跳到主要內容

The Effective CISSP考試攻略

 



The Effective CISSP考試攻略

考試的難易

一個好的考試,通常會讓你準備的很辛苦!但通過考試後會讓你一直駡,怎麼考出來的題目沒有想像中難!但這就是一個好的考試!這種考試通常有一定的門檻及鑑別度。

到2020/07/01止,台灣有337位CISSP;2019/05/31是304位;2018/12/31是287位。

即使您在資訊軟體產業有相當的資歷,或已有資安的經驗,仍請不要忽視CISSP考試對資安治理、管理及技術的涵蓋面與勺鑽度。

一般而言,有十年以上工作經驗的朋友,可以將考試的目標訂在:

  • 三個月到一年內
  • 投入250小時到1000小時
  • 作題目不少於2500題

考試的掌握度

  • CISSP考試大綱要儘可能弄懂、裏頭的專有名詞不可以有看不懂的;必須能達到看得懂、說得出,並搭配作題目2500題以上,才能達到參加CISSP考試的基本門檻了。
  • 作題目的最低標準:課本提供的線上題庫的全部題目,外加其它題庫1500題以上,都必須達到90%以上的水準。

答題技巧

  • 考試的作答,基本上要以官方CBK、指定教材及NIST的指引為準。
  • 除了K書,答題的技巧也要刻意練習及培養。
  • CISSP考試的題目,基本上都是透過社群運作,讓大家參與出題,所以題庫很大並且不斷在更新。因此,請著重在觀念的理解,力求以實力考過,不要迷信題目作很多或作考古題就會過。

應考策略

  • 建議選擇在週一請假,並選在下午考試。
  • 週六及週日可以用大塊的時間準備考試,讓自己進入戰鬥狀態。
  • 睡個好眠後,週一上午持續複習;讓自己一直處於考試的戰鬥狀態。
  • 下午考試當天,我個人不喝有刺激性的飲料(如咖啡)、習慣補一顆維他命B群(或考試前一個小時補充液態維他命),以及中午只吃輕食;進入考場前會先至洗手間用肥皂液洗手、深呼吸及舒展筋骨。

考試作答

  • 作答時先刪去不可能的答案,再選一個對的或最佳的答案。
  • 若是考簡體中文,不確定的題目可以標記(mark)起來,繼續作下一題,最後再回來作答。
  • 若是考新版的英文試(CAT 100),每題的答案送出後就不能回頭改,因此前面的50題要更小心作答;一開始錯太多,後面要拉尾盤過關會比較累。
  • 當選了一個有點掙扎的答案後,要告訴自己選的是對的,別讓它影響答下一題的心情。

考試成功的關鍵因素

  1. 積極的目標管理
    明確的目標,是通往成功最快的路!從考試的日期,來展現你必勝的決心!
    請在報名上課的那一天起,就勇敢的設定成功摘金的日期,課程會安排第二週上課時統一報名。用明確的目標(壓力)驅使自己前進;若真的準備不及再延後考試。
  2. 有效的時間管理
    8小時不專注的閱讀,可能比不上1小時的專心研讀;8小時的假日連續學習成效可能比不上連續7天、每天1小時的學習。因此請善用「學習維他命」、「洞穴(cave)時間」,以及「蕃茄時鐘工作法」,以排除家務及社交媒體等的干擾,讓自己保持學習的專注力與持續力。
  3. 有效的學習方法(test-driven & top-down)
    學習方法方面,建議進行test-driven及top-down方式的學習。
    Test-driven: 研讀跟作題目的比例,應該是50/50。作題目,研讀,作題目,研讀。
    Top-down: 先快速把所有domain都看過一次,取得一個整體概念(overview),之後再逐步完善及學習細節。
    具體的作法有:把CISSP考試大綱及講義快速看過一次(不用等到上課或預習那週才看,現在/隨時都可以進行),並搭配作題目。作題目遇到不懂的再去查書或Google!
    書本的研讀,重在”看懂”,而非”看完”。很多人從頭到尾看了很多次,但仍然過不了。
    請記得,”看懂”才會過!
  4. 讀書會
    大家一起準備考試與互相協助,會提升50%以上的考取機會。

考上CISSP後要作的幾件事

  1. 寫考上心得,幫自己記錄一下這個歷史時刻!
  2. 邀請有CISSP資格的朋友幫忙背書!
  3. 送出工作資歷及CISSP認證申請;若沒問題,大約6~8週才可正式取得CISSP資格。
  4. 未取得正式CISSP資格前,不可對外宣稱自己是CISSP。
  5. CISSP紙本證書通常要等取得CISSP資格後,至少一個月以上才會收到。

Passing the CISSP exam is a piece of cake if you are committed to it.

如果你有決心並持續付緒行動,CISSP對你而言絕對是一塊蛋糕!

祝大家考試順利!

Wentz Wu
2020/09/27


鬧中取靜的洞穴(cave)時間

如果工作很忙,有小孩/老婆/先生要陪伴, 如何專心準備考試?也許善用”便利商店”的座位,會有讓你意想不到的效果!

在下班回到家前,找一個離家較近的便利商店,找個座位開始研讀30分鐘到1個小時, 就可達到預習及讀書的效果。便利商店看起來很吵雜,但他們的環境相當舒適, 不但有冷氣吹、燈光明亮,也有USB供電,可以讓你很快進入讀書的狀態。

今年的考試,我自己很喜歡週末下午到便利商店吹冷氣、喝咖啡及邊看書,讀書效果相當的好。

大家可以試試便利商店鬧中取靜的洞穴(cave)時間!


