记2012.12.20北京CISSP考试通过-“末日”前终于拿到“船票”

2012年12月20日17时，经过漫长的煎熬，终于完成了CISSP考试，顺利通过，考试过程异常艰苦，以至于从考场出来几天了，才渐渐缓过了神。坦率的讲，尽管通过考试是预料之中的事情，因为我真心认为只有顺利通过才可以对得起我所付出的努力，但真正拿到成绩后并没有预想的那么兴奋，我并不喜欢把今天写的这些文字称之为“战报”，那是不合适的，因为我感觉在CISSP考试强大的气场面前，我其实早已经不战而败了，只是结果令人欣慰而已。因此，仅以此文介绍个人的学习历程，对CISSP认证的认识，希望对还在路上的朋友们起到一些抛砖引玉的作用吧。

　　本人在一家网络安全产品的代理商从事技术支持工作，自2006年进入安全行业，近7年的时间里一直在做着一两种产品的售前和售后技术支持，网络安全所涉及到的知识无外乎防火墙、UTM、IPS、VPN这些，随着经验的逐渐积累，这些东西早已驾轻就熟、信手拈来了。但越是这样，就越能看清自己的差距，从两三年前开始，就越发觉得自己知识面很窄，只知道防攻击、防入侵、VPN加密通道之类的东西，在做售前工作时，跟很多高水平、高级别或是重视信息安全建设的客户交流，总感觉离开了我所熟知的这些技术名词就再也没什么好讲的了，由于工作的原因跟很多IBM的顾问合作过，总看到他们的名片上赫然印着CISSP、ISO27000之类的东西，每次跟他们交流都会学到很多的“新名词”和“新思想”，让自己感觉受益匪浅，渐渐地我也将这些作为了我的目标，我想通过学习来充实我的知识结构，让自己变得更加自信，这是我最初决心学习CISSP的原因。
　　
　　不得不说我是一个惰性很强的人，和很多考试狂人相比，我的CISSP之路是漫长的，大概在2010年的时候就买了AIO中文版决心开始学习，那时候的AIO才出到第二版，粗略的读过一遍，感觉难度颇大，我是搞网络安全的，又一直从事技术工作，大概看过这十个知识域后，发现先前曾有过接触的知识域可能只占到两三个，有很多章节看过一遍之后，甚至不知道是干什么的，起初在网上找各种资料，希望能够找到学习的捷径，尽可能快的了解书中的真谛，但大多数是无功而返，就这样在学习的道路上彷徨着、纠结着，而时间却飞快的流逝。

　　偶然的机会，在淘宝上买到了前几年CISSP培训的录音，听了几节后感觉这种形式比啃书本要快乐一些，效果也要好一些，于是在上、下班、出差的路上，坚持将录音听了两遍，算是在脑海中建立起了初步的框架，通过这个过程，让我感觉到由于我工作中接触的面窄，听老师讲要比自己看完书去联想要好得多，于是2011年5月，报名参加了GA公司的培训（思前想后，还是打出了培训机构的名字，请大家相信，我绝对没有做广告的意思，只是出于对知识、对老师的尊重，毕竟我从人家那里学到了知识和更可贵的经验），由于工作很忙，根本请不来假，我只能缝周末有课的时候去听听，就这样持续了四五个月，终于完整的听完了所有知识域的培训，在这四五个月当中，把培训机构发的AIO中文第四版按章节撕成了小册子，重新装订，放在公事包里，每天早上在上班的路途中，都可以拿出来翻看，以前我对这种学习方式很是嗤之以鼻，总觉得这有做样子、假积极之嫌，但自从自己试了之后，发现其实早上是头脑最清醒的时候，上班路上四十分钟的学习效率，要远远超过晚上下班后混沌的状态，另外一大早就开始与书相伴，其实也是在给自己一个强大的心理暗示，时刻提醒自己，革命尚未成功，个人觉得这对帮助自己克服惰性起到了很重要作用。由于平时的时间都很零散，周末有空又未必见得有心情和时间去学习，所以这一遍AIO也读了好几个月时间，基本上一两周才能向下进行一章，每读完一章，我会把AIO后面的20-30道题做一下，由于看的是中文书，做的是英文题，当时的正确率平均在60%左右，很受打击。
　　
　　看到很多考过CISSP的人都建议一定要读英文书，有两个原因，一是规避翻译不准确带来的影响，便于正确理解，二是适应考试时候的题目，毕竟考试是英文的，本人英文不好但也绝对不算差，信誓旦旦的下载了AIO英文第五版准备通读，但读了几章，发现尽管已经看过中文版，但读英文版的时候仍然是云里雾里，很难想象，连读中文都还有很多不理解的地方，去读英文怎么可能理解的更加准确和透彻呢？所以果断放弃了英文版，但这并不意味着放弃英文考试，仔细分析，长时间的做国外厂商的产品，其实是经常阅读英文资料的，对于句法、语义应该不至于那么差，难点应该在词汇上，由于先前对很多知识域的了解是空白的，自然这些域的英文词汇也压根不认识，为了弥补这方面的不足，我开始通过做大量的习题来解决，每个章节可以找到几百道习题，不管出的是不是所谓的“有水平”，甚至是重复的，我都认真的去做，尽力的去理解答案，这样既可以检验知识点的掌握情况，又可以提升英文能力，习题集中一个知识点总是翻来覆去的考，所以关键的单词也会在习题中反复出现，正好能够促进记忆，这也恰恰是背单词最提倡的方式。推荐大家用“有道词典”，把做题过程中的生词加到单词本中，通过云可以直接同步到手机客户端上，在地铁里不方便看书的时候，可以随时拿出手机去背单词，以前上学时背单词，总是要反复记忆单词的读音和拼写，会消耗很多时间，为了提高效率，尽早考试，我放弃了读音和拼写的记忆，仅着重记忆词义，这样背单词的过程其实轻松了很多，换言之，时常翻看单词本，不求熟识，只求混个“眼熟”，见面的时候知道是什么来头就行，整个学习过程中，我的单词本积累了近800个单词，通过反复的记忆，在考试前基本上全部掌握了。这个过程下来，我既掌握了基本的词汇，又做了近2000道习题，可谓一箭双雕啊！

