽然少了两个域, 但内容上却增加了, 其他章节整合了. 我是看不下去CBK, 内容太散了, 和我一样的同学可以看all in one, 再看一遍pre-guide 7th,补充下知识点就可以了. 要报考了才知道没英文考试了, 好在是中英对照的, 考试的时候可以直接忽略中文, 不然那个翻译会很影响你的判断. 我前150道题完全没状态, 速度也慢.出去喝水上厕所又在外面站了会才回去, 后面正确率和速度都上来了, 但5个小时过去了, 只剩下1个小时检查, 把标记的检查了一遍, 从头检查到170道的时候时间到了, 检查的时候改了很多, 因为之前的150道完全没状态. 出去考试人员打印出两张纸, 一看是恭喜我就跑出去玩啦 ………. 考生（二） 我在8月9日顺利通过CISSP考试，也是对自己的几个月学习成果的一个肯定。感觉CISSP的考试还是比较灵活的，重点在于对知识点的理解。考试时几乎不会直接考概念或者技术。在考试时一定要把自己催眠成企业负责信息安全的领导，站在安全管理者的角度去审题，这样会更清晰一些。        我复习主要的教材是AIO 6，其次是汇总PPT以及CBK 4。毕竟自己英语水平不怎么样，cbk 直接看比较吃力，所以只能参照PPT，开着有道来过CBK。开始前AIO 看了3遍，PPT2遍 CBK 1遍，大致过程是先从AIO下手，每天花3个小时看书，第一遍仔细的过了一遍，然后开始做汇安全的题，发现错误率还是挺高。等题做完一遍又看了一遍Aio，待AIO看完第二遍，就开始看CBK主要是找出新的知识点。看完cbk之后再做题，准确率有所提高，第二遍题目做完后，又把书粗过了一遍，为了巩固知识点。然后再做题，发现做题的速度和准确率都提高了不少。所以真实考试时做题不到三个小时就完成了。         考试过程中不理解的，吃不准的先标记出来，不在这些题上浪费时间。然后每做80个题中间休息5分钟，为了保持一个清醒的头脑，然后继续做80个再休息，直到所有题目做完。然后休息了一会，喝点水补充点能量，回过头再过一遍纠结题。总体来说题目虽然多，但是感觉还是比较轻松。三个多小时就完成并交卷了。最终结果是"通过".涉及到的知识点大致如下： 1. CHAP可用在哪个协议中 2. 有和PPP、L2TP相关的题目 3. PII 注意事项 4. PCI-DSS 注意实现 5. 缓冲区溢出 6. 安全策略更新 7. FTP有什么弱点 8. BLP、Biba、等几个模型 9. 生物识别的问题 10. RBAC的优点 11. 防火墙策略应该在什么时候生成校验并备份 12. WEP的弱点是什么 13. ECC的优点是什么 14. ALE、ARO的计算题 15. VoIP的弱点是什么 16. 安全控制措施有哪三类 17. 数据库的多实例 18. 密码学，给定场景下该用谁的公/私钥 19. 考到了S/MINE公私钥相关的题 20. PKI中哪个机构用来验证用户真实身份 21. 纵深防御、边界安全 22. 计算机取证 23. ICMP头里藏数据是叫什么 24. VPN的模式问题 25. 哪种加密算法能加密数据能签名 以下是我在网上收集并整理的新老知识点的对照，不一定准确，也希望能给正在准备考试的同学有所帮助： 首先来对比大纲的变化： 之前     访问控制     通信及网络安全     信息安全治理及风险管理     软件开发安全     密码学     安全架构及设计     运营安全     业务连续性及灾难恢复计划     法律、规章、调查及合规     物理(环境)安全 之后     安全与风险管理     资产安全     安全工程     通信与网络安全     身份与访问管理     安全评估与测试     安全运营     软件开发安全 新大纲从数量上比以前少2个域，从内容上，新增了资产安全、安全评估与测试、安全工程三个域，减少了密码学，业务连续性及灾难恢复计划，法律规章调查及合规，物理安全、安全架构与设计五个域，不过，这只表象，其实是减少的这些域的内容都整合到其他域中，弱化了一些，并不是完全去掉。 从内容上看，减少的密码学主要融入到安全工程域中，业务连续性及灾难恢复计划融入到安全运营域中，法律规章调查及合规融入到安全与风险管理域中，物理安全融入到安全工程、安全运营域中，安全架构与设计融入到安全工程域中。 