安全从业人员的“奖状”

2017-12-16 23:17:52 98 信安之路

不管在什么领域都会有证书,而我们信息安全也是有很多证书。

证书有什么用呢?

证书代表的是一种能力,安全领域也是如此,当然不是每个从业安全领域的人都是有证书的,但是有没有证书在未来的职业发展中会起到绝对重要的作用。

今天就给大家介绍有那些安全认证的证书,好让想去考证书的人能够分的清楚你的“奖状”是那个。(以下证书不分排名和能力)

CISP(注册信息安全人员)

CISP 国家对信息安全人员资质的最高认可。英文为 Certified Information Security Professional (简称 CISP ) CISP 系经 中国信息安全测评中心 实施国家认证。

CISP 是强制培训的。如果想参加 CISP 考试,必须要求出具授权培训机构的培训合格证明。

CISP 其中又分为:

CISO(注册信息安全管理员) 管理职位

CISE(注册信息安全工程师)  技术职位

CISD(注册信息安全开发工程师)开发职位

CISA(注册信息安全审计师)审计职位

考 CISP 的必须满足这些要求:

1、硕士及硕士以上学历具备一年以上的信息安全相关的工作经历

2、大学本科学历具备二年以上的信息安全相关的工作经历

3、大学专科学历具备四年以上的信息安全相关的工作经历

4、需要通过中国信息安全测评授权的培训机构进行培训

要通过 CISO CISE 的考试,同意遵守 CISP 的职业守则,满足 CISP 注册要求,遵守和满足 CISP 注册维持要求并且缴付年费。

CISP 的领域有那些?

1、信息安全保障 :信息安全保障基本知识丶信息安全保障基本实践。

2、信息安全技术:网络安全丶系统安全丶应用安全丶密码技术丶安全攻防丶软件安全开发丶访问控制与审计监控。

3、信息安全法规:信息安全法规与政策丶信息安全标准丶道德模范。

4、信息安全工程:安全工程原理丶安全工程实践。

5、信息安全管理:安全管理体系丶安全管理措施丶风险控制。

CISP的考试时间为2个小时,考试题目 100 分,需要达到 70 分即可通过考试。

CISP 的考试是根据不同的领域分成 2 个考卷 CISO 、CISE。

CISE:注册信息安全工程师(简称 CISE )主要是从事信息安全技术丶开发丶服务工程等人员。

CISP:注册信息安全管理人员(简称CISO)主要是从事信息安全管理人员。

他们考试的知识点比重


CISP-PTE(注册信息安全专业人员-渗透测试)


CISP-PTE 考试,注册信息安全专业人员-渗透测试工程师考试,英文为 Certified Information Security Professional - Penetration Testing Engineer 。证书持有人员主要从事信息安全技术领域网站渗透测试工作,具有规划测试方案、编写项目测试计划、编写测试用例、测试报告的基本知识和能力。属于资格认证类考试。

渗透是什么意思?

那我们换一种思路来说按照我的理解就是别人给你一个目标让你来测试他是否有漏洞。看看他们的安全性有多么高,渗透好像是分白盒测试和黑盒测试,第一个是一个企业给了你一些规定和攻击手法来测试。后者就是没有限制条件,这是作者的理解。

渗透测试,是为了证明网络防御按照预期计划正常运行而提供的一种机制。

CISP-PTE 大纲内容

Web 安全基础:主要包括 HTTP 协议、注入漏洞、XSS 漏洞、SSRF 漏洞、CSRF 漏洞、文件处理漏洞、访问控制漏洞、会话管理漏洞等相关的技术知识和实践。

中间件安全基础:主要包括 Apache、IIS、Tomcat、weblogic、websphere、Jboss 等相关的技术知识和实践。

操作系统安全基础:主要包括 Windows 操作系统、Linux 操作系统相关技术知识和实践。

数据库安全基础:主要包括 Mssql 数据库、Mysql 数据库、Oracle 数据库、Redis 数据库相关技术知识和实践。

其他内容可以参考群主博客上的内容,地址如下:

http://www.myh0st.cn/index.php/72.html

CISSP(注册信息系统安全专家)

CISSP( CISSP 英文全称:“ Certified Information Systems Security Professional”,中文全称:“(ISC)²注册信息系统安全专家”,由(ISC)² 组织和管理,是目前全球范围内最权威,最专业,最系统的信息安全认证)。

CISSP 有那些认证?