　　转眼间就这样到了2012年的春节，由于春节期间以及年初遇到了一些烦心事，没有心情再去学习，3月份搞定所有事情后，决心半年后报名参加9月份的纸考（当时还没有发布机考改革的消息），给自己的2012有个交代。然而，学习这东西不怕慢就怕站，一两个月后重新拾起书本，才发觉封皮上面已经落了很厚的灰尘，试着做了几道习题，完全不在状态，先前记忆的知识点已经忘得差不多了，抓耳挠腮、气急败坏之后，为了避免再一次蛋打鸡飞、一事无成的悲催结局，决心振作精神，重新起航，这次仍然从AIO第四版开始，每天在上班的路上、外出的途中，重新开始看以前装订的AIO小册子，经过前面参加的培训、两遍的阅读以及近2000多道习题的洗礼，这次看书难度降低了不少，对很多知识点理解更加深入了，吸取前面知识点容易忘记的教训，为了加强自己的记忆，避免学过的东西再次忘记，我基本上白天看书，晚上用MindManager给每一章的知识点做思维导图，与其他人提纲性质的思维导图不同，我的思维导图内容颇为充实，所有的知识点、名词，全部用中文做解释，说明性的内容则以附注的形式标出，对于比较生疏的名词，参考AIO英文第五版的内容，将对应的英文标注其上。尽管新的一年工作依旧很忙，心情仍然时常郁闷，但这次我没有再被自己打败，不管在不在状态，都始终坚持着，进度缓慢的另一层意思，是每一步走的都比较扎实，就这样又经过了四五个月的时间，完成了除电信及网络安全外所有知识域的第三遍学习。

　　时间已经到了7、8月份，在这期间传来了CISSP机考改革的消息，并不断有CISSP即将推行中文考试的传闻报出，有那么一段时间，心里如热锅上的蚂蚁，每每想到这里都会担心这张证书的光芒随着考试难度的下降而不再那么璀璨，而此时我却还没有对通过考试建立起足够的自信心。再次彷徨之后，想明白了一个道理，外界的事情我无法左右，唯有做好自己该做的功课才是唯一正确的选择，于是找来另外2000道习题开始钻研，由于CISSP考试的习题数量有限，这次的2000多道题，有相当一部分先前曾经做过，以每天50-100题的速度推进，转眼间已经错过了9月份最后一次纸考的报名时间，十一假期前看完了这2000道习题，建立起了一些信心但总还感觉缺了点什么。由于早就计划国庆长假要回家陪家人，又没有勇气做第一批机考的小白鼠，索性决定十一过后做最后的冲刺，在本年度内完成考试这项大工程。

