Cissp考试心得与教材指导.doc

Cissp考试心得与教材指导

前两天接到ISC2给我发来的邮件，当看到邮件中祝贺的字样时, 我知道，我的CISSP考过了。一直悬着的心也终于能够放下了。

去年10月份我在CISSP考试之前，我曾经答应过zsustar,不管结果怎么样，我都会把我备考CISSP的- •些经验和体会写下来，与正在备考或者准备参加CISSP的朋友们分享，可当时收到成绩单的时候，看到我离分数线之差27分，我一点心情都没有了。250道题，我只要能多答对4-5道题，结果就不会是这样了。

胜利和失败永远只有-线之隔，想要成功，就只能做好充分的准备。在短暂的修整后，我报名参加了12月的CISSP考试。认真总结了第一次考试失败的经验和教训，我又开始重新准备CISSP 考试。考完别人问我考得怎么样，我说：感觉比上次好一点，但不知道结果会不会好一点。现在，我终于可以松-口气。结果，的确比上一次好一点。

CISSP认证不同于其它的认证。我和朋友曾经讨论过CISSP考试与CCIE-security到底有什么不同，我记得我的回答是：CISSP包含了信息安全所涉及的方方面面，包括物理安全、系统安全、操作安全、人员安全等等，而CCIE-security只考虑如何实现网络安全，而且，注重的是如何具体的实现一个安全的网络。因此, 虽然CCIE的考试难度更大一点，但是，CISSP更全面一些。如果你是

一个工程师，想提高自己的在网络安全方面的技术水平，

CCIE的认证更加实用一些；CISSP更适合于一个企业内信息部门的主管。

我在公司里主要从事技术支持工作，在工作的过程中，对网络安全、系统安全、风险评估、安全标准、业务连续性计划等内容都有一定程度的接触。当我第一次接触到CISSP的时候，我觉得这个认证就好像是为我量身定做的一样，因此，我决定把这个认证考下来。事实证明，我的工作经验对我能够通过考试也有很大的帮助。

关于教材的选择

关于教材的选择，大家仁者见仁，智者见智，我只对我看过的那些资料谈一下我个人的看法。

The CISSP Prep Guide (2nd Edition)

Ronald L. Krutz和Russell DeanVines写的这本书实际上就是大家常说的Prep Guide o据说还有一个Gold Edition,但我一直没有找到英文原版(我在china-pub ±买到了中文版，译者：盛思源、成功)，我手上只有第二版的英文原版，因此，不知道这两个版本之间究竟有什么区别。这本书的最大特点就是考试的针对性特别强，很

多概念直接给出解释，但对一些比较难于理解的概念并不作过多的解释。整本书完全按照ISC2种各个Domain的结构进行编排。因此，我觉得他很适合那些具有很丰富的安全实践经验的老鸟们备考CISSPo网络上还有- -份JWG老兄根据这本书总结出来的CISSP Study Notes from CISSP Prep Guide, nJ 以说是精华中的精华，很适合考前几天对知识点进行强化记忆。不过，我个人认为，这样的资料还是自己写一份更好。有一点需要指出的是，Prep Guide这本书看起来有900多页，实际上有关于CISSP 认证的内容只有不到500页，剩下的是另外认证的内容，我从来没看过。

CISSP Certification All in One Guide (2nd Edition)

这本书的作者是Shon Harris,这本书大家习惯上也把它叫做All in One。(我在备考的时候，只有这本书的中文版，译者中有大名鼎鼎的段海新博士，而且说句老实话，我觉得这本书翻译的还是很不错的。)这本书最大的特点就是对于知识点的解释特别详细，网络上有很多人评价是啰嗦，但我觉得，CISSP考试最大的特点就在于你对基本知识点和基本概念的理解，而不是死记硬背，因此，强烈推荐那些想考取CISSP认证，但又对安全行业不太了解的朋友采用这本书作为主要教材。同样，这本书也有自己的缺点, 个别知识点讲解的程度不够，各章节的篇幅和实际考试时的重点

和难点结合不够紧密。

在备考CISSP的过程中，这本书我前前后后看了有近10遍。现在第三版也出来了，可惜晚了一点，我当时已经没有这么多的时间去看这本书了。因此，只是大概的翻了一下。个人感觉，第三版对很多知识点的讲解更清楚了。

SYBEX CISSP STUDY GUIDE

这本书我只大概翻了一下，后来在china-pub上买到了中文版(光盘中附送英文版的pdf),大致翻了一下就放在一边了。原因是这本书把十个CBK分成了20章，看起来很不爽。而且知识点也不够全面，很多知识点的讲解也过于简单。书后面的测试题也过于简单，很多都是直接考概念，非常不适合于应试。

Certified Information Systems Security Professional Training Guide (QUE)

这本书也出了中文版，作者是：Roberta Bragg,由张耀疆翻译。

如果没有All in One的话，这本书的确是一本好书，不过，知识点的讲解同样比较简单，不过，在知识点的编排上，这本书还是有一定的特点的，如果复习时间比较充裕，推荐大家在第一遍复习的时候看一看。我第二次考试的时候想以这本书为主要教材，可看了第一章后惊出一身冷汗，访问控制模型它只讲解了 4 种，

而All in one这本书讲了8种之多，这让我不禁怀疑这本书的权威性。

其它参考资料

当然了，除了上面我列出来的几种教材外，网络上还有一些其它的CISSP教材，如:ISC2官方出版的Official Guide,我没有看过, 也就不做评价了。这两天网络上有帖子说一些朋友收集了几个G 的CISSP备考资料，我觉得大可不必。书贵精，不贵多。因此，只要能抓住一两本教材，吃透，看懂，考试肯定没有问题。

当然，如果你时间比较充分，我还是要推荐你一些材料，你可以读To这里，我强烈推荐你读一些NIST的Special Publication, 有时候大家也称这些文档为NIST 800系列文档。这些文档是美国标准与技术协会编写的一些关于安全方面的一些标准文档，在All in One第三版的很多知识点都直接引用了这些文档的原文，可见，最权威的安全概念解释和安全技术的诠释都在这些文档中。大家可以在 . h下载这些文档。

英文版还是中文版？

关于看英文版还是中文版的问题，我觉得没有过多讨论的必要。如果英文程度比较好的话，直接看英文原版好了。毕竟，考试是英文考试，如果以中文版为主要的复习材料，一些安全的专有名词会对你正确的判断答案产生一定的影响。