写点什么留着在火车上看，8月14号和我们一期的第一个小伙伴通过了考试，考了整整6个小时，他说重点考SIEM，SCAP，COTS，NAC，SOC，VOIP，想必这是最难的题目了吧，要不然也不会立即回忆出来，于是群里炸开了锅，COTS还是第一次见，还有小伙伴调侃是不是6小时饿晕了，打错字了，于是有人开始翻书，发现COTS是“Commercial Off The Shelf”商用现成品，指可以采购到的具有开放式标准定义的接口的软件或硬件的产品，这个点竟然考了7题，令人吃惊，还有透露SCAP考的很深，只了解CVE、CVSS的概念不够，需要知道在哪个阶段用SCAP，解决什么问题，竟然考了5题~

根据他的回忆，说很少有题会单独考一个考点，一般都是跨知识点跨章节，基本上都是场景题，占比85%以上，一个场景只考一题，和往常训练还是有差异的，据说考了2道ABAC，我自己翻书查了一下，软件定义网络SDN使用了ABAC，它比基于规则的访问控制更灵活，它使用可包含多个属性的规则，ABAC允许管理员使用简单语言在策略中创建规则~

他的平时成绩在67-72上下浮动，还回忆说，70%是书上的，30%知识点没见过，当时确实吓坏了一群小伙伴，说BCP/DRP、风险管理、安全评估加起来20道题以上，但是并没有说考什么内容啊，有点尴尬，后来他就吃饭去了，等到晚上他整理了一下大概的考点，群里小伙伴，都在点赞~

• 1、ISC2职业道德（3）
• 2、取证调查（3）
• 3、纵深防御（8）
• 4、EER（2）
• 5、Data owner CISO 职责
• 6、渗透测试（5）
• 7、BCP/DRP的各个阶段（5）
• 8、SDLC（10）
• 9、WPA2（2）
• 10、X.509（1）
• 11、机房灭火、FM200（2）
• 12、开源软件风险（8）
• 13、温站概念（1）
• 14、SSH（5）
• 15、SSL、TLS（5）
• 16、TOU/TOC（1）
• 17、SOC type（10）
• 18、VOIP（4）
• 19、COTS成品软件（5）
• 20、XSS（3）
• 21、HIDS（4）
• 22、GDPR（5）
• 23、双因素认证（5）
• 24、变更管理、配置管理（5）
• 25、WAF（10）
• 26、开发、评估、编程、典型应用（10）
• 27、审计、评估测试（10）

然后8月15号，群里另一个小伙伴也通过了考试，他的平时成绩在65-70浮动，他说考试中场景题占比很大，知识点基本平时上课中都重点讲过，但是原题少之又少，需要分析题干，英语翻译质量很好，需要重点关注思维导图，标记红色旗子的部分，这位小哥也用了将近6个小时才做完题目，看来真的是一场鏖战~

接着8月17号，又来一个小伙伴，调侃不要背题，原题不超过10个，反复考SOC1、SOC2、SOC3，什么场景用，有什么区别，供应商提供什么，对外公开用什么，还说SCAP考的比XXCDF、OVAL、CVE、CCE、CPE、CVSS要难很多~

接着8月18号，又通过了一个小伙伴，是35期新生，5次考试分别是68、82、78、75、73，花了5个小时做完了，他说不难，基本都在复习的知识点里，他说BGP自治域考了皮毛，银行卡审计PCI DSS也考了，他也确认了SOC题目蛮多的，并且要注意管理的翻译，三种控制手段，有管理和行政，要看英文，还问WPA2用什么加密（群里回答说ccmp/aes），保证数据的开发、维护安全和可用，是数据保管者、数据所有者、其他选项的责任，还问了4条规范中哪一个道德规范是强制性的，还问了RPO是属于业务连续性计划还是灾难恢复计划，还说COTS好多题啊，类似的还有开发中如果使用开源代码，需要做哪些工作，还有问COTS的固有风险是什么，还有考TLS和TTLS的区别~

暂时就收集了这么多，准备下周一晚上来个考前突击，现在是周末，下楼倒个垃圾，然后洗个澡，再抓紧时间，来把OSG书上的习题刷一刷，哈哈哈哈，最难的题目不过如此~