　　前面几个月，每天都会在国盟的网站上做“每日一题”，很多题先前都做过，所以正确率自然很高，机考改革后，考试时间可以随时预约，因此也会有一些零散的参加完考试的人发来战报，通过的、没通过的、或是第二次考试才通过的，每一篇我都会认真的研究，当中有人提到AIO的知识点还不足以覆盖整个考试，这一点我先前在做习题的时候也有所体会，很多知识点在AIO上找不到详细的说明和解释，例如AIO上介绍了Policy大概分为Regulatory Policy、Advisory Policy、Informative Policy，却对Organization Policy、Issue-Specific Policy、System-Specific Policy一笔带过，又如在职责分离里有介绍到Dual-Control，却没有介绍Two-Man Control，而我所提到的这些知识点，都在做过的近4000道习题中反复的以各种形式考察过。于是十一假期前，将ISC2_Official_Guide_To_The_CISSP_CBK_Second_Edition-2010（此书为2010年出版，一直没有再版，据说马上要出第三版）和Eleventh Hour CISSP Study Guide两书分册打印，利用假期时间翻看了几章Offical Guide的内容，发现此时阅读英文并理解其意思，已经不是什么太大的问题，但仍不大能起到加深理解的作用，且进度仍然很慢，按照这样下去，年内完成考试的计划又将落空，于是果断放弃了通读Offical Guide的计划，将内容精炼很多的11Hour通读了一遍，倒是这本书真切的起到了汇总知识点、加深理解的作用，很多AIO上让人感觉逻辑模糊的地方，都在这本书中得到了进一步的澄清，于是在这个过程中进一步修改了我的思维导图。

　　11月初，在Pearsonvue的系统中预约了50天后的考试，这50天时间，我重新将复习的重点转移到了AIO上，做了AIO光盘“Total Tester”软件附带的1000多道习题，这1000多道题，是大家一致公认最为贴近考试题型的习题，有很多并不是直接考查知识点，而是描述一个特定的场景，考察你是否能够结合知识点的掌握做出正确的判断，上面的所有考题知识点均在AIO中能够找到正确答案，我将所有试题做了一遍，效果仍然不理想，正确率平均在70%左右，因为这1000道习题的难度不算高，按照软件的要求要达到80%的正确率才算合格的，而我只有“密码学”达到了85%，更令我难以想象并且痛心的是，与平常工作关联最为紧密的“电信及网络安全”，我竟然只拿到了59%，回想整个学习、复习过程，一直认为这个域的知识点自己最为熟悉，基本上没在它上面花费太多的精力，于是马上找出AIO，重新通读了一遍，又认真的做了思维导图，这才发现，原来这个域的知识点是全书中最多的。
　　
　　CISSP考试是一个6小时的漫长过程，先前纸考的时候曾经有很多人都没来得及涂完答题卡，而进度缓慢、效率不高正是我最大的障碍，这个弱点在学习和复习的过程中已经充分的凸显，我非常担心自己的在长时间的考试过程中思想无法持续集中，于是将Offical Guide 和AIO每章节的课后习题分别贴了下来，做成了两个题集，每个题集都大约有300道题，利用两个周末的时间在家进行了两次模拟考试练习，想找找考试的感觉，由于课后题难度较低，先前又都做过，每次都是在五个小时内完成的，尽管如此，我还是觉得强度很大，每个题集的最后几十道题，正确率都比较低，印证了这一点。随后，我又将AIO光盘中的附带习题重新快速的做了一遍，基本上每章的正确率可以达到90%了，将错题截屏保存了下来，通过这几次练习，使我基本适应了短时间、大题量的强度。

　　临考前最后十天，工作异常繁忙，频繁外出、出差，在凛冽的寒风中终于感冒了，想到为了这个目标我已经持续的付出了很多，想赢怕输的心态让我心理压力剧增，加上身体状态低迷，曾经一度动过缓考的念头，但又非常不甘心就此改变计划，所以告诉自己不管状态多不好，还是一刻不要停歇，暂时仍按原考试时间去计划最后的复习，至于要不要缓考，按照ISC2的要求，我只需要在考试时间的48甚至24小时前作出决定即可。尽管已经学了那么长时间，但最后的冲刺仍然是在争分夺秒中度过的，将AIO英文第五版每章节后的Quick Tips打印成册，结合思维导图，把每个知识域又认真的过了一遍，利用零散的时间拿手机把积累下来的近800个单词又复习了一遍，发现绝大部分单词都能一眼认出来了，当中经过各种减压活动，状态由低迷转为亢奋，心情开始好转，信心开始恢复，仿佛生活中的一切都充满着欢歌笑语，甚至已经情不自禁在家里为自己准备了欢庆的啤酒，我心中知道就要看到胜利的曙光了，毅然决定原计划不变。最后的三天，重新复习了一下先前截屏的AIO光盘错题，结合我的思维导图强化记忆了各知识点。

