职业规划：非供应商的安全认证

本文概括了最好的非供应商安全认证，它们可以帮助你实现信息安全领域的职业目标。下面的表格总结这些调查的认证总数。整体而言，从2012年开始，一共出现了5个新的非供应商认证，我们也删掉了一些已经停止的认证。专业安全认证的总数仍然保持不变，其中有5个非供应商认证，只有1个供应商认证。

数量 　       2012年　2013年

非供应商 　     49      54

初级 　         14      15

中级 　          7       8

高级 　         28      31

鉴定/反黑客 　  24      23

初级 　         10       9

中级 　          8       8

高级 　          6       6

专业认证 　     10      10

按照我们的供应商认证分析结果，很容易确定要获得哪些供应商认证——要获得那些能够与员工或客户所使用技术相关的认证，或者那些将来为员工或客户带来价值的认证。确定获得哪些供应商认证，不仅需要理解各个认证和认证项目在总覆盖计划的作用，也需要对比相似的项目。

可以肯定，安全认证领域一共有超过120个认证，显然可选的很多。问题是，您如何知道哪一个认证适合您的IT职业道路？下面对整个领域的简要分析，将帮助您在职业生涯中某个时刻选择信息安全职业道路。

现在，ISC的信息系统安全认证专家(CISSP)、SANS Institute的全球信息安全认证（GIAC）和ISACA信息安全认证经理（CISM）可能是最著名和使用最广泛的IT安全认证项目。也就是说，美国国防部指令8570.01-M包含了新的CompTIA高级安全工作者（CASP），这意味着这个认证一定会在政府员工和政府承建商中流行起来。这些项目的认证工程师数量会发生变化（有一些只有不到10,000名认证成员，而现在已经获得CISSP认证的成员在全世界超过75,000名）。一些认证范围更广泛的项目，如信息系统认证审计员(CISA)或欺骗行为认证检查师(CFE)，它们涉及的范围都超出严格意义上的信息安全范围，有大约60,000名的认证数量。

CompTIA的Security+仍然在入门级认证方面占据重要位置，它将继续吸引广泛的关注和参与。现在，Security+的认证数量高达50,000名。IBM、EC-Council、Security University (SU)和mile2都将Security+添加到自己的认证体系中。获得Security+认证的人可以替代信息安全认证经理（CISM）认证要求中的一年工作经验，而且Security+仍然是目前首选的最受认可和最好的入门级信息安全认证。要获得Security+认证，候选者必须通过一个考试。

更明显的是，入门级认证中数量最多的有CompTIA的Security+、SANS GIAC信息安全基础认证(GISF)和ISC的系统安全认证工作者(SSCP)。现在还不能确定，最新的（2013年2月）Prometic网络安全基础认证是否将进入这个行列。CISSP和SANS GIAC中级和高级认证仍然最适合那些寻找入门级以上安全认证的人，而认证文明黑客（CEH）现在也非常适合那些当前关注于提高系统渗透技术和反黑客技术的人。认证防御专家（CPP）、专业认证观察员（PCI）、物理安全专家（PSP）和各种CISSP关注者都限于安全社区的最高级成员，因为他们要求有5~9年的安全领域从业经验，才资格参加考试。

按照《职业规划：非供应商的安全认证（一）》的背景，我们推荐下面的安全认证路径，技术人员可以根据自己当前的知识、技能和经验选择从任何一个认证开始和提高。你的安全认证要先从各种入门级安全认证开始。下面的认证都能够在计算机安全理论、操作、实践和策略方面提供非常完备的背景知识：

CompTIA的Security+

对于这个领域希望提高工作和知识深度的IT专业人员，CompTIA的Security+认证是适合他们的入门级信息安全认证。这也是为什么我们将它定为这个级别的第一选择和推荐。

ISC的系统安全认证工作者(SSCP)

国际信息系统安全认证联盟负责管理CISSP，这是最著名的高级安全认证（本文后面也会介绍高级认证）。如果你想选择这条路径，那么SSCP是一个很好的选择。

SANS GIAC信息安全基础认证(GISF)

长期以来，SANS协会都是安全行业的公认强者。同样，它的认证也会继续得到广泛认可和接受。GISF是通向SANS GIAC项目其他认证的必经途径。

之后，您就可以尝试高级安全认证。大多数此类认证都要求有3年以上的相关领域从业经验。除了通过考试，其中许多认证还要求提交论文或研究结果；有一些还要求通过一些特殊课程。在这一类认证中，以下四个特别值得注意，它们弥补了前面三个的空白：

CompTIA高级安全工作者(CASP)

CASP可以作为Security+的后续认证，可用于判断有3年以上信息安全领域人员的直接日常从业经验，而且有相匹配的技术和知识。CASP要求持续学习，或者每三年重新考试一次。它的费用大约比CISSP（考试费用在500~600美元之间）少200美元，但是在国防部的IT排名位置是相同的，毫无疑问将来也会流行起来。

ISC的认证信息系统安全专家(CISSP)

CISSP是北美最著名的高级安全认证。它经常出现在10大期望认证清单、职位招聘和分类广告的名单中。那些有意扩展CISSP认证的人也应该关注这三个课程——架构师（CISSP-ISSAP）、工程师（CISSP-ISSEP）和管理（CISSP-ISSMP）。

SANS GIAC安全认证

SANS提供了许多扩展GISF和GIAC安全基础认证（GSEC）的专业技能，包括防火墙、意外处理、入侵分析、Windows和Unix管理、信息安全官及系统与网络审计员认证。这是一个与主题相关的快速高度技术化项目，它基于杰出的在线培训和SANS会议。要想通过这4个认证（其中两个是“金质”认证）和分成两个部分的漫长考试，最好先通过GIAC安全工程师(GSE) 认证。

合格信息安全专家认证

安全大学的认证要求通过一些最好、与现实紧密结合的信息安全培训。这个项目受到政府和行业安全巨头的欢迎，它非常昂贵、要求很高且认证时间很长，但这是一个值得长期投入的认证。