(ISC)² 注册信息系统安全师(CISSP®)

(ISC)² 注册软件生命周期安全师(CSSLP®)

(ISC)² 注册网络取证师(CCFPSM)

(ISC)² 注册信息安全许可师(CAP®)

(ISC)² 注册系统安全员(SSCP®)

(ISC)² 医疗信息与隐私安全员 (HCISPPSM)

CISSP 专项加强认证:

CISSP-ISSAP (Information Systems Security Architecture Professional) 信息系统安全架构专家

CISSP-ISSEP(InformationSystems Security Engineering Professional)信息系统安全工程专家

CISSP-ISSMP(InformationSystem Security Management Professional)信息系统安全管理专家

CISSP 认证的人员一般从事以下工作:

1、安全顾问

2、安全总监/经理

3、信息技术总监/经理

4、安全审计师

5、安全架构师

6、安全分析师

7、安全系统工程师

8、网络架构师

CISSP 的认证要求是很严格的

需证明您在 (ISC)² CISSP CBK 规定的八大知识域之中的两个或以上范畴,拥有至少五年从事信息安全行业的全职工作经验,或具备学士学位且

在 CISSP CBK 规定的八大知识域中的二个或以上范畴拥有四年的全职工作经验。如果未达到年限要求,您仍可以参加考试,先成为 (ISC)² 准会

员,直到满足所要求的工作经验后再申请认证。

1、参加并通过 CISSP 的考试( 250 道单选题,6 小时,考试费 599 美元)

2、完成认证申请流程–当您获得成功通过考试的通知时,从考试日起 9 个月内需完成以下荐证手续:

  • 填写荐证申请表( Application Endorsement Form )

  • 同意遵守 (ISC)² 职业道德规范( Code of Ethics )

  • 获得另一名 (ISC)² 认证会员的签名荐证

3、每三年需要重新进行认证以保持证书有效性。持证者在获得证书后须每年至少获得 20 个持续专业教育 (CPE) 学分, 每三年累积获得 120 个持续专业教育 (CPE) 学分。如果未达到 CPE 学分要求,CISSP 持证者必须重新考取认证。另外 CISSP 持证者需支付 85 美元的年费 (AMF),CISSP 考试语言有中文。

考试&机试;

250 道单项选择题;题目来自 (ISC)² 的题库,每次考试题目都会有变化;

250 道题目中有 25 道用于调查目的,不记分,但并不明确的标注出来;

满分 1000 分,通过成绩为 700 分

机考后,当场公布成绩;

如果没通过,您将被告知具体成绩和每个 Domain 的得分情况,便于您吸取教训,加强学习;

需要填写一份带个人简历的 Endorsement,由一位 CISSP 来推荐证明,供 ISC2 审核( ISC2 会随机抽查报考者的资质);

最终,您会收到来自 ISC2 的邮件;证书,徽章,卡片,ISC2 网站登陆密码;

接下来,就是积攒CPE,并交纳会费了;

他和 CISP 也是一样需要维持 CISSP 的维持是非常困难的考试也是一样。

CPE 得分可以源自以下几个方面:

1、厂商的培训:CISSP 参加厂商举办的培训、讲座等,每小时可获得 1 个 CPE;

2、安全会议:CISSP 参加安全会议,每小时可获得 1 个 CPE;

3、大学课程:CISSP 参加大学课程学习并通过,每学期可以获得 11.5 个 CPE;

4、出版安全论文或书籍:CISSP可以通过出版安全书籍获得40个CPE,或出版安全文章获得 10 个 CPE,以此种方式 3 年内最多获得 40 个CPE;

5、提供安全培训:CISSP 进行安全讲座、授课每小时可以获得 4 个 CPE,以此种方式每年内最多获得 80 个 CPE;

6、服务于安全专业组织的管理层:CISSP 每年可以通过服务获得 10 个CPE,但以此种方式最多可以获得 20 个CPE;

7、自学:CISSP 可以通过自学取得 CPE,以此种方式 3 年内最多获得 40 个 CPE;

8、阅读安全书籍:CISSP 可以通过阅读信息安全书籍的方式获得 10 个CPE,但每年只有一本书被承认;

