CompTIA在技术人员中很出名。许多IT人员都是从考取CompTIA的A+认证开始自己的技术生涯。现在,CompTIA推出了各种各样的认证项目,涵盖了从云技术到安全的方方面面。CompTIA认证与市场中其他的认证的最大区别在于他们不是供应商认证。CompTIA现在将目标定在成为第一家提供美国国防部8570.1指令认证的公司。它是否能成功呢?
背景介绍:DoD Directive 8507.1
几年前,美国政府寻找一种方法判定求职者的能力和验证现有技术人员掌握的安全知识。DoD在2005年发布了Directive 8570.1,它规定美国政府关于技术和信息安全人员的安全认证要求。这个指令严格规定针对其职员信息安全知识考核的商业安全认证要求。
CompTIA高级安全从业者(CASP)是CompTIA推出的最新安全认证,它是第一个针对DoD要求设计的认证。CASP认证旨在成为CompTIA开发的最高级技术安全认证。认证的前提要求非常高——至少有10年的IT管理经验和5年的一线安全经验。它得到了ANSI的认可,并且符合ISO 17024,这个标准要求定期检查和更新认证。
CASP认证考试的资源范围覆盖面很广,所以非常强调信息安全知识的一些特定领域:
这个列表很有误导性,它可能让准备参加认证的人误认为很容易通过测试。这个测试本身很短,但是需要有很多背景知识,才有可能通过考试。第一个方面是企业安全性,它包括许多子类。Section 1.1要求扎实掌握各种加密工具和技术,其中包括公钥基础架构概念、数字签名、散列法、不可否认性、混淆与扩散等等。这是加密和密码学的一个分支,它们可以构成单独的测试,但是考试内容还不止这一些。
企业安全领域的Section 1.2主要关注于虚拟化和分布式计算,其中包括VLAN、虚拟桌面基础架构、终端服务和弹性云计算,以及它们相关的漏洞分析。和Section 1.1一样,这个部分还涵盖了足以构成一个独立测试的背景知识。但是,它还包含另外6个部分:
Section 1.3 虚拟存储,包括NAS、SAN、vSAN、iSCSI、FCoE等。
Section 1.4 网络设计,包括远程访问、VoIP、IPv6、DNS等。
Section 1.5 主机安全控制,包括防火墙、反病毒和IPS/HIDS。
Section 1.6 Web应用安全,包括XSS、SQL注入、安全开发周期(SDL)等。
Section 1.7 安全工具,包括端口扫描、模糊、密码破解等。
企业安全领域包含的大量内容只占测试的40%,考试涉及4个方面,问题总共只有80个。其他部分一样有非常广泛和大量的知识面。
我们有必要对CASP认证和(ISC)2的CISSP认证进行简要比较。CISSP是广泛认可的卓越信息安全行业认证,它在近几年因为未能准确反映个人的安全技能而广受批评。CISSP考试覆盖的知识面与CASP类似,但是包含了250个问题,比CASP考试的3倍还多。有人可能认为250个问题不足以验证一个人在信息安全的专业能力。然而,250个问题应该比80个问题更能反映一个人的能力。但是,令人意外的是,CompTIA并没有抓住机会为它的最高级认证设计最严格的评估方式。
毫无疑问,CASP认证的目标是对信息安全知识进行综合评估认证。然而,这个测试本身还不能精确评估一个人的知识。信息安全从业者确实需要高要求地理解这些知识,但是他们通常只精于掌握某一个特殊知识点。例如,密码人员不一定很好地掌握了分析或管理。CASP测试可能会促使出现更多帮助人们应试的冲刺式培训,但是一周后他们就可能忘记所学知识。如果将它扩展到所有评估领域,然后要求测试者选择一个更深入的专业领域,那么这个测试会更加有效。
按照实际的执行情况看,CASP认证只是一个阻碍政府员工顺利保持或获得工作岗位的一个门槛。CASP认证本身对于非政府人员并无太大价值,因为它覆盖了太多知识,但是测试内容又非常少。用人单位只知道这个认证通过者了解过信息安全知识,但是并不一定掌握这些知识。对于刚开始接触信息安全的人而言,只要他们不要太看重考试本身,那么还可能会从学习CASP资料的过程中受益。
认证是学习知识和建立扎实基础的开头。最优秀的安全从业者是出于对行业的好奇和学习热情而投入学习和研究的人。CASP认证确实覆盖了正确的知识面,但是它“博而不精”。CASP认证可能会成为商业公司和政府机构用于替代Security+的一个入门认证。然而,这个测试必须继续扩充,才有可能成为评估安全人员的基准。
