网络空间安全证书含金量详解

网络空间安全证书含金量详解

目前信息安全认证基本分三类，第一类是国际行业认证，依托行业影响力或相关标准的制定等提供认证的背书；第二类是有政府背景的机构来提供认证。第三类是厂商认证，依托厂商在行业的影响力、产品垄断等优势而推出的认证，由厂商对认证进行背书。

国际认证

1. CISSP

CISSP 英文全称：“ Certified Information Systems Security Professional”，中文全称：“(ISC)²注册信息系统安全专家”，由(ISC)²组织和管理，是目前全球范围内最权威，最专业，最系统的信息安全认证。

(ISC)²认证是培养和认证信息安全专业人士的全球黄金标准。它提供信息安全、系统安全、授权、软件开发、数字取证和保健等领域的认证。其两个关键认证为CISSP和系统安全认证从业人员(Systems Security Certified Practitioner，SSCP)。

CISSP可谓是“网红级”的信息安全认证，知名度很高，是展示个人信息安全技能、加入全球化安全专家社区最好的通行证。理想申请人为信息保障专业人士，以及了解如何定义信息系统架构、设计、控制管理和控制确定企业环境安全的人员。

2. CISA

CISA 英文全称：“Certified Information Systems Auditor”，中文全称：“国际信息系统审计师”，由ISACA组织和管理，是信息安全审计师的必备认证。

作为1978年就推出的老牌认证，目前已经有12.9万专业人士通过了CISA认证。该认证是对信息安全专业人士的信息安全审计、漏洞评估、合规与安全控制报告等方面技能的最好证明。

CISA认证培训是从业人员精通IT审计知识体系和审计过程的门槛，在业内已经为默认的资格标准。不仅仅是IT审计类项目，许多安全咨询类项目，甲方也会看重实施者是否拥有CISA证书。

由于国内尚无开展IT审计认证，因此CISA便成为IT审计人员取得资格认证的一个重要途径。

3. CISM

CISM 英文全称：“Certified Information Security Manager”，中文全称：“认证信息安全经理”，由ISACA组织和管理，是一个管理型岗位认证。

CISM的走红要归功于ISACA另外一个王牌认证——CISA认证的成功，与CISA相比，CISM更适合那些希望从技术专家转型管理岗位的人士，提升管理和沟通方面的技能。在参加CISM考试之前，你需要学习、IT治理、风险管理、事件管理和安全开发等多个领域的知识，应试者需要具备至少五年相关工作经验，三年信息安全管理经验。

自2002年推出后，受到了全球资深信息安全经理们的推崇，迄今已有超过32000+人获得了这一证书。CISM注重管理层面，是全球公认的对开发、建立和管理企业信息安全系统的个人能力的认可。

4. GSEC

GSEC 英文全称：“GIAC Security Essentials”，中文全称：“GIAC安全要素认证”。全球信息保障认证(Global Information Assurance Certification，GIAC)是网络安全认证(Cyber Security Certifications)的领先提供商和开发者。

作为一个入门级的安全认证，GIAC是信息安全行业的敲门砖，该认证考察你对信息安全核心概念和基础知识体系的理解和掌握，以及是否具备上岗实操所需的技术专业知识，包括网络和操作系统安全。

GIAC考察五个专业领域(包括安全管理)并拥有几种级别(包括银级、金级和白金级)。该组织同时提供认证和证书。证书通常以一到两天SANS培训课程材料为基础，并只包含一门考试；而认证则以一周长的课程为基础，需要通过两门考试，并且每四年更换一次。

5. CompTIA Security+

CompTIA Security+简称Security+，Security＋是由美国计算机协会CompTIA颁发的证书，类似国内信息产业部的NCSE，也正是由于这个原因，所以在美国很多人都选择这项带有官方标准的安全认证，但是Security＋的知识涵盖面很广，不是普通的入门考试，需要有一定的网络知识，CCNA或者MCSE的基础准备。

