四大最值得推荐的信息安全从业者认证

hsm198311

01.        信息安全国际第一认证——CISSP
这个俗称“双SS”的CISSP认证，已经具有二十多年的历史，绝对称得上是全球安全行业最权威认证，拥有十几万持证人员，在全球范围内得到业内的认可。甚至在移民澳大利亚、加拿大和欧洲一些国家时，拥有此证还可加分。无论是做安全产品、售前工程师，还是企业内部的安全管理人员，CISSP几乎可以说是必持之证。

CISSP的涉及面很广，基本覆盖了安全的各个领域，而且会根据行业新形势的变化相应加入新的内容。如目前更新的教材中，移动安全、云安全、工控安全等技术全都包括其中。通过学习CISSP，可以与业内绝大多数人员的理念保持基本一致，标准化术语，从而极大的降低沟通成本。属于信息安全专业人士或从业者最应该具备的和最为实用的一个安全认证。

认证机构：(ISC)2
(ISC)2总部设在美国，伦敦、香港、东京、孟买、北京均设有办事处。是一家全球非营利组织，专注于网络空间、信息系统、软件和基础设施安全的培训及认证。在全球160个国家，拥有11.1万+证书持有者。
(ISC)2的全称为 International Information System Security Certification Consortium （国际信息系统安全认证协会），含义可引申为，促进(Inspire)+安全(Secure)+认证(Certify)。

02.信息安全国内第一认证——CISP
CISP是国内认证机构开办的知名度最高、最受认可的信息安全从业人员的资质认证，目前总获证人数已过万，属国内第一大认证。考试时间灵活，内容上也较贴近国内安全状况，中文考试，因此通过率相对较高。而且，想申请信息安全服务资质认证的厂商，根据申请的资质级别必须配备若干名具备CISP证书的人员。而且，相比没有CISP人员的企业，拥有CISP人员的企业具备一定的竞争优势。
CISP的学习内容涉及面较全，包括了安全技术、管理、保障，法律法规等，培训完成后会对信息安全有一个整体性的框架性的认识，拓宽学员对信息安全各个领域的理解。
认证机构： 中国信息安全测评中心
中国信息安全测评中心，是依据中央授权专门从事信息技术安全测试和风险评估的权威职能机构，主要职能其中就包括开展信息安全服务和专业人员的能力评估与资质审核，持证人数已过万，是国内第一大信息安全认证机构。

03.信息安全技术实操认证新贵——Security+
Security+是针对信息安全基础级从业者的认证，偏重技术实操。无论是刚毕业的学生，还是已经走上工作岗位的运维人员或开发人员，Security+都是一块进入信息安全行业的有效敲门砖。
目前，国内的信息安全相关的权威认证基本上都是针对具备数年工作经验从业者，偏理论、偏框架、偏指导性，缺乏一个基础级的，偏操作的、实用性的，且含金量较高的安全认证，Security+的出现填补了这一方面的空缺。无论是毕业生，还是没有经过正统安全教育的小白帽，甚至是信息安全管理岗位的资深人士和非安全岗位的运维及开发人员，Security+都不失为一门优秀的安全技术实操类培训。
迄今为止，Security+在全球147个国家受到广泛认可，国内包括北上广深等50多个大中型城市均设有考点。
认证机构：CompTIA
CompTIA于1982年成立，并于1993年始创了独立于厂商的第三方IT认证。如今，CompTIA已经成为全球公认的提供行业领先认证的机构，在全球范围内，已有将近200万专业人员已获得了CompTIA认证，包括苹果、惠普、IBM等多家世界500强公司建议通过CompTIA来验证员工的IT技能。

04.IT审计人员的必备之证——CISA
CISA认证培训是从业人员精通IT审计知识体系和审计过程的门槛，上在业内已经为默认的资格标准。不仅仅是IT审计类项目，许多安全咨询类项目，甲方也会看重实施者是否拥有CISA证书。
通过CISA认证培训，可以了解并掌握信息系统审计师需要具备的基础相关知识，技术要求和工作流程。
调查显示，拥有CISA证书的人员在IT从业者中的比例很高，尤其是在CIO或IT部门的主管和安全咨询顾问群体当中。最近几年，CISA认证培训在国内也逐渐升温，银行、证券、保险等金融机构做人员集体培训的越来越多。电信运营商、大型央企业，有着关系国计民生大型信息系统和电子政务系统的政府部门也开始关心和重视IT审计。
由于国内尚无开展IT审计认证，因此CISA便成为IT审计人员取得资格认证的一个重要途径。
认证机构：ISACA

信息系统审计与控制协会(Information System Audit and Control Association)是从事计算机审计人员组成的国际性专业组织，是唯一有权授予注册信息系统审计师资格的跨国界、跨行业的专业机构。该协会成立于1969年，总部在美国的芝加哥。目前在全球设有160多个分会，会员两万多人，为180多个国家，超过14万从业者提供服务。