　　决战前夜，当看完最后一张思维导图，已是子夜时分，一切尘埃终于落定，合上电脑的那一刻，我突然在想，如果明天通过了考试，近一阶段的学习生活就要告一段落了，可好像已经形成了习惯，突然间改变会不会觉得空虚？如果明天没通过考试，后面的日子会更加灰暗吗？回想起整个学习的过程，从听录音，到去参加培训，到自己一遍遍的看书、做题，难道一句“Congratulations!”，一张认证就如此的重要？难道在这个艰苦卓绝的过程中，我就没有收获一点点成长和满足？答案当然是否定的，正如很多前辈所说的那样，对于CISSP来讲，通过学习所建立起来的知识框架，并运用于实际的工作，其意义要远远重于考试的结果，文章开头曾说过，我决心学习CISSP的初衷，就是为了充实自己的知识结构，提升自己的专业素质，让自己变得更加自信，从这个角度上来讲，经过这样一个过程，我好像已经达成了目标，而对于立志成为一个专业领域里出类拔萃从业者的人来讲，又怎么可能因为得到了一张认证而停止继续吸收知识的脚步？或因为暂时没有得到这张认证而放弃自己的专业、志向和理想呢？

　　20日一早，在家用过早餐，带上两瓶红牛和士力架若干，背上那本借来的“牛津高阶”，向作战前线开进，早高峰时段的这座城市，尽管处处充斥着马达的轰鸣和躁动的人群，但大战在即一切却显得静如止水，提前四十分钟到达考场，出示护照（考场要求必须有一本既有照片又有签名的证件）、身份证、信用卡（同样要求是有签名的），扫描掌纹，寄存物品，“搜身”，阅读考场须知，再次扫描掌纹，被工作人员一句无比职业的“好运！”祝福后，比预约时间提前十几分钟进入考场，战斗正式打响了。考试被安排在了一个公共的考场中，紧贴墙壁的四周坐满了参加其它考试的亲们，被各自的小格子无情的分隔开，他们有的正在滑动鼠标，有的正没命的在键盘上弹指如飞，CISSP考试允许携带并使用纸质字典，考场配发了耳塞和几张可反复擦写的草稿纸，机考界面设计的非常友好，提供了记事本、标记、计算器等实用小工具。

　　为了这360分钟，准备不可谓不充分，但随着试题神秘面纱层层揭开，还是给了我一个不折不扣的下马威，这种阴霾一直等拿到成绩单还没有完全散去，题型显得那么的陌生，甚至搞不清也没时间去想它在考察哪个知识域的内容，而A、B、C、D们却全都热情似火，好像个个都在张开双臂向我高呼：“选我得永胜！”，以至于做了不到20道题，我就感觉形势有些凶险，此役怕是要栽了，这正是文章开头“不战而败”之说的原因。余光突然扫过屏幕右上角的时钟，它仿佛正在用滴答声提醒我，后面还有200多道题，振作精神、集中思想、逐个攻破才是取胜之匙，考试之前曾经计算过，360分钟÷250道题=1.44分钟/题，考虑到有些题就像英语考试中的阅读理解一样，仅题目就要读上好几分钟，所以一般长度的题，无论难度大小，应该在90秒内做出选择，考前还曾计划中间出来喝口红牛换换心情，可每道题都不想轻易放弃，都想做到尽善尽美，于是就偏偏不信邪，遇到拿不准的单词，忍不住就要去查字典，以至于当我做了50道题后发现，时间已经过去近90分钟了，这才不得不强迫自己把字典压在胳膊下面不再翻开，和时间展开了较量，可差距还并没有减小，当我做到第100题的时候，时间整整过去了一半，我意识到时间不够用了，想起了学生时代屡次题没答完就要交卷子的经历，反倒让我冷静下来，我告诉自己，多“白”的卷子哥没交过？一定要沉着，要专注，尽管时间压力很大，但绝不能为了速度放弃质量，全都是选择题，只需要点一下就可以，就算到最后做不完，也绝对能在最后的1分钟之内把剩下的全部蒙完。