Security+是针对信息安全基础级从业者的认证，偏重技术实操。无论是刚毕业的学生，还是已经走上工作岗位的运维人员或开发人员，Security+都是一块进入信息安全行业的有效敲门砖。

目前，国内的信息安全相关的权威认证基本上都是针对具备数年工作经验从业者，偏理论、偏框架、偏指导性，缺乏一个基础级的，偏操作的、实用性的，且含金量较高的安全认证，Security+的出现填补了这一方面的空缺。无论是毕业生，还是没有经过正统安全教育的小白帽，甚至是信息安全管理岗位的资深人士和非安全岗位的运维及开发人员，Security+都不失为一门优秀的安全技术实操类培训。

迄今为止，Security+在全球147个国家受到广泛认可，国内包括北上广深等50多个大中型城市均设有考点。

国内认证

1. CISP

CISP 英文全称：“Certified Information Security Professional”，中文全称：“注册信息安全专业人员”， 由中国信息安全测评中心组织和管理，是信息安全国内第一认证。

说到CISP，安全从业者基本上都有所耳闻，算是国内权威认证，毕竟有政府背景给认证做背书，如果想在政府、国企及重点行业从业，企业获取信息安全服务资质，参与网络安全项目，这个认证都是非常重要的。

CISP是国内认证机构开办的知名度最高、最受认可的信息安全从业人员的资质认证，目前总获证人数已过万，属国内第一大认证。考试时间灵活，内容上也较贴近国内安全状况，中文考试，因此通过率相对较高。而且，想申请信息安全服务资质认证的厂商，根据申请的资质级别必须配备若干名具备CISP证书的人员。而且，相比没有CISP人员的企业，拥有CISP人员的企业具备一定的竞争优势。

CISP的学习内容涉及面较全，包括了安全技术、管理、保障，法律法规等，培训完成后会对信息安全有一个整体性的框架性的认识，拓宽学员对信息安全各个领域的理解。

2. CISP-PTE

CISP-PTE英文全称：“Certified Information Security Professional - Penetration Test Engineer”，中文全称：“国家注册渗透测试工程师”， 由中国信息安全测评中心组织和管理。

这个认证是2017年360企业集团联合中国信息安全测评中心推出的国内首个渗透测试认证，证书首先也是国测认证，所以具备申请安全服务资质的作用；同时由于360参与运营，持证人员可以享受360企业安全服务部门免面试的福利。

证书持有人员主要从事信息安全技术领域网站渗透测试工作，具有规划测试方案、编写项目测试计划、编写测试用例、测试报告的基本知识和能力。属于资格认证类考试。

厂商认证

主要有深信服推出的三大认证：

安全工程师认证（SCSA），安全资深工程师认证（SCSP）和安全专家认证（SCSE）

图片

深信服智安全技术认证是面向网络安全运维、网络安全应急处置、安全解决方案实施人员的专业技术认证，主要涉及网络协议安全、WEB安全、WEB渗透测试、安全应急响应、安全解决方案、故障分析与排除等课程内容，是对企业网络安全防御、安全应急处置以及安全解决方案的知识与技能的综合考察和认证。

小结

很多的信息安全从业人员，还有在校的信息安全专业学生都会考虑：到底需不需要考一个信息安全工程师证书。

如果你想走国家政府路线，希望以后在国家政府事业单位上班，信息安全工程师证书还是值得一考的。

如果你想就职于互联网公司，像BAT这种。其实证书的有无对你的入职影响不大。一般HR是不会问你是否有安全工程师证书的，招聘要求上也不会要求你要有什么证书，只会要求你需要具备哪些能力。对于这些公司，通过证书求职成功的人员是比较少的，证书的价值更多的是起到资质的作用，跟具体的信息安全工作关系不大。

图片

当然，某些岗位像安全合规工程师之类的，对于证书也有一定程度的认同，但是也只是优先考虑，并不是必要条件，重要的还是看技术操作能力。

图片

如果你想在信息安全行业里做得长久一些，与其花钱花时间考取证书，不如静下心来研究研究技术，掌握信息安全工作具体的实践能力，这才是立足行业的根本。