9、志愿工作:CISSP 可以通过作为 (ISC)² 的志愿者的方式获取 CPE,分数和具体的活动由 (ISC)² 决定;

10、其他:若 CISSP 希望以其他的方式获得 CPE,但必须提交给 (ISC)² 的再认证委员会批准。

(ISC)² CISSP CBK 知识域涵盖信息安全专业人士普遍关注的各种信息安全关键性议题,并每年更新一次,以反映全球最新的最佳实践。同时建立了一个信息安全概念和原理的通用框架,以供探讨、辩论、解决业内难题。

CISSP CBK 包含以下八大领域 2015 年 7 月 1 日考试生效。

安全与风险管理—包括(安全、风险、合规、法律、法规、业务连续性)

1、理解并应用保密性、完整性和可用性的概念、应用安全治理原则

2、合规、理解与信息安全有关的法律和法规问题

3、理解专业人员道德品质

4、开发并实施文件化的安全策略、标准、规程和指南

5、理解业务连续性要求

6、个人安全策略

7、理解并应用威胁建模

8、建立并管理信息安全教育、意识和培训

资产安全—(保护资产的安全性)

1、信息及支持性资产的分级(例如敏感性和关键性)

2、确定并维持资产责任人(例如数据责任人、系统责任人、业务/使命责任人)

3、隐私保护

4、确保适当的保存

5、确定数据安全控制(例如存储的数据、传输的数据)

6、建立处置要求(例如敏感信息的标记、存储、分发)

安全工程—(安全工程与管理)

1、使用安全设计原则的工程过程的实施和管理

2、理解安全模型的基础概念、基于系统安全评价模型选择控制和对策

3、理解信息系统的安全能力(例如存储保护、虚拟化、可信平台模块、界面、容错)

4、评估并减缓安全架构、设计和解决元素的脆弱性、评估并减缓基于 Web(例如 XML、OWASP)的脆弱性

5、评估并减缓移动系统的脆弱性、评估并减缓嵌入设备和网络物理系统(例如物联网)的脆弱性

6、应用密码

7、在场所和设施的设计中应用安全原则、设计并实施物理安全

通信与网络安全—(设计和保护网络安全)

1、在网络架构(例如IP和非IP协议)中应用安全设计原则

2、安全网络组件

3、设计并建立安全通信渠道

4、防护或减缓网络攻击

身份与访问管理—(访问控制和身份管理)

1、资产的物理和逻辑访问控制

2、人员和设备的身份和鉴证管理

3、作为一项服务整合身份(例如云身份)

4、整合第三方身份服务

5、实施并管理授权机制

6、防护或减缓访问控制攻击

7、管理身份和访问配置生命周期

安全全评估与测试—(设计、执行和分析安全测试)

1、设计并验证评估和测试战略

2、管理安全控制测试

3、收集安全过程数据(例如管理和运行控制)

4、分析并报告测试输出(例如自动化手段、手工手段)

5、实施内部和第三方审核

安全运营—(基本概念、调查、事件管理、灾难恢复)

1、理解并支持调查、理解调查类型的要求

2、理解并应用基础的安全运营的概念、实施日志和监视活动

3、资源配置安全、使用资源保护技术

4、实施事件管理、运行并保持预防措施

5、实施并支持补丁和脆弱性管理

6、参与并理解变更管理过程(例如版本控制、基线、安全影响分析)

7、实施恢复战略、实施灾难恢复过程、测试灾难恢复计划、参与业务连续性计划和演练

8、实施并管理物理安全、参与解决个人安全问题

软件开发安全—(理解、应用、和实施软件安全)

1、在软件开发生命周期中应用安全

2、在开发环境中加强安全控制

3、评估软件安全的有效性

4、评估获取软件的安全影响

总之 CISSP 的涉及面非常的广阔目前中国大陆有这个证书的人截至 2016 年 11 月 16 日只有 1343 名,而美国有 72685 名,全球有 110980 名,CISSP 的含金量是业界最高的。

当然你以为 CISSP 这样就够了?你就错了。他还有加强认证:

信息系统安全架构专家 (CISSP-ISSAP®)

信息系统安全工程专家 (CISSP-ISSEP®)

信息系统安全管理专家(CISSP-ISSMP®)

他们分别对应不同的能力,而他们的考试比例也是不一样的:

想要这些认证吗?要先把 CISSP 考完才行。

接下来我们在介绍一下其他一些认证证书是干什么的

  • ISO27001lA(IRCA)信息安全管理体系认证

  • CISA 国际注册信息系统审计师认证

  • CISM 国际注册信息安全经理认证

  • CRISC 风险及信息系统监控认证

  • CISD 国家注册信息安全开发人员

  • COBIT 信息及相关技术控制目标

  • ITIL V3 信息技术基础构架库认证(核心师服务生命周期)

  • ISO27001ILA 国际信息安全管理主任审核员认证

  • C-CCSK 云计算安全知识认证体系

  • CSSLP 国际注册软件生命周期安全认证

其他认证

国际注册软件生命周期安全认证

CSSLP (Certified Secure Software Lifecycle Professional) 主要针对在整个软件开发生命周期 ( SLC ) 中解决安全问题的能力。通过制定最佳安全开发工作规范与流程,来遏制因为软件开发过程中的不足而造成的应用程序漏洞问题。

CSSLP采用全生命周期方式来解决软件的安全问题。由于CSSLP独立于任何代码语言,所以适用于软件生命周期(SLC)中涉及的所有人员,包括分析员、开发人员、软件工程师、软件架构师、项目经理、软件质量保证测试人员以及编程人员等。

攻击安全认证专家(OffensiveSecurity Certified Professional,OSCP)

认证机构:Offensive Security

资质介绍:Offensive Security 公司旗下的 OSCP 认证是其 “Kali Linux 渗透测试” 培训课程的专属认证。Kali Linux 是基于 Debian 的面向安全的发行版本。该系统由于预安装了上百个知名的安全工具软件而出名。

Kali 在信息安全领域还有一个含金量较高的认证叫做 “Kali 渗透测试” 认证。该认证的申请者必须在艰难的 24 小时内成功入侵多台计算机,然后另外 24 小时内完成渗透测试报告并发送给 Offensive Security 的安全人员进行评审。成功通过考试的人将会获得 OSCP 认证证书。

无线安全专家认证

无线安全专家认证(TheCertified Wireless Security Professional ,CWSP)也就是作者要的奖状(超想要)

认证机构:CWNP;

CWNP 属于一个保持厂商中立性且面向企业级 Wi-Fi 认证及培训制定 IT 行业标准的非营利性组织。目前,CWNP 专注于 802.11 无线网络技术并提供 6 个级别(从入门到专家)的面向企业级 Wi-Fi 技术的职业认证资质,其涵盖范畴包括基本原理、管理、安全、分析、设计、精通以及教学。

资质介绍:CWSP 认证属于一项专业级别的无线 LAN 资质,旨在确保持有者具备保证企业 Wi-Fi 网络免受黑客侵扰的各项技能,且能够适应组织内部所使用的任何品牌 Wi-Fi 设备。

先决条件:申请人必须拥有有效的认证无线网络管理员(简称 CWNA )资质;

考试:无线安全认证专家(考试时长:90 分钟;60 个问题;达到总分的 70% 为合格)

医疗信息安全和隐私从业者(HealthCareInformation Security and Privacy Practitioner,HCISPP)

Shearer 表示,针对医疗行业的网络攻击愈演愈烈,这也扩大了该行业对安全专家的需求空间。随着医疗机构的风险持续增长,医疗安全认证的重要性也将日益增加。

认证机构:(ISC)²

资质介绍:(ISC)² 为那些负责保护医疗数据,抵御潜在威胁的人士提供 HCISPP 认证。考试评估 HCISPP CBK 的 6 个领域知识:医疗行业、监管环境、医疗隐私和安全、信息管理和风险管理、信息风险评估以及第三方风险管理。

先决条件:在 HCISPP CBK 6 个领域之中至少用于 1 个领域的专业经验 2 年;只有 1 年经验的必须通过 HCISPPCBK 前 3 个领域的任意组合(医疗行业、监管环境以及医疗隐私和安全);

考试:HCISPP 医疗信息安全和隐私从业者(考试时长:3 小时;125 个问题;达到总分的 70% 为合格;

信息安全技术实操认证新贵——Security+


认证机构:CompTIA;

CompTIA 成立于 1982 年,并于 1993 年始创了独立于厂商的第三方 IT 认证。如今,CompTIA 已经成为全球公认的提供行业领先认证的机构,在全球范围内,已有将近 200 万专业人员已获得了 CompTIA 认证,包括苹果、惠普、IBM 等多家世界 500 强公司建议通过 CompTIA 来验证员工的 IT 技能。