而新增的资产安全派生自信息安全治理及风险管理域的章节，安全评估与测试部分来安全和设计及业务连续性与灾难恢复域中的章节，而安全工程在上面已经提到了，主要由取消的三个域组成。 大家看到了没？其实知识点差不多，只不过把原来的结构打散了，又重新组合一下。 接下来，我会从知识点出发，看新增或减少了哪些知识点。以新大纲为准： 注意：所说的对应并不是一一对应关系，而是大致对应。而新增也不是完全新增，有的只是把分散各处的小知识点整合了一下。而且对比中主要看目录，有些章节大致浏览了一下内容，因此对比的结论不一定准确正确，请知晓。而且如果错误的地方也请指正。 Domain 1 安全与风险管理与 Old Domain 3 信息安全治理与风险管理相对应 1.CIA概念 原有 2.安全治理 原有 3.符合性 来自已取消的法律法规合规及调查域 4.法律法规 来自已取消的法律法规合规及调查域 5.理解职业道德 来自已取消的法律法规合规及调查域 6.开发和落实安全策略 原有 7.业务连续性和灾难恢复需求 来自已取消的业务连续性与灾难恢复 8.管理个人安全 原有 9.风险管理概念 原有 10.威胁建模 新增 11.采购策略与实践 新增 12.安全教育，培训及意识培养 原有 Domain 2资产域是新增的，虽然小知识点可能在某些领域中提到，但都不突出，这次是把数据单独拎出来讲，也是一大进步。 1.数据管理：确定和维护所有者 来自被替代的信息安全治理与风险管理域 2.数据标准 3.数据生命周期及使用 4.分类信息及支持资产 5.资产管理 6.保护隐私 7.确保适当的保留 8.确定数据安全控制 9.标准选择 Domain 3安全工程域是新增的，主要由已取消的密码学、物理安全、安全架构与设计三个域组成 1.把安全设计原则用于工程生命周期 2.安全模型的基础概念 来自已取消的安全架构与设计域 3.信息系统安全评估模型 来自已取消的安全架构与设计域 4.信息系统的安全能力 来自已取消的安全架构与设计域 5.安全架构的脆弱性 来自已取消的安全架构与设计域 6.数据库安全 部分来自旧软件开发安全域中的数据库管理、分布式计算章节，部分来自已取消的密码学域 7.软件和系统脆弱性与威胁 部分来自已取消的安全架构与设计域 8.移动系统中的脆弱性 新增 9.嵌入式设备及信息物理系统（Cyber-Physical systems）中的脆弱性 新增 10.加密的应用与使用 来自已取消的密码学域 11.机房与设施设计要点 来自已取消的物理安全域 12.机房计划 来自已取消的物理安全域 13.设计并实施设施安全 来自已取消的物理安全域 14.设备安全的实施与运维 来自已取消的物理安全域 Domain 4 通信秘网络域与原来的域基本上一一对应 Domain5 身份与访问管理域与原来的访问控制域基本对应 1.对资产的物理及逻辑访问 对应访问控制域 2.人与设备的识别和认证 对应访问控制域 3.身份管理实现 新增 4.身份即服务 新增 5.集成第三方身份服务 新增 6.实施并管理授权机制 对应访问控制域 7.阻止或减缓访问控制攻击 对应访问控制域 8.身份和访问供应生命周期 新增 Domain 6 安全评估与测试域是新增的 1.评估与测试策略 2.安全控制测试 3.收集安全过程数据 4.测试输出 5.内部和第三方审计 Domain 7 安全运营与原有的安全运营相对应 1.调查 来自法律法规合规和调查域 2.通过配置管理来预备资源 新增 3.基础安全运维概念 整合各知识点 4.资源保护 对原有的安全运营域对应 5.事件响应 整合各知识点 6.针对攻击的预防措施 部分来自原有的访问控制域 7.补丁和脆弱性管理 新增 8.变更和配置管理 与原有的安全运营域对应 9.灾难恢复过程 来自原有的业务连续性与灾难恢复域 10.测试计划评审 来自原有的业务连续性与灾难恢复域 11.业务连续性和其他的风险区域 来自原有的物理安全 12.访问控制 来自原有的物理安全 13.内部安全 来自原有的物理安全 14.建筑物及内部安全 来自原有的物理安全 15.个人安全 来自原有的物理安全 Domain 8 软件开发生命周期中的安全 1.软件开发安全纲要 与原有的软件开发安全域对应 2.环境和安全控制 与原有的软件开发安全域对应 3.软件环境的安全 与原有的安全开发安全域对应 4.