資訊安全

眾多顧客已親身體驗恆逸的好,並成功提升專業競爭力,你也可以!

來看看他們是如何學習、如何努力考取認證的經驗分享多汲取他人的寶貴經驗,將讓您的未來進修之路走得更有效率!快來看看恆逸應援團怎麼說!

黃志雄

  • 文章分類:資訊安全
  • 參訓課程:CISSP資安系統專家認證課程
  • 取得證照:CISSP

CISSP資安系統專家認證考試心得:考題靈活,建議有實務經驗並且融會貫通!

 

《背景》
我是資工系出身,研究所主修資訊安全,所以基本上密碼學相關Domain還算熟。畢業後從事軟體開發、機房維運,也寫過RFID讀寫、CA架設、產生憑證到Smartcard、Smartcard身分驗證、數位簽章(for公文)。
 

2013年曾上過CISSP,但沒有通過考試,當時還是250題紙本畫卡六小時,中午要出來啃麵包,後來自己覺得英文實在是太差了,很多題目都看不懂,250題根本寫不完,後面都亂猜!因為覺得CISSP真的太難考了,不想再痛苦一次,所以當時放棄不再重考。

但後來憑著CISSP的課程經驗,去考CompTIA Security+及SSCP資安專業人員認證課程,可以非常順利入手,所以我也建議大家可以在考CISSP之前先去試試這兩張認證。


後來因為單位陸續導入27001、10012,拿到這兩張LA後,除了整合自家驗證之外,也參與稽核其他單位。也因為有這些稽核經驗,才慢慢開始能體會CISSP裡面一些Domain在講什麼,所以實務經驗對CISSP非常重要,沒有親自在職場打滾過,單純上課或讀書,不容易體會課本在講什麼。之後又有CEH/ECSA的經驗,才了解VA/PT整個流程,對CISSP部分Domain也是很有幫助的!

 

《上課》
事隔七年,決定再試一次CISSP!
這次參加恆逸五天CISSP班,講師是唐任威Vincent Tang老師,唐老師是技術出身,後來轉為顧問並擔任講師,一定付出不少心力和美金,取得許多國際證照,真的不容易,我很佩服!
課程剛開始我其實不能適應老師的教法,因為上課帶到課本內容很少,老師花很多時間講整個IT和Security界,原本是抱著把課本完整滾一次的心態出席,因此剛開始有點不太適應。後來老師漸漸將課本內容全部帶進上課中,而且很會舉例,將我先前一知半解的名詞詮釋都解釋清楚了,像是Due Care, Due Diligent, MAC, DAC…等等。
考完試以後,才完全了解老師的用心,因為考試內容已經超出課本內容太多了!亦即就算你把課本精讀了,沒有在業界打滾多年的經驗,會非常吃虧的!因此老師除了解釋課本中的內容之外,多講解了許多衍生出來的知識,非常寶貴。


老師提供一個非常重要的一個Key Point: “Why”,這是一門在學習Why的課程,不像其他課程都是教How。在學習CISSP過程中,要不斷問自己Why,為什麼系統變更程序中一定要有Rollback & Recovery?為什麼要做某件事?其用意為何?這件事屬於CIA何者?
「Why」對於考試非常重要!因為考題很活,在準備考試時沒有將其含意融會貫通,很難面對刁鑽的考題!說「Why」是藥引,一點也不為過!


參加課程時,建議坐第一排,視野最佳且容易受講師特別關照,也容易即時發問,最重要的是坐第一排是自己對這門課下定決心的覺悟!課程中筆記不能少,筆記是用來輔助難懂的課文,例如Covert channel有Time/Storage,在旁邊畫上示意圖,之後準備時,一看就知道這段在講什麼,可以省去不少時間,況且五天課程講了非常大量知識,沒有記下來很容易忘記。

 

《準備》
上完課後荒廢了一個月,終於收到考試卷,趁著記憶猶新,狠下心報名了三個月後的考試,這是個非常重要的決定,唯有把錢砸下去時,才會認真去準備!
在這三個月裡,安排平日下班閱讀1至2小時,假日4小時,閱讀順序為:
1. 原廠課本地毯式精讀一次,看到不懂的單字一定要查
2. 考古題數份約三、四千題,讀到不懂的就立刻翻書+上網查
3. 原廠課本再重點式讀一次,補足看考古題不懂的地方
4. 投影片本精讀一次,遇不懂的就上網查、翻課本
 

考古題是在網路蒐集到的,其中更有對岸標榜「全真回憶」!對於考古題的心得:答案不一定是對的,自己必須要有判斷正確的能力,正如大家所說的,考古題對CISSP而言沒有命中率的問題,但它的價值是讓你多看、多練習。

 

《考試》
考試剛好遇到肺炎疫情,原廠也發信通知可在24小時前免費延期,但已經用了三個月精讀,實在太痛苦了!決定應考,一了百了!
這天安排了台北場11:15,我大概10:30就到了,建議提早到,讓自己從容一點(早到可早考)。在完成報到後,先在外場悠閒的吃早餐,調適心情再上場,大概是10:50開考。
考前TA(Test Administrator)會要求看證件、掃掌紋、拍照,進場前(記得去廁所排空!)要把手錶皮包等物品鎖到櫃子裡,口袋須淨空(拉出來給TA檢查),衣袖及褲管拉高,眼鏡取下檢查(非常仔細),接著TA帶你進考場,一個U形座位的電腦考場。閱讀完螢幕上的考試需知後,按下「Next」就開考了,計時180分鐘。


考試題目有簡單也有很難的,絕大多數都是:Which of the following is the BEST…,所有選項都對,但你要有能力挑出最優者。其中有好幾題真的非常難挑,篩到剩2個選項還是難分高下!有一題拖拉題,其實不難,就是需要花較多時間把左右邊看懂,花了不少時間。
由於要在180分鐘內解完100至150題,我自己規畫一題不能超過1.5分鐘,所以每解幾題,就瞄一下右上角的剩餘時間,也一再提醒自己不能慌,把題目、選項讀懂最重要,答過的題目不可回顧重答,因此必須謹慎、膽大但心要細。
 

答完第100 題時,這時大約剩90分鐘,心裡也做好被加題的準備了,結果竟然直接結束了!TA立刻過來請我出場,心裡很緊張,老實說剛剛的答題非常沒把握,其實已做好Fail的心理準備了!因為真的考太廣了,題目及選項的英文艱深,涵意又必須想了又想才能作答。
到外場後,外場TA隨即給我一張考試結果,寫著「Congratulations!」總算是對得起報名費、考試費、車票錢了!

 

《總結》
CISSP是一門難考、更難準備的科目,最好有豐富的實務經驗才容易考上,如果有預算,我強力推薦大家報名恆逸的CISSP資安系統專家認證課程,能加分不少,不管最後是否考上,對自己的知識增長都是有益處的。


考後查了一下目前各國CISSP人數(https://www.isc2.org/About/Member-Counts),台灣為326人,相較鄰國如香港(1,827)、新加坡(2,191)、日本(2,566)還是有一大段差距,這數據一則以喜,一則以憂,喜的是,CISSP在台灣人數少,物以稀為貴;但同時也衍生出「憂」,是否代表台灣相較之下,更不重視資安?誠如Vincent老師的開場:「資安是有錢人在玩的!」希望藉著近年來政府推行的各項法案,能讓台灣資訊安全更加落實,資安人員也更有價值!
預祝正準備參加CISSP 考試的你,也能如願「Congratulations!」

 

 

 

看看其他人怎麼說

看更多