安全行業認證背景概要
小編職業經歷較為複雜,最早從事網絡工程方面,所以對網絡方面的相關認證較為熟悉,網絡方面的認證,目前國內比較認可的都是基於一些廠商的認證(比如CISCO:CCNA/CCNP/CCIE 華為:HCNA/HCNP/HCIE、H3C:H3CNE/H3CSE/H3CTE/H3CIE 現在各自廠商又開始發佈雲的相關認證),而安全行業的相關認證和網絡行業的認證有所不同。由於安全涉及的內容較多,很多安全標準、要求均是這些組織協會聯合制定和發佈,協會成員很多都是業內比較有影響力的組織和安全廠商,因此得到業內承認的大部分是一些安全組織/協會等推出相關的認證,國際上當然大部分的比較有公信力的安全認證還是出自於美國,當然針對於國內來說,國內的一些安全認證有國家做背書,且某些領域和安全服務方面強制要求,因此這些國內認證對於大家也相對重要,下面針對這些認證給大家簡單總結一下。
國際安全認證
第一名:CISSP (認證註冊信息系統安全師)
全認證持續走紅,CISSP作為權威的安全認證,入選這個排行實至名歸。由於是非廠商跨平臺的第三方認證,所以使得CISSP在企業市場越加受到歡迎。當然比起其他安全認證CISSP的要求也是最高的,一定程度上影響了人氣排名。
此認證俗稱“雙SS”的CISSP認證,已經具有二十多年的歷史,絕對稱得上是全球安全行業最權威認證,擁有十幾萬持證人員,在全球範圍內得到業內的認可。甚至在移民澳大利亞、加拿大和歐洲一些國家時,擁有此證還可加分。無論是做安全產品、售前工程師,還是企業內部的安全管理人員,CISSP幾乎可以說是必持之證。
CISSP的涉及面很廣,基本覆蓋了安全的各個領域,而且會根據行業新形勢的變化相應加入新的內容。如目前更新的教材中,移動安全、雲安全、工控安全等技術全都包括其中。通過學習CISSP,可以與業內絕大多數人員的理念保持基本一致,標準化術語,從而極大的降低溝通成本。屬於信息安全專業人士或從業者最應該具備的和最為實用的一個安全認證。
認證機構:(ISC)2
(ISC)2總部設在美國,倫敦、香港、東京、孟買、北京均設有辦事處。是一家全球非營利組織,專注於網絡空間、信息系統、軟件和基礎設施安全的培訓及認證。在全球160個國家,擁有11.1萬+證書持有者。
(ISC)2的全稱為 International Information System Security Certification Consortium (國際信息系統安全認證協會),含義可引申為,促進(Inspire)+安全(Secure)+認證(Certify)。
第二名:CISA(Certified Information Systems Auditor簡稱,中文為國際信息系統審計師) ———IT審計人員的必備之證
CISA認證培訓是從業人員精通IT審計知識體系和審計過程的門檻,上在業內已經為默認的資格標準。不僅僅是IT審計類項目,許多安全諮詢類項目,甲方也會看重實施者是否擁有CISA證書。
通過CISA認證培訓,可以瞭解並掌握信息系統審計師需要具備的基礎相關知識,技術要求和工作流程。
調查顯示,擁有CISA證書的人員在IT從業者中的比例很高,尤其是在CIO或IT部門的主管和安全諮詢顧問群體當中。最近幾年,CISA認證培訓在國內也逐漸升溫,銀行、證券、保險等金融機構做人員集體培訓的越來越多。電信運營商、大型央企業,有著關係國計民生大型信息系統和電子政務系統的政府部門也開始關心和重視IT審計。
由於國內尚無開展IT審計認證,因此CISA便成為IT審計人員取得資格認證的一個重要途徑。
認證機構:ISACA
信息系統審計與控制協會(Information System Audit and Control Association)是從事計算機審計人員組成的國際性專業組織,是唯一有權授予註冊信息系統審計師資格的跨國界、跨行業的專業機構。該協會成立於1969年,總部在美國的芝加哥。目前在全球設有160多個分會,會員兩萬多人,為180多個國家,超過14萬從業者提供服務。
第三名:CompTIA Security+也簡稱 Security+(美國計算機行業協會安全認證)
Security+是由全美計算機協會CompTIA頒發的證書,類似國內信息產業部的NCSE,也正是由於這個原因,所以在美國很多人都選擇這項帶有官方標準的安全認證,但是Security+的知識涵蓋面很廣,不是普通的入門考試,需要有一定的網絡知識,CCNA或者MCSE的基礎準備。
Security+是針對信息安全基礎級從業者的認證,偏重技術實操。無論是剛畢業的學生,還是已經走上工作崗位的運維人員或開發人員,Security+都是一塊進入信息安全行業的有效敲門磚。
目前,國內的信息安全相關的權威認證基本上都是針對具備數年工作經驗從業者,偏理論、偏框架、偏指導性,缺乏一個基礎級的,偏操作的、實用性的,且含金量較高的安全認證,Security+的出現填補了這一方面的空缺。無論是畢業生,還是沒有經過正統安全教育的小白帽,甚至是信息安全管理崗位的資深人士和非安全崗位的運維及開發人員,Security+都不失為一門優秀的安全技術實操類培訓。
