2020 CISSP-黃同學
本來一直是做防火牆方面的工作,聽說CISSP是業界公認最難的考試,想說去上課聽聽看吧。於是去年年底就選了價格無比親民的全智網。沒想到就像小白兔誤闖森林,愈陷愈深,不僅被凌虐的體無完膚,也找不到回去的路了。上課講義是很有系統的介紹,其實那只是個導讀。
上完整套課程,真正的苦頭才開始。我開始鑽進去讀 All-In-One (AIO)一千多頁看了很久,二個月看不完。心裡急了,想說乾脆先訂考試時間吧,訂好了自然就會逼自己趕上進度。到了第一次考試,6個小時下來,結果沒過,開始懷疑人生。其實想想還好,心裡倒沒什麼很難過,考過算運氣,沒過是應該,先考個經驗吧!
考完的報告列出了我有及格和沒及格的Domain,我覺得它真實的反應我準備不足的地方。Domain4通訊網路安全最強,沒什麼準備,成績最高,本來那就是本行。Domain1 風險管理,Domain8 軟體開發安全,都沒及格最差。考後我馬上告訴Joseph老師,老師還安慰我,說只差一點。
我覺的全智網雖然規模不是國內最大,但是它最大的好處是,老師和學生很close,會幫學生分析問題所在。KK老師也主動問我還幫我分析弱點所在。我整理之後,沒時間療傷,馬上報名 Royce 老師的 Security+, 以及 Joseph 老師的 ISO27701。這兩門課對我接下來的 CISSP 準備很有幫助。
CompTIA Security+ 會把所有有關系統,網路,應用的弱點及威脅,做詳細的分析還有Lab實做,印象會比較深刻。而且它貫穿好幾個CISSP Domain,讓我準備這類弱點威脅題目時,不用思考太久,得心應手。ISO27701涵蓋ISO27001及隱私權,我覺得這個對我整個資安面的建立有很大的啟發,尤其是在Domain 資產管理,身份驗證管理,運作安全,這些都和ISO27001有緊密關連的。我也在網路上找了國外的一些影片學習,多做一些題目,突然間不知什麼時候將許多的觀念串在一起,好像打通了任督二脈,豁然開朗。在第二次考試時,也順利考過了。很多題目比較容易就抓到它想問的重點了。
最後,我想說的是 CISSP 不會問你LDAP port 是不是 389,它會問你LDAP的最大弱點是什麼?所以這跟我們以前準備考試方法不同,用硬記的方法準備會很辛苦。有人說準備CISSP是二吋深,一里寬;那只是個比喻,寬度是絕對寬,要多花時間;但千萬不要小看二吋深,如果觀念不清楚,連半吋都不易到達。所以建議要準備的同學,真的要花時間把觀念弄清楚。