软件保护机制 整合已有的知识点 5.评估软件安全的有效性 与原有的安全开发安全域对应 6.评估软件采购安全 与原有的安全开发安全域对应 从上面的对比可以发现，新增知识点不是很多。那么针对标题所提出的问题，我的建议是： 1.英文好的人（看一页需要暂停3次以下的）大可以看CBK，因为这是最新的，而且据ISC2中国办公室说考试的范围也不会超出CBK的范围。 2.英文不好的人（看一页需要暂停10次以上的）直接看中文第六版的ALL IN ONE，然后针对新增的内容去啃CBK。 考生（三） 我是做网络的，两年前一个工作上的领导建议我考CISSP，那时候对CISSP还没什么概念，在他的建议下买了一本AIO中文第六版，当时只随便翻了一部分看了看，没有明确要考证。慢慢越来越体会到安全在工作中的重要性，3月份时候跟一个朋友聊起来安全，就有了考证的想法。把AIO第六版看了两遍，又看了知识点梳理，做了测试题和一些模拟题，感觉可以去考试了，7月4号就上了，运气好，通过了。现在回顾准备考试的这几个月，有点想法，跟大家分享一下。 1，得花时间好好看书。我真正坐下来读的书，就是AIO的中文第六版，现在有新版出来了，但是因为没有中文的，考虑读起来方便，还是看了第六版。个人觉得第六版也不错，虽然知识域还是老的10个的，但里面的东西讲的比较通俗，对全面了解CISSP应该具备的知识，还是挺有帮助。我看了两遍吧，第一遍时候有些章节会比较困难，毕竟大家实际工作不可能覆盖全部领域，但是也得耐着性子读下去，第二遍时候就好多了。 2，上课得认真听老师讲。自己看书有时候找不到重点，或者有些知识点自己看很难理解，但是经过老师一点，很多东西就比较容易透了。比如BLP，Biba模型。 3，测试题和模拟题，因为只有做题才能知道自己哪里掌握了哪里没掌握。没掌握的部分就再看书或者找老师请教。这些题我做了应该有四五遍至少。但是不要指望背题就能通过考试。感觉CISSP考的还是对知识点的理解，考题里的场景比较灵活。 4，考场上要静下心。我是在北京考的，不知道其他地方怎么样，北京是Pearson的考试中心，大概二十个座位，大家都在一起考，有的考试好像需要打字比较多，时间也没那么长，考场上敲键盘的声音和来回过人的声音，会有一点，特别在自己做题不太顺的时候，会觉得很烦。一定要静下心，一遍读不懂的题就多读几遍，中文翻译不好的题就看看英文原版，根据自己的理解作出选择。不要着急选，担心时间不够。我觉得时间是充分的，我当时四个半小时做完了第一遍，然后剩下的时间又检查了一遍，中间还出去喝水吃东西上厕所，我觉得我做题已经很慢了，时间是完全够用的，不要看着屏幕的倒计时就紧张。前面一两个小时是比较煎熬的，后面坐下来慢慢进入状态就会好了。总之不到最后一刻，不要放弃思考。 考生（四） 工作背景：偏网络方向的多年经验，杂七杂八地都接触一点。 这是我第二次考了，如果不过我不知道还有没有信心继续报考了。 2015年3月偶然接触了CISSP，感觉挺牛的一个认证，兴冲冲地报了培训，5天很快就过去了，然后准备了3个月，很遗憾地没有通过考试，完全萌了，题型怎么那么多场景题，坑啊！ 2016年4月初开始看新版的study guide 7th, 比那CBK 4th 看的容易多了，更详细一点。有了去年的基础，今年看起来就简单多了，全英的study guide，每个章节看完再做后面的题目，找到知识点，错题记录下来分析。最后一个星期，每天做适量的模拟题，保持自己的状态。没有他人看什么最后24小时备考资料，读书笔记，那些都是别人的东西，不一定适合自己，可能看了之后会更加慌张，怎么这个不懂那个也不理解，马上就要考试了。。。 建议：培训前自己先通读一下all in one ，有7就7，没有就6也OK的；然后去上课效果会好很多；题目除了每个章节掌握，另外再找1-3套坐一下差不多了；考试心态要好，考不过就4000大洋吗，挤挤总是有了，考试的时候凭第一感觉选就是了，题目也别看那么深，觉得是考什么就什么。细想起来，考的场景题目很多都会在all in one 或者学习指导里面有提过。建议看书的时候多留意一下，但是对于什么美国、南极那边地震之类的可以掠过了。 此刻的心情一点都没有兴奋感觉，CISSP只是安全的入门而已，往后的道路还长着，并不是一个证书就行的，还要有实际的工作经验，转行难啊，求大婶带路！