迄今為止,Security+在全球147個國家受到廣泛認可,國內包括北上廣深等50多個大中型城市均設有考點。
認證機構:CompTIA
國內安全認證
第一:CISP(Certified Information Security Professional 註冊信息安全專業人員)---信息安全國內第一認證
說到CISP,安全從業者基本上都有所耳聞,算是國內權威認證,畢竟有政府背景給認證做背書,如果想在政府、國企及重點行業從業,企業獲取信息安全服務資質,參與網絡安全項目,這個認證都是非常重要的。
CISP是國內認證機構開辦的知名度最高、最受認可的信息安全從業人員的資質認證,目前總獲證人數已過萬,屬國內第一大認證。考試時間靈活,內容上也較貼近國內安全狀況,中文考試,因此通過率相對較高。而且,想申請信息安全服務資質認證的廠商,根據申請的資質級別必須配備若干名具備CISP證書的人員。而且,相比沒有CISP人員的企業,擁有CISP人員的企業具備一定的競爭優勢。
CISP的學習內容涉及面較全,包括了安全技術、管理、保障,法律法規等,培訓完成後會對信息安全有一個整體性的框架性的認識,拓寬學員對信息安全各個領域的理解。
認證機構:中國信息安全測評中心
中國信息安全測評中心,是依據中央授權專門從事信息技術安全測試和風險評估的權威職能機構,主要職能其中就包括開展信息安全服務和專業人員的能力評估與資質審核,持證人數已過萬,是國內第一大信息安全認證機構。
第二:CISP-PTE (Certified Information Security Professional - Penetration Test Engineer國家註冊滲透測試工程師)
這個認證是2017年360企業集團聯合中國信息安全測評中心推出的國內首個滲透測試認證,證書首先也是國測認證,所以具備申請安全服務資質的作用;同時由於360參與運營,持證人員可以享受360企業安全服務部門免面試的福利。
註冊信息安全專業人員-滲透測試,英文為 Certified Information Security Professional - Penetration Test Engineer ,簡稱 CISP-PTE。證書持有人員主要從事信息安全技術領域網站滲透測試工作,具有規劃測試方案、編寫項目測試計劃、編寫測試用例、測試報告的基本知識和能力。屬於資格認證類考試。
認證機構:中國信息安全測評中心
總結
上面已經給大家介紹了5個安全相關認證的情況,這裡給大家簡要總結,以便於大家可以選擇適合自己目標、職業規劃的認證。 首先上面的次序不代表名次,僅與認證的影響力及認可度相關聯。如果真心想從事安全相關行業主流還是cissp、cisa、cisp、cisp-pte 最為實用。
必要性
當然了,認證相當於我們說的大學文憑,培訓10天以內就結束,開始考證屬於應試類,大家可想而知很多都是培訓機構提前扣題,劃題,背題,然後拿證。行業的現狀就是這樣,行業壁壘,國家強制,所以考一個證還是好的,當然也不是一點也學不到東西,最起碼,大家可以從整體上了解一下,安全領域的相關術語,走馬觀花式瞭解相關行業知識。 最終還是要由技術實力說話,學到真東西才是硬實力。
一句話:認證知識敲門磚,打鐵仍需自身硬。
影響
CISSP因為資格老,比較多人知道,考的較多,
CISP官方推動,在政府、企業管理崗位比較認可
PTE滲透測試第一證,2017推出,在滲透領域,企業安服部門影響力剛剛開始,還不是特別明顯
我的認知是信息安全包括攻擊與防護兩大方面
CISP與CISSP屬於防護,要求工作技能面面俱到,已經工作許多年,想要健全知識體系的可以考慮;
PTE屬於攻擊,只要求你在滲透方向上比較強,可以單點突破即可,想要獲得認可的學生、職場人,或者想轉行安服工作的IT人可以考慮。。。
CISP與CISSP大致屬於理論考試,都是客觀題,考核知識面,包括安全管理,安全技術,安全審計等。
PTE考試主要從事信息安全技術領域安全滲透測試工作,是業界首個理論與實踐相結合的技能水平註冊考試。PTE 考試題型為客觀題、實操題,培訓與考試80%為手動實踐操作。
CISP
考證要求:需要工作經驗
100到題目,單選,好像是60%就過線。
CISSP
考證要求:需要工作經驗
考試時間6個小時,滿分1000分,700分過線
PTE
考證要求:不需要工作經驗
學生也可以考試,專項能力通過即可拿證
考試題型為客觀題、實操題。客觀題為單項選擇題,共 20 題,每 題 1 分;實操題共 80 分。總分共 100 分,得到 70 分以上(含 70 分)為通過。
費用
小編不是做認證培訓的託,網上很多,自行百度諮詢培訓機構即可,跟網上購物一樣
閱讀更多 Web安全陪跑團 的文章
