CISSP考试经验分享（全流程详解），从零基础到精通，收藏这篇就够了！

开场白：过了CISSP，然后呢？

刚从CISSP考场的泥潭里爬出来，一身疲惫，百感交集。先别急着恭喜我，也别盲目羡慕。这玩意儿，真不是你想的那么简单。两个月的折磨，换来一张证书，值不值？说实话，我现在有点怀疑人生。

报考前请三思：这证书，真适合你吗？

我在安全圈摸爬滚打了七年，现在在一家互联网公司死磕应用安全，特别是SDL那一块。CISSP？如果你已经入了这行，有点经验，考一个傍身，没毛病。但如果你是小白，或者只是想转行，我劝你冷静。

经验主义至上：别指望死记硬背

以前CISSP还能靠背题库、钻空子，现在？呵呵。2023年改版后，变成了丧心病狂的CAT模式。这玩意儿会根据你的答题情况，专门往你知识盲区里捅刀子。题型千人千面，想靠投机取巧？门都没有！

更要命的是，考题很多都是书本上没有的，完全依赖你的实战经验和对安全管理的理解。别天真地以为啃完书就能搞定一切，考场上你会发现，理想很丰满，现实很骨感。

英语不好？等着被“机翻”虐哭吧！

CISSP考试还有一个大坑：部分题目的翻译简直是灾难，语句不通顺，术语乱用，让人怀疑人生。想真正理解题目，你必须能看懂英文原题。英语渣？准备好被虐哭吧。

知识储备：一英里宽，一英寸深？

CISSP号称覆盖八大领域，从技术到管理，无所不包。但说实话，每个领域的深度都比较有限，就像一个一英里宽、一英寸深的水池。它的重点是培养你的安全管理思维，而不是让你成为某个领域的专家。

学习资料方面，官方的OSG（CISSP官方学习指南）和民间的AIO（CISSP大全）二选一即可。

我个人更推荐OSG，毕竟是官方教材，权威性更高。现在OSG已经出到第十版了，纯英文版，国内还没翻译。新旧版本差别不大，英语好的可以直接啃第十版，不好的就老老实实看第九版。

对于OSG，我的建议是：除非你是那种在大厂身经百战的安全老油条，否则老老实实通读一遍（最好是精读）。别听那些“不用看书”的鬼话，书里的知识点虽然零散，但能帮你构建结构化的思维模式，这对考试很有帮助。

题海战术？别！理解才是王道

！刷题不是目的，理解才是关键！！

！别用考国内认证的思维来考CISSP！！

刷题方面，我把题库的题刷了个底朝天，包括八大知识领域的和四个综合练习。把每道题每个选项背后的知识点都搞懂了。听说网上有一些英文版和民间翻译版，但翻译质量参差不齐，慎用。

我的八个知识域题目正确率稳定在90%以上，四个综合练习正确率在75%-85%之间，大家可以参考一下。

！错题本是神器，务必整理！！

考试缴费：钱包君，挺住！

CISSP考试可以在ISC2官网预约，考试时间一般在每个季度末。

考试费用是749美元一次，挂了就得再交一次。所以，请务必做好充分准备，别跟自己的钱包过不去。

官方偶尔会推出“CISSP中文考试安心保障”服务：

花948美元，享受一次考试+一次补考机会。对自己没信心的可以考虑，也算买个安心。

考前准备：证件别忘带！

考试前，务必带好身份证件和一张带有个人签名的信用卡（必须是信用卡！）。

备考期间，建立个人错题集，记录错误题目和对应的知识点，并参考OSG深入理解。考场上很可能会遇到原题或变种题。

走进考场：堪比高考的严格

考试在PearsonVue官方考场进行，一般设在一线城市。如果你的城市没有考点，就得提前订酒店去外地考试，有点麻烦。

考试通常在上午开始，时间很准时。进入考场后，禁止复习任何资料，手机必须关机。工作人员会核对证件、拍照，并录入掌纹信息（不是指纹！）进行身份验证。

考试进行时：烧脑风暴

考场里有十几个人，全程摄像头监控录像。每个考生之间都有很高的隔板，确保独立性。PearsonVue承接多家考试机构的业务，所以你周围的考生可能考的不是CISSP。记住，考场纪律非常严格，堪比高考，千万别作弊！