　　不知是我适应了试题的风格，还是考试系统玩累了，从100题往后，感觉做起来顺手一些，开始出现一些相对比较直接的题，不过由于受到时间的强大威胁，并且已经坚持了三个多小时，当中还不断的有人进出考场，加上其它人敲击键盘的声音有些干扰，我的思想开始不能坚持集中，甚至开始有点坐不住了，在椅子上频繁的变换姿势，记得有一次伸懒腰手抬得太高，工作人员还跑进来问我是否在示意他们有什么事情，题中的一句话往往要读上两边才能取指令运算，时常需要彻底停下来，重启一下自己才能继续，就这样从剩下90分钟、60分钟、20分钟……，到了最后的10分钟，加上前面标记的两道没做的“阅读理解”，还有约15题没有做，真的有点动作大片里最后时刻要力挽狂澜的意思，一下子激发起了最后的一点点潜能，最后十道题，完成的质量都很高，而且基本上半分钟搞定一道，剩下两分钟时，前面标记的两道难题已经来不及再去看题细想了，直接看答案，还记得第一道我选择了看起来最正确的“C”，剩下的一道连答案都没时间看了，在最后20秒内直接选了一直以来我最迷信的“A”。

　　就这样，我度过了迄今为止过的最快的6个小时，提交完试卷，感觉有些瘫软，大脑空白，在桌子上静静的趴了两三分钟，根本不愿意去想考试的结果，走出考场时，有点失去了灵魂的感觉，脑子仍是空白，工作人员面无表情的把打印好的成绩单递到我手上，此时已经很难专注地去看上面的内容，只是从文字排列的形状上，没有发现代表各个知识域正确率的柱状图，以为在背面，可翻过来一看，背面是空白的，这才意识到，我可能通过了，再仔细一看，发现第一句话竟然是“Congratulations”开头的，反复确定后，我告诉自己确实是通过了，考试前曾多次想到过拿到结果那一刻时的景象，可万万没想到，最终竟会是这样木讷的接受胜利，完全没有一点兴奋的感觉。晚上回到家，还一直在想，这一仗打得如此狼狈，可最后竟然得到了好的结果，一点都不符合常理，为什么呢？好像是“被通过”了一样，这可能也是我兴奋不起来的原因吧。快睡着的时候，想到前人曾经说过，CISSP考试有两大特点，一是自我感觉良好的，到最后很多结果都不怎么好，而考试过程感觉不好、心里没底的，反倒真的有很大可能通过，第二个特点，是考完后，完全记不起来考过什么题，亲身经历这个过程后，我开始真的相信这两点了。无论如何，我通过了，可以踏踏实实的睡觉、放松的享受生活了。

　　最后，结合自己的学习过程中做得好与不好的之处，总结几点：
　　1. 下定决心，争取速战速决，战线拉得太长，会把人搞得疲惫，不但影响学习效率还会降低生活质量；
　　2. 别人的经验可以参考，但不要照搬，个人的知识结构、学习能力有别，找到适合自己的学习方法，别人说难也好，坏也罢，只有自己经历过才会有深刻的认识；
　　3. 为自己制定系统、科学、周密的学习和考试计划，坚持按照计划执行；
　　4. 如果你没打算等中文考试出来再去报名，趁早积累词汇量，提高英文阅读能力；
　　5. 我为了备考做了四五千道题，很好的检测了知识点，也锻炼了英文能力，但负责任的告诫各位，千万不要寄希望于考试碰到原题或类似的题；
　　6. 提早锻炼自己长时间保持注意力集中，专注做一件事的能力、耐力和毅力。

　　这篇文章修修改改，反复揣摩，今天可以画个句号了。请大家相信，我并不是想拿CISSP这件事讲故事，因为一张认证不能完全代表一个人在专业上所取得的高度以及在这个世界中的价值，甚至在有些高人眼中，这张纸根本算不上什么，也没什么难度，用CISSP界的行话说，“这才仅仅是个开始”；我更不是想把自己的心路历程秀给谁看，我只是想用切身体会告诉大家，如果你和我一样，不是也不能把学习当作乐趣，那么学习将是一个非常枯燥的过程，而当你不得不经历这个过程时，难免会为了学习这件事产生各种各样的思想和情绪，有积极的，更有消极的，要坚持往下走，你就必须要有自己的方式去克服所有困难，我是个认真的人，我坚持不懈用还算认真的态度做了这件事，最终得到了一个比较好的结果……

　　这两天在电视里学到一句话：“你想拥有从未拥有过的东西，就要做从没做过的事情”，共勉！