认证的信息系统安全专家(CISSP)证书已经成为一个被大多数信息安全专家广泛认可的资格证明。然而,这门富有挑战性的考试要求考生具备相当全面的安全知识作为基础,以至于很多技术专业人员都需要一些帮助来通过这门考试,无论他们有多么丰富的安全部署实践经验。
作为一名认证的技术培训机构的CISSP教师,我已经听到很多应考者浪费不少钱,却参加了没有多少价值的教师指导培训的事例。事实上,我的很多学生也都曾经花过很多钱去参加一些可有可无的培训。
当你选择培训机构和相应课程的时候,你应该寻找一些普通的元素。为了帮你们节约时间和金钱,下面,我将列出六点技巧,从而帮助你们评估教师指导CISSP培训的质量。
技巧1: 核查教师的有效凭证
如果你期待教师带给你全方位安全领域的知识,你必须确定他或她是这每一个领域中的权威。理所当然地,CISSP教师自己首先要是一名CISSP,不过我认为CISSP教师仅仅只是拥有CISSP证书是完全不够的。
如果一名微软认证的教师正在讲授Windows 2000的目录服务,你确实不需要他是防火墙的专家。然而,如果这名教师正在讲授Microsoft Internet Security and Acceleration (ISA)服务器课程,那么他在防火墙部署方面的知识对于学生来说就显得尤其重要了,他必须能阐述ISA和思科的PIX、Check Point的 Firewall NG以及Linux IP Tables的区别。
CISSP考试覆盖了10个安全领域的知识,而且它是这10个领域知识的一个综合。在每个领域,你都需要寻找一名权威的教师。最有价值的认证包括 (ISC)2的 CISSP、ISACA的CISA、CompTIA的Security+、SCP的SCNP、Check Point的 CCSE和CCSI、Cisco的 CCIE、 CCNP和CCSP、Microsoft的MCT、MCSE和 MCSD、Nokia的NSA、TruSecure的TICSA和SANS的GIAC。你的教师最好还能有一些经济和计算机科学方向的学位证明。 一些权威的作者已经创造了一些课程。尽管这当然是好事,但是你一定要注意,著作不完全是能证明作者权威性的东西。写一本好书并不难,我已经编著了四本书,并与其他作者共同执笔了一些,我想我的话还是能说明一些问题的。CISSP是一门专家级别的认证,你必须在报名参加一个CISSP培训班之前,确定你的教师是10个安全领域中的专家。
你同样应该防范一些学校自称聘请专家级的教师来讲授他们的CISSP课程,实际上却找了另外一些水平良莠不齐的教师来代替的卑劣行径。只有当专家级的教师站在你的面前,你才可以确信这家培训机构的权威性,教师的质量绝对是首要考虑的,因为教师传授知识的能力直接左右了培训班的质量。我可以肯定的说,寻找一个有才能、有资格的教师比开发内容丰富的课程要难得多。一些培训机构这样的行为无疑和调包的商业诈骗行为没有两样。
技巧2: 谨防cookie-cutter 课程
你必须确信你的课程提供了覆盖CBK的10个安全领域的根本信息安全知识。这门课程仅仅是根据一本书改写的吗?或者它包含了作者自己加进来的内容吗?附加的内容是什么呢?
你应该同样确定教师的陈述符合培训机构所提供的课程资料。有太多太多失败的学生向我们抱怨说他们参加了一些培训并不能与陈述匹配的课程。
技巧3: 评估课后学习资料
你必须确定这些课程能够很容易的得到复习。如今有大量的CISSP学习资料,因此你完全能够借助它们进行复习,并熟练的掌握所有重要的细节。如果这些课程设置得当的话,它应该已经为你重点的标出了考试中需要注意的侧重点。
培训机构不应该依赖你的能力去记住考试中最需要记住的知识点。维持知识,辨识哪些知识需要复习是非常困难的事情。你必须确定这家培训机构正在同时通过正式课程以外的其他途径对你进行帮助。你需要把精力和注意力放在纯粹的保持工作上,而不是将它们浪费在培训机构可能已经准备好的预备资料上。
技巧4: 确信课程包含了应考策略
尽管培训机构很自然地应该提供扎实的信息安全培训和知识讲授,它还应该提供专门的考试技巧,例如对付不明确、主观和狡猾选项的艺术。我们的很多学生反映说CISSP考试就像一场IQ的考试,而不是信息安全的考试。我的观点是两者都有。
你需要提高提炼题目重点的技巧,接着从四个非常严谨的选项中做出最正确的选择。大多数教师指导培训并不包含考试技巧的训练,但这并不意味着考试技巧并不重要。你必须向一名通过CISSP的前辈请教考试的细节。大多数CISSP会咧嘴一笑,并发誓他们再也不会参加这门考试了!
技巧5: 检验做考试练习的时机
确定这些课程包含了很多考试练习的指导。简单的进行CISSP的联系并没有任何作用,这和其他技术考试是不一样的。就我的经验来说,我感担保你在真题里只能见到真正考试中不到3%的题目。这意味着通过背题,想超过这个成绩是不可能的。
在我准备考试的过程中,我分析了超过2800道真题,有Boson、CISSP考试指南、 CISSP认证综合教材和SRV出版物从而寻找并记忆了超过1100道题目。我不能确定,但是我在考试中见到的还不到25道。这个概率意味着你需要花我10倍的时间去记忆题目的内容。这不是一条捷径,不是吗?
知道为什么我建议你寻找考试练习的指导了吧?关键字是指导。如果一个考试专家向你传授应该如何狡猾的解决遇到的问题,你就能够在考试中发挥威力。而且如果教师具备了技巧1中的要求,你能够确信他或她已经有非常丰富的考试经验。
技巧6: 不要参加保证通过的培训
不要相信“保证通过考试”这样的空话。大多数这样的保证并不是返还学费的保证。他们往往只是让你重新参加一次培训,然后你又再一次的在考试中失败。这和餐馆在给你吃了有毒的晚餐后,又让你免费再吃一顿晚餐实际上是一样的。
如果培训班不能在第一次就完成它的使命,你真的还需要浪费时间再参加一次吗?如果培训机构期望通过保证通过考试这样的口号吸引你,你需要考察它是否能在考试不通过的情况下返还学费。