學習維他命

有時候醫生會開立維他命作為處方,也就是大家俗稱的安慰劑。有些人吃了之後會覺得有效果、情況有改善。但很多人會覺得這只是心理因素而已,沒什麼實效;不過事實上,這些心理的效應,也的確發揮了生理的改善效果。

因此,如果你的工作非常忙、回家都很晚,平常沒有時間研讀;那麼,請開始服用學習維他命。也就是說,每天即使回家再忙再累,請務必花時間”假裝”看書。實際的作法,建議進入線上考試系統,把題目”點”一遍,然後再去睡覺;或者,把課本拿出來,一頁一頁的快速翻過(不用讀,讓眼睛看到講義的影象即可,這是一種叫photo reading的速讀)。通常這不會花超過5分鐘,而且不用太費力氣。這種看似好笑的作法,就是學習維他命!

“持續”投入,讓自己在這1,2個月內持續處於考試的戰鬥狀態是最”省時”及”有效”的作法。但實務上,我們不太可能每天都處於這麼有效的準備或心流(flow)狀態。因此,服用學習維他命可以強化自己的潛意識,讓自己可以更輕鬆且更快速的切換、進入讀書及考試戰鬥模式。

建議各位可以試試看學習維他命。(但,別每天只吃維他命啊!)

留言

這個網誌中的熱門文章

WUSON的CISSP課後筆記整理-葉柏毅Alex Yeh

  CISSP考試心得-Alex Yeh 心智圖 心智圖PDF Structure Architecture Framework Approach Methodology Domain 口訣 Domain 1. Security and Risk Management   C、I、A+GRC(安全和風險管理) Domain 2. Asset Security   盤點、分類、保護(資產安全) Domain 3. Security Architecture and Engineering   時時都安全、處處都安全(安全架構和工程) Domain 4. Communication and Network Security   處處都安全(通信及網路安全) Domain 5. Identity and Access Management (IAM)   I + 3A(身分識別及存取控制) Domain 6. Security Assessment and Testing   查驗、訪談、測試(安全評鑑及測試) Domain 7. Security Operations   日常維運、持續改善(安全維運) Domain 8. Software Development Security   時時都安全、處處都安全(軟體開發安全) 美國法定目標(FISMA)/ 資通安全法 CIA C機密性:資料不被偷 I完整性:資料不被竄改 A可用性:資料隨時可用 Integrity完整性 Data Integrity(資料完整性) Authenticity(資料真偽;真實性) Non-repudiation 不可否認性(法律上):傳送方不能否認未傳收;接受方不能否認未收到。 FISMA NIST FIPS 199 NIST SP 800 資產Asset:有價值Value的東西,且值得保護 Assets 通常指資訊系統 資料 電腦系統 操作系統 軟體 網路 資料中心(機房) 人(最重要) 業務流程 資安目標(定義): 透過安全管制措施,保護資訊資產不受到危害,以達到CIA目標 進而支持組織的業務流程 將安全融入組織業務流程(人事/採購),產銷人發財 支持組織的「產品」及「服務」持續交付 為公司創造價值,實現公司的使命及願景 公司最高經營階層的管理作為就叫做治理. 管理是達成目標的一套有系統的

[補充]Common Attacks

  參考來源: Wuson - Common-attacks  , Wiki 如翻譯或解釋有誤,歡迎提出更正。 Brute force: 蠻力攻擊 (英語:Brute-force attack) ,又稱為 窮舉攻擊 (英語:Exhaustive attack)或 暴力破解 ,是一種 密碼分析 的方法,即將密碼進行逐個推算直到找出真正的密碼為止。 Advanced Persistent Threat (APT) :高級長期威脅(英語:advanced persistent threat,縮寫:APT),又稱高級持續性威脅、先進持續性威脅等,是指隱匿而持久的電腦入侵過程,通常由某些人員精心策劃,針對特定的目標。其通常是出於商業或政治動機,針對特定組織或國家,並要求在長時間內保持高隱蔽性。高級長期威脅包含三個要素:高級、長期、威脅。高級強調的是使用複雜精密的惡意軟體及技術以利用系統中的漏洞。長期暗指某個外部力量會持續監控特定目標,並從其獲取數據。威脅則指人為參與策劃的攻擊。 Multi-vector, polymorphic attacks Buffer Overflows: 緩衝區溢位 (buffer overflow),在 電腦學 上是指標對 程式設計 缺陷,向程式輸入 緩衝區 寫入使之溢位的內容(通常是超過緩衝區能儲存的最巨量資料量的資料),從而破壞程式執行、趁著中斷之際並取得程式乃至系統的控制權。 Mobile Code: ActiveX, JavaApplet, Flash, JavaScript Malicious Software (Malware) Drive-by download attacks: 路過式下載 ,網頁掛馬攻擊 (Drive-by Downloads) Spyware Trojan Horse Keyloggers Password Crackers Spoofing欺騙 Masquerading,偽裝 Sniffers,竊聽 Eavesdropping,竊聽(隔牆有耳) Tapping,竊聽 Emanations 流出 and TEMPEST Spontaneous emission of electromagnetic radiation” (EMR) subject to TEMPEST eavesdropping 受 TEMPE