[閒聊] CISSP考試實戰心得:規律與紀律讀書策略

看板NetSecurity (資安 資訊安全)作者時間2年前 (2022/07/03 21:39), 編輯推噓1(100)
留言1則, 1人參與, 2年前最新討論串1/2 (看更多)
完整圖文版 https://bit.ly/3yE6eNA ******* CISSP考試需要一個中長期的準備,短則一個月,中期三個月到最長六個月。長時間的準 備看似充裕,但是遺憾的是長時間閱讀外加苦讀並不能保證考上證照的機率。因為這個考 試沒有考古題也不會按照題庫考,需要的是理解。過去死背的方法效果有限,用腦容量硬 拼會在長期準備中消耗殆盡。讀者需要的是有策略的讀書方式與安全的教材選用。 請先拿出決心與紀律 台灣的資訊工作者,絕大多數都有聯考的經驗,不管是高中或者大學聯考,甚至研究所統 一考試。對於考試應該不陌生,也有自己的一套讀書方式。但是進入職場之後,要拿起書 本變得非常困難。尤其沒有家長逼跟升學壓力,外加手機電腦電視等誘惑太多,要堅定的 準備專業證照考試比想像還不容易。 報名考試後,不妨下定決心在考前斷絕所有的串流訂閱、手機電腦遊戲。工作之外,每天 強迫自己至少準備二小時以上,週末假日四小時甚至六小時的CISSP閱讀時間。如果達不 到這個要求,那就花個十幾分鐘做題庫內試題。每天都要花時間準備的原因是培養心理狀 態,隨時都有CISSP的氣氛瀰漫。或者這是一種體感,在考試前變成一種習慣。如果有一 點鬆懈,很容易變成兩天捕魚三天曬網。 各家教材與網上題庫充斥 忌急病亂投醫 在筆者準備的過程中,看到不少網路上號稱是擬真題庫。對於多數人從小到大準備考試的 經驗就是多做題目,自然會在考試中得到相對回饋。但是這個作法只對了一半,因為 CISSP考試沒有考古題。過去考過的題目也不會出現,考試前也有保密協議,任何考生都 不能洩漏考題內容。所以那些號稱是「擬真」的題庫就是騙人的而已,千萬不要花大錢買 。 坊間也有相關準備考試的書籍,但是筆者只推薦官方學習指南(Official Study Guide, OSG)還有官方練習題(Official Practice Test)。這兩份非常厚且上千頁的教材,至少要 讀過一次。雖然內容非常生硬,但是考試的題目都從裡面出來。務必使用最新版,其他輔 助教材的閱讀有時間再說。筆者自己的閱讀過程中,發現非官方教材有不少與官方學習手 冊有出入的地方。毫無疑問的,當然以官方學習手冊為準。都講是官方出版的,你不相信 他要相信誰? 題庫的部份,筆者從網上還有同事去補習班拿到的題庫都有,只能說不敢恭維。有很多都 是很舊的題庫,CISSP認證在1994年推出之後,期間有不少次重大更動,尤其是題綱的部 份。如果你拿到題庫,做了確定有唸的最新版章節相關題目,然後題目出現的關鍵字好像 都不熟悉,做完對答案錯誤率又很高的話,請立刻收手。有非常大的概率是舊版的題庫, 把那些看不懂的關鍵字拿去最新版的教材找,找不到就是題庫不對或者過時。 請使用電子書為主,外加官方線上題庫 有不少人喜歡閱讀實體書,但是在準備CISSP時請改掉這個習慣。首先是實體書重量跟厚 度都是挑戰,直接拿起來翻並不舒服。實體書不方便追蹤學習進度,因為內容實在太多, 電子書通常可以顯示閱讀進度。最重要的是前面提到的找關鍵字,電子書使用全文搜尋的 功能非常方便,不需要翻去索引的頁面找關鍵字。 閱讀電子書會讓人不舒服的原因是要長時間面對螢幕,筆者反倒認為這是一個很好的適應 機會。因為考試採電腦上機考,長達三小時到最多六小時的作答時間會讓人很不舒服。何 不從長時間的電腦螢幕閱讀開始趁早適應?強迫自己每次閱讀至少兩小時以上,也是培養 專注力的方式之一。 題庫的部份,兩本官方教材的發行商Wiley都有提供線上題庫的功能。只要從購買的書中 線上驗證不特定頁面的單字,就能免費使用線上題庫一年。作答時最後直接幫你對答案, 外加顯示詳解,絕對比翻書本做題目翻後面解答有效率。 考試的語言選擇與教材 CISSP考試有提供多種語言,但是中文只有簡體中文。最新官方教材只有英文版,簡體中 文版還沒有最新版。筆者自己的經驗是英文版準備起來比較輕鬆,考試時間相對中文的六 小時,英文只有三小時。實際閱讀中文版教材,簡體中文的用語要對應到正體中文,常常 需要額外的查詢對照,還不如看英文版的教材快。 筆者原本的策略是先讀過一次簡體中文版,然後再看英文版。這個想法實踐到一半之後我 就放棄了,因為非常沒有效率。沒有想到母語是中文的人,讀專業的簡體書竟然如此吃力 。絕對部份的原因是專業書籍需要的是大量的精讀,不若閒書或者網路文章看了就算。全 部的內容讀到一半,然後轉去看英文版,實際上並沒有吸收的比較快。