Q168

这些考证，对专业技术要求很高吧

hsm198311

Q168 发表于 2018-9-6 13:06
这些考证，对专业技术要求很高吧

嗯，后二项专业性更强，难度更大。。。

willwang

从业者认证？是要从业者考取的？

hsm198311

willwang 发表于 2018-9-8 09:38
从业者认证？是要从业者考取的？

从业者可以考取，有了证书可以有更大的发展空间这，选择机会更多。当然，不考也可以。

随着全球性信息化的深入发展，信息网络技术已广泛应用到企业商务系统、金融业务系统、政府部门信息系统等，由于Internet具有开放性、国际性和自由性等特点，因此为保护机密信息不受黑客和间谍的入侵及破坏，各系统对网络安全的问题日益重视，在此方面的投资比例亦日趋增大。为此，建立一套统一的标准，培养合格的信息安全专业人员来应付网络安全的需要显得尤为迫切。

不可否认，实际工作中公司看重的是工作能力和经验，但资格认证是不可缺少的敲门砖，有个认证才有机会找到好的工作。

天赋异禀、无师自通、能力出众的大牛请绕过。

hsm198311

先来一张图看看，网络安全大牛有哪些证书？
CISA（国际信息系统审计师）、CISSP((ISC)²注册信息系统安全专家)………………

hsm198311

对照这位牛人的证书，说一下CISA（国际信息系统审计师）、CISSP((ISC)²注册信息系统安全专家）证书的相关信息：

1.    CISA（国际信息系统审计师）

这个认证是由信息系统审计与控制协会ISACA发起的，是信息系统审计、控制与安全等专业领域中取得成绩的象征。CISA适用于企业信息系统管理人员、IT管理人员、IT审计人员、或信息化咨询顾问、信息安全厂商或服务提供商、和其他对信息系统审计感兴趣的人员。考试费用625美金，在线报名和早期报名会节省一部分费用。

包括五部分内容，各自所占比例如下：1、信息系统审计过程（占14%）

                                                         2、IT控制与治理（占14%）

                                                         3、信息系统获取、开发和实施（占19%）

                                                         4、信息系统操作、维护与支付（占23%）

                                                         5、信息资产的保护（占30%)

2.    CISSP((ISC)²注册信息系统安全专家)

CISSP是（Certified information System Security Professional 国际注册信息系统安全认证专家）的缩写，一种反映信息系统安全从业人员水平的证书，CISSP可以证明证书持有者具备了符合国际标准要求的信息安全知识和经验能力，目前已经得到了全世界广泛的认可，CISSP是一种反映信息系统安全从业人员资质水平的证书，它可为从事信息安全领域工作的人士提高专业资历提供新的机会和更大便利。CISSP认证考试由（ISC）2组织与管理，参加CISSP认证的人员需要遵守CISSP 道德规范（Code of　Ethics），同时要有在信息系统安全通用知识框架（CBK）的十个领域之中的一个或一个以上领域中具有最少3年的直接工作经验。考试费用是599美金，截至2016年12月底全球有160多个国家的10万人获得了CISSP证书。亚洲是除美国本土外拥有CISSP最多的地区，目前在亚洲地区又以香港、新加坡和韩国为主。ISC2 公布截止到2016年3月1日，ISC2官方显示中国大陆区的CISSP的持证人数为1183人。

CISSP标准知识领域共有十个部分，具体如下：

             信息安全与风险管理（Information Security and Risk Management）

             安全结构与设计（SecurityArchitecture and Design）

             访问控制（AccessControl）

             应用安全（ApplicationSecurity）

             操作安全（OperationsSecurity）

             物理与环境安全（Physicaland Environment Security）

             密码学（Cryptography）

              电信与网络安全（Telecommunications,and Network,Security）

              业务连续性与灾难恢复（Business Continuity and Disaster Recovery）

              法律、符合性与调查（Law, Compliance andInvestigations）

hsm198311

再介绍几种其他有关信息安全方面的认证证书：

1.    CEH（道德黑客）

它是一个中立的技术认证，由美国国际电子商务顾问局（美国国际电子商务顾问局)推出，延自美国联邦调查局（FBI）训练人才课程。黑客攻防是信息安全领域中，最引人注意的部分，CEH就是学习如何面对并防范骇客的攻击行为，不但要了解病毒、木马或蠕虫入侵行为，更要培养黑客的攻防技巧。考试费用是500美元，考试内容包括以下：

              1. Ethicand Legality (黑客道德与法律法规)
              2.Footprinting (踩点)
              3.Scanning (扫描)
              4.Enumeration (列举)注：列举是指攻击者主动探查一个网络以发现其中有什么以及哪些可以被他利用。
              5. SystemHacking (系统入侵)
              6.Trojans and Backdoors (木马和后门)
              7.Sniffers (数据包监听)
              8. Denialof Service (拒绝服务)
              9. SocialEngineering (社会工程攻击)
              10.Session Hijacking (会话劫持)
              11.Hacking Web Servers (网站入侵)
              12. WebApplication Vulnerabilities (网站应用程序漏洞)
              13. WebBased Password Cracking Techniques (网站密码破解技术)
              14. SQLInjection (数据库注入)
              15.Hacking Wireless Networks (无线网络入侵)
              16. Virusand Worms (病毒与蠕虫)
              17.Physical Security (物理安全)
              18.Hacking Linux (Linux系统入侵)
              19.Evading Firewalls, IDS and Honeypots (防火墙、入侵检测系统和蜜罐系统规避技术)
              20.Buffer Overflows (缓冲区溢出)
              21.Cryptography (密码学)
              22.Penetration Testing (渗透测试)