资质介绍:Security+ 是针对信息安全基础级从业者的认证,偏重技术实操。无论是刚毕业的学生,还是已经走上工作岗位的运维人员或开发人员,Security+ 都是一块进入信息安全行业的有效敲门砖。

Security+ 涵盖的内容包括网络安全,合规和操作安全,威胁和漏洞,应用程序、数据库和主机安全,访问控制、身份认证管理以及隐私和机密等。

先决条件:没有;但是候选人需要有 CompTIA Network+ 证书或是在 IT 安全管理方面具备 2 年经验;

考试:CompTIA Security+(考试时长:90分钟;最多90题;合格分数为750/900;)

GIAC安全要素认证(GIACSecurity Essentials,GSEC)

认证机构:GIAC;

全球信息保障认证(Global Information Assurance Certification,GIAC)是网络安全认证(Cyber Security Certifications)的领先提供商和开发者。主要考察五个专业领域(包括安全管理)并拥有几种级别(包括银级、金级和白金级)。该组织同时提供认证和证书。证书通常以一到两天 SANS 培训课程材料为基础,并只包含一门考试;而认证则以一周长的课程为基础,需要通过两门考试,并且每四年更换一次。

资质介绍:GIAC 安全要素认证(GSEC,GIACSecurity Essentials Certification)针对技术专业人士,如实践经理、新接触这一领域的员工和其他人员。参考者需要具备广泛的安全知识,包括 IP 数据包、网络协议、DNS、TCP、政策框架、网络映射、身份验证、事件响应以及病毒和恶意代码等。

先决条件:没有;

考试:GIAC 安全要素认证(考试时长 5 小时;180 个题目;达到总分的 74% 为合格;)

云安全专家认证——CCSP(The Certified Cloud Security Professional)

认证机构:(ISC)²

资质介绍:2015年4月,(ISC)² 与云安全联盟(CSA)面向全球推出了一项全新的云安全从业人员资质认证,即“(ISC)² 注册云安全专家认证(CCSP)”,旨在满足云计算市场对合格安全人才的关键需求,即确保云安全专业人员具备审计、评估和保护云计算基础设施所需的关键知识、技能和能力。CCSP 建立在现有的信息安全认证和云安全教育计划之上,即 (ISC)² 的CISSP认证和 CSA 的 CCSKTM,同时也是对两项认证与证书的有益补充。

CSACCSK 证书提供了一项基准性云安全知识的卓越指标,适合于几乎任何 IT 岗位从业人员考取。 CCSP 认证在 CCSK 涵盖的诸多知识领域基础之上,融合了更深层次的信息安全与云计算实践经验知识,可以验证那些日常工作涉及云安全架构、设计、运营和服务编排的专业人士的实用技能知识。CCSP 认证旨在为高度参与云安全工作并担负保护企业架构安全职责的专业人士而设计。

申请者应具备至少五年 IT 行业工作经验,其中需三年信息安全相关经验和一年云计算相关经验。所有考生必须展示和证明以下六大 CBK 知识领域的专业能力:云计算架构概念与设计要求、云数据安全、云平台与基础设施安全、云应用安全、云计算运营安全、云计算相关法律法规与合规;

先决条件:没有;

考试:云安全专家认证(考试时长:4 小时;125 个问题;达到总分的 70% 为合格;)

(以上部分来自百度、CNCISA、(ISC)²)

还有一些安全证书没有介绍请见谅太多了。

总结

以上的每一个 (ISC)² 的认证都有自己的使命,同时他们也是对认证要求也有很严格的要求的,需要在相同的领域有全职的工作经验 1-2 年并且在(CBK)经验等等,(详情请到 (ISC)² 中文官网 )

https://www.isc2.org/

CISP 的可以去中国信息安全评测中心

http://www.itsec.gov.cn/

CWSP 无线安全认证的可以去 CWNP 的官网

https://www.cwnp.com/certified-it-salary-guide/

最后总结每一个证书都是有自己的主人和他的使命,不是选择那个证书是最厉害的就考那个而是适合自己的才是最好的。证书代表的是一种能力,而你是否能用证书来创造出属于证书的价值那就看你了。