與其這樣,何不一 開始專注在英文版教材?以上是筆者浪費接近一週時間換來的心得,請讀者謹慎評估教材 語言。 另一個理由同上,實際考試的語言選英文,趁早適應大量的英文閱讀絕對有必要,尤其是 英語非母語的考生。 補習班、速成班、網路課程 筆者因為公司提供學習資源讓筆者準備考試,有部門教育訓練的預算。所以有參加坊間補 習課程,同時參考國外相關論壇付費購買了一些網路平台提供的課程。在陪小孩睡覺休息 的時間,也抓緊機會看了YouTube上面的免費課程。整體感想是「免錢的不見得比較差, 成本最高的短期補習班也並非最好」。 如果讀者的公司有資源讓員工去上課,筆者建議可以讓受訓成員分多家補習班報名,藉此 取得不同的教材。我自己就是採取這樣的策略,進一步比較各家教材的差異與從中找到重 點,評估各章節投入的時間。多數的補習班都是採用投影片的作法,利用五天左右的時間 帶過八大領域的重點。幾千張的投影片一天只有八小時,最後常常演變成趕課的狀況。筆 者建議是在上課之前的兩週,至少把官方學習手冊快速讀過一遍。不懂的地方在開課之後 認真聽,把握機會詢問講師尋求解答。若沒有做到事前預習,有很大的機會就是跟著講師 盲目趕課。補習班在課程最後階段通常有一小時以上的模擬考,要準時講完所有內容其實 很難。 我還想強調非常重要的一件事,不管透過任何的學習管道,講師授課再出神入化,非常厚 的官方學習手冊依然要完整讀過。原因是任何的學習管道,講授的內容都是非常大方向的 內容,但是細節的部份不會講,因為每個細節講了可能需要一個月。CISSP考生只能靠自 己讀過細節,除了自己沒人幫得了忙。筆者上過實體課程與數個網路教學,從沒有完整涵 蓋教材細節。偏偏這就是考試可能會考出來的地方,也是CISSP困難的原因之一:「需要 知道的冷知識太多」。 讀書順序安排經驗分享 雖然CISSP考試有明確說明各領域佔的出題比例,但是這其實沒有太大意義。各領域中重 疊的內容太多,加上平均之後每個領域都在10%多一點,依照考題比例調整閱讀時間來提 高得分沒有意義。講得更直接一點;「該會的你都要會!」題目來就是力求作答正確,不 管是那一個領域的出題範圍。基於這個原則,讀者自己必須清楚八大領域中那一個項目是 自己的弱點,要花相對比較多的時間準備。 在知道自己不熟的領域後,請直接從不熟的領域開始讀,千萬不要把它放到最後讀。因為 人常常覺得離考試還有很多時間(就算一開始排定三個月後),但是等一週又一週過去, 最後都會感覺時間不夠。於是非常不幸的,不熟的章節花的時間太少或者根本沒有讀。有 些人還有最要命的想法:「反正不會的可能不會考出來」。當你心存僥倖的時候,偏偏這 些題目就真的會考出來。 根據多數CISSP會員的經驗,至少要讀過官方教材全冊兩遍以上,才有考試通過的可能。 然後讀兩遍的人,還是IT行業工作經驗至少有十年以上的人。可見如何掌握時間,盡可能 讀到每一個記憶點是能否通過的關鍵。十年經驗,很多記憶點也許都會有實戰經驗,對這 些人也許不存在記憶的問題,兩遍可能就夠了。 筆者也分享一下自己的經驗:「以為自己對自己工作領域的知識足夠,實際上根本不夠了 解」這種身處於相關領域,很可能會高估自己的知識導致輕忽。我是在做了自以為懂的領 域相關題目,才驚覺很多地方需要補強。好在考試前檢測到自己的問題,適時做到補救的 工作。 難度太高的教材與題庫僅供參考 看過不少近年出版的CISSP準備書籍,有很多都難度偏高,或者說過份刁鑽。即使讀過多 次官方教材與考出不錯的模擬試題成績,試做這些高難度的教材與題庫都會讓你懷疑人生 。超高的錯誤率會讓你覺得準備不足,不斷喪失考過的信心。遇到這個狀況,筆者只能說 立刻停止,這類書籍有不少是從冷知識的角度切入,想要測試讀者的觀念。用接近腦筋急 轉彎的作法測試,常常是偏離主題模糊焦點。不妨用另類角度切入,這些題目就是換一個 方式考觀念,讓你知道還可以加強的地方。 CISSP沒有考古題,也沒有正式考試題目流出,沒有人知道實際考題的完整樣子。不要為 了這些參考書籍心灰意冷,打擊自己的士氣。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 202.83.99.211 (新加坡) ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1656855563.A.9D3.html

07/03 23:50, 2年前 , 1F
未看先推 :D
07/03 23:50, 1F
文章代碼(AID): #1YmPmBdJ (NetSecurity)
文章代碼(AID): #1YmPmBdJ (NetSecurity)