CEH新版本加入的新知识：
着眼于新的攻击供应商；
云安全；
Mobile平台和平板电脑的威胁；
最新动态网页和移动威胁；
新的漏洞被解决；
Heartbleed；
Shellshock；
贵宾犬；
密码学案例分析；
使用手机进行黑客攻击；
最新的木马，黑客和后门程序；
新的安全法规和标准；
超过40％的新实验室，并在1500新的工具被添加；
新的操作环境和更新Windows安全问题。

2.    CISP(注册信息安全专业人员)

CISP是中国对信息安全人员资质的认可，英文为Certified Information Security Professional (简称CISP)，CISP系经中国信息安全产品测评认证中心（已改名中国信息安全测评中心）实施国家认证。CISP是强制培训的。如果想参加CISP考试，必须要求出具授权培训机构的培训合格证明。

CISP知识体系结构共包含五个知识类，分别为：

信息安全保障概述：介绍了信息安全保障的框架、基本原理和实践，它是注册信息安全专业人员首先需要掌握的基础知识。

信息安全技术：主要包括密码技术、访问控制、审计监控等安全技术机制，网络、操作系统、数据库和应用软件等方面的基本安全原理和实践，以及信息安全攻防和软件安全开发相关的技术知识和实践。

信息安全管理：主要包括信息安全管理体系建设、信息安全风险管理、安全管理措施等相关的管理知识和实践。

信息安全工程：主要包括信息安全相关的工程的基本理论和实践方法。

信息安全标准法规：主要包括信息安全相关的标准、法律法规、政策和道德规范，是注册信息安全专业人员需要掌握的通用基础知识。

3.    CISM(注册信息安全员)

“注册信息安全员”（英文为Certified Information Security Member，简称CISM）资质是我国针对在信息安全企业、信息安全咨询服务机构、信息安全测评认证机构（包含授权测评机构）、社会各组织、团体、大专院校、企事业单位有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部门）中从事信息安全工作的人员，获得此注册资质，表明具备信息安全员的资质和能力，系经中国信息安全产品测评认证中心实施的国家认证。

“注册信息安全员”知识体系覆盖信息安全保障基础、信息安全技术、信息安全管理、信息安全工程以及信息安全标准法规等领域。“注册信息安全员”的培训将为学员提供全面、系统、专业的基础知识和技能学习；在技术领域，学员将能了解掌握和提高操作系统安全、防火墙、防病毒、入侵检测、密码技术和应用等安全技术知识和能力；在管理领域，学员将能了解信息安全管理和治理的基础知识，学习和建立在开展风险评估、灾难恢复、应急响应工作中所需的国家政策要求、相关知识和实践能力；在工程领域，学员将能学习和了解开展信息安全工程管理、咨询和监理的实践及经验；在标准和法律法规领域，学员将能全面了解国家信息安全相关的法律法规以及国内外信息安全相关的标准和实践经验。

4.    CCIE Security

CCIE 安全认证既是思科认证互联网专家安全认证，是中国普及率比较高的一个认证。网络安全性持续增长，在IT行业的影响也日益扩大。网络安全饱含热情，CCIE安全认证就是认证挑战，将引领进入管理及创建终端到终端安全网络的职业生涯。

包括以下内容
1、常用网络概念
2、应用协议
3、Cisco IOS的细节问题以及网络安全性
4、网络安全协议
5、操作系统与Cisco安全应用程序
6、网络安全技术
7、网络安全策略、漏洞及保护措施
8、CCIE网络安全认证自学实验.

5.    其他安全厂商的认证

Fortinet NSE(Network Security Expert)

PaloAlto Certified Network Security Engineer（CNSE）

华为认证HCIESecurity

这些安全厂商认证，包括防火墙、WAF的配置，包括防火墙策略、VPN、防病毒、IPS的配置，也是乙方甲方网络安全从事人员热门的安全认证。

hsm198311

willwang 发表于 2018-9-8 09:38
从业者认证？是要从业者考取的？

企业的信息安全管理不是一劳永逸的，由于新的威胁不断出现，信息安全管理是一个相对的、动态的过程，企业能做到的就是要不断改进自身的信息安全状态，将信息安全风险控制在企业可接受的范围之内，获得企业现有条件下和资源能力范围内最大程度的安全。

在信息安全管理领域，“三分技术，七分管理”的理念已经被广泛接受。

hsm198311

有了这些认证你可以拿到哪些高大上的offer？