重度拖延症拖了将近一年总算在今天把CCSP考掉了,考试每个月还是有一些位置可以预约,我约了徐汇的腾飞大厦,进了大楼扫码自助访客登记就可以到8F的考试中心了。带好身份证+另外一个证明身份的证件,到了之后把所有东西存了,工作人员帮你录个掌纹,做下安检,就会带你进去考试了。
考题注意点
整体考试基本在书的范围内,老师讲的范围可能还加了点国内的知识或者一些拓展,个人感觉会比考试范围更加大一点。有些题目翻译有些问题,比如有一题,他翻译是一个防火墙策略允许特定端口,然后这条策略在拒绝所有的策略后面,这个从逻辑上一看就有问题,英文原文差不多是 allow special port rule follow by deny all rule。所以有些中文看上去比较怪的,读不太通顺的,最好也看一下英语原题。时间是肯定够的,我基本每一题都会点开英语原题看一下,用了3个小时多一点点。切记做完题确认完再点下一题,下一题之后不能返回之前的题目。
考题详情
考试题目应用题偏多,就是给你个场景,比如你是系统架构师,CEO需要让你实现一个什么目标,以下哪个措施是实现这个目标的最优做法。
直接考名词概念的题目有,但是不是太多,印象中大概20题以内,没什么印象问你ISOXXXXX是干嘛的,NISTXXX是干嘛的,XXX法律是干嘛的,有也最多1,2题。不过我没考到不代表没有,大家能看还是要看一下。
计算题我一题都没做到,包括关于ALE,SLE之类的计算。同理不过我没考到不代表没有,大家该掌握的还是要掌握。
拖图题我做到三题,三题都不难,有一题是数据主体,数据处理者和数据所有者的对应的概念,有一题是数据生命周期的排序对应,创建,存储,使用,分享,归档,销毁。
关于风险的对策有个几题,其中有道题还有陷阱,要注意读题,题目是一个公司发生了重大事故,保险赔付了部分的经济损失,他问你对于剩余部分,采取了什么策略,我选的答案是风险接受。
云计算/云服务的特性也有很多道题,按需自助服务/多租户/全球地理位置的特点,IAAS/PAAS/SAAS的特点。这些概念要理解并且能套到场景里,他会问你一个场景里体现了/利用了云服务的什么。比如有个旁路攻击,英语好像是side channel attack,就是攻击者利用一台虚拟机去攻击另一台虚拟机,利用了云服务的什么特性,我选了多租户。比如一个跨国公司,他的数据存储需要考虑的最重要的特性是什么,我选了当地法律之类的答案。他给你个需求,问你应该使用哪种云部署模式。
虚拟机的特性也要搞清楚,也有几题,虚拟机逃逸,虚拟机打补丁的一些方法/特性。关于OWASP也有个两三题,关于数据传输中加密的也有几题,包括点对点或者说浏览器流量之类的,具体记不太清了。有一题他问你加密的私钥应该存在哪,给了第三方托管,云供应商安全存储,用户自己这边,我选了用户自己这边。
关于选择BC/DR的测试的方法也有几题,有一题就是问你以下哪个DR方法最能保证关键利益相关者参与其中,我选了平行测试,因为没有完全中断测试,这题我不太确定。
身份认证也有好几题,Oauth/OpenID,SSO,AD这些认证方法的应用最好搞清楚,他会给你一个场景,问你应该用哪个认证方法,这个体现了哪个认证方法之类的。
SDLC考了也有好几题,主要问你哪个行为发生在SDLC的哪个阶段,基本都是选在设计阶段。
数据保留政策考了几题,有一题是他问你数据到保留期后,加密粉碎前要确保什么,我选了要先确保加密,因为我感觉其他答案都不太对。
我还考到一题STRIDE模型,问你下面的场景体现了STRIDE里面哪个特性。还有几题是关于合同/SLA的概念的,就是问你保证XXX需要怎么做,如何确保公司的利益最大化之类的,基本就是合同约定,SLA约定之类的。总的来说,跟着中文书的考纲,基本95%以上都可以找到对应的概念。
备考准备
我个人学习的时候看了一遍录播视频+讲义PPT+做了笔记,看了一遍书,做了一遍纸质的习题,做了一遍所有的汇哲的网站的习题。然后考前把错题看了一遍+看了几遍笔记。因为考过CISSP,所以有些内容是通的,相对来说记忆没有那么困难。如果单独备考CCSP的同学们,还是要做到细致复习、避免短板。最后预祝备考的小伙伴们都能一次顺利上岸!
返回列表