现在的CAT模式考试是自适应的，3个小时，全是单选题，题目数量在100-150道之间。系统会实时评估你的答题准确率和通过可能性。**答完100道题后，如果系统认为你已经达标，考试会提前结束。**当然，如果系统认为你没戏，考试也可能会提前终止，但这种情况比较少见。

我考了122道题，用了2个多小时。

所以，保持心态平稳最重要。无论做到多少道题，都要冷静思考，充分利用经验和知识。

考试题目难度很高！**大概只有25%的题目能直接用知识点秒杀，剩下的都得仔细分析题干，斟酌选项，选出最优解。**很多题目都有多个看似正确的选项，让人非常纠结。

考试结束：过没过，天知道！

在100-150题的范围内，计算机会通过算法判断你是否通过考试。答完100题后，你永远不知道下一题会不会突然跳出“考试结束”的字样。

**考试结束后，需要再次录入掌纹，确认身份。**然后，考场老师会把成绩单背面朝上递给你，可能是为了保护考生信息，也可能是怕你挂了尴尬。

如果成绩单和本文开头的第一张图一样，恭喜你，通过了！如果成绩单上指出了你知识掌握不足的领域，那就只能下次再战了。

背书与证书维持：长征才刚开始

通过考试后，ISC2会发邮件给你，然后就可以准备背书了。

要成为CISSP会员，需要满足五年的工作经验要求（IT相关专业本科可以减少一年）。你可以找背书人，也可以选择官方审查资料。找背书人更常见，网上也有相关服务。

背书审核通过后，会发邮件通知你，缴纳会费（每年135美元）后，才能拿到CISSP证书。

纸质版证书会寄到ISC2的中国办公室，然后他们会联系你确认地址。

拿到证书后，每年要交年费（135美元），还要赚取CPE学分来维持证书（3年120 CPE）。

自学还是报班？别纠结了！

最后总结一下，CISSP证书含金量很高，但考试难度也很大。
如果你是学霸，可以选择自学自考
这边分享一点我的资料
希望我的经验能帮到你，祝你早日拿到CISSP证书！

网络安全学习路线&学习资源

网络安全的知识多而杂，怎么科学合理安排？

下面给大家总结了一套适用于网安零基础的学习路线，应届生和转行人员都适用，学完保底6k！就算你底子差，如果能趁着网安良好的发展势头不断学习，日后跳槽大厂、拿到百万年薪也不是不可能！

初级网工

1、网络安全理论知识（2天）

①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（一周）

①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（一周）

①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（一周）

①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）

①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）

①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k

到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？

【“脚本小子”成长进阶资源领取】

7、脚本编程（初级/中级/高级）

在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.

零基础入门，建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习；搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime； ·Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，不要看完； ·用Python编写漏洞的exp,然后写一个简单的网络爬虫； ·PHP基本语法学习并书写一个简单的博客系统；熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)； ·了解Bootstrap的布局或者CSS。

8、超级网工

这部分内容对零基础的同学来说还比较遥远，就不展开细说了，贴一个大概的路线。感兴趣的童鞋可以研究一下，不懂得地方可以【点这里】加我耗油，跟我学习交流一下。

网络安全工程师企业级学习路线

如图片过大被平台压缩导致看不清的话，可以【点这里】加我耗油发给你，大家也可以一起学习交流一下。

一些我自己买的、其他平台白嫖不到的视频教程：

需要的话可以扫描下方卡片加我耗油发给你（都是无偿分享的），大家也可以一起学习交流一下。

网络安全学习路线&学习资源

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。