微軟已開始推出微軟認(rèn)證系統(tǒng)管理員(MCSA，Microsoft Certified Systems Administrator)和微軟認(rèn)證系統(tǒng)工程師(MCSE，Microsoft Certified Systems Engineer)的安全版本;而思科也提供CCIE認(rèn)證的安全版本。還有其它一些認(rèn)證機(jī)構(gòu)——包括CompTIA、國際信息系統(tǒng)安全認(rèn)證聯(lián)盟[(ISC)2]、全方位信息專家認(rèn)證(GIAC，Global Information Assurance Certification)與安全認(rèn)證計(jì)劃(Security Certified Program)——它們?nèi)继峁┝餍械陌踩J(rèn)證。

下面簡單說明一些主要的獨(dú)立于廠商的安全認(rèn)證。

　　CompTIA Security+

　　尋求CompTIA Security+認(rèn)證的考生只需要通過一門考試(SY0-101)。CompTIA考試由100道考題構(gòu)成，從以下五個(gè)領(lǐng)域測試考生的安全專業(yè)知識：

　　普通安全概念

　　通信安全

　　基礎(chǔ)架構(gòu)安全

　　密碼學(xué)基礎(chǔ)

　　運(yùn)作/組織安全

普通安全概念測試內(nèi)容包括驗(yàn)證協(xié)議、常見漏洞和攻擊策略、以及社會工程風(fēng)險(xiǎn)知識;在通信安全方面，考生應(yīng)該掌握遠(yuǎn)程訪問安全技術(shù)與電子郵件安全，以及強(qiáng)化無線網(wǎng)絡(luò)策略;基礎(chǔ)架構(gòu)主題涉及防火墻、路由器、交換機(jī)、調(diào)制解調(diào)器、VPN和遠(yuǎn)程通信安全、以及與保護(hù)公共以太網(wǎng)電纜和入侵檢測策略有關(guān)的問題。

CompTIA Security+考試還考察密碼學(xué)問題?？忌仨氄故竟布用芩惴ā?shù)字簽名和公共密鑰策略方面的知識。

Security+考試還包含運(yùn)作和組織安全問題。從保護(hù)備份數(shù)據(jù)，到設(shè)計(jì)高效的安全策略、實(shí)施有效的應(yīng)急策略，考生必須證明自己掌握了廣泛的運(yùn)作和組織安全專業(yè)知識。

CompTIA Security+考試非常著名。實(shí)際上，人們十分重視這個(gè)認(rèn)證，以致于微軟接受CompTIA Security+認(rèn)證，作為報(bào)考它的MCSE和MCSA認(rèn)證的資格證明(考生不需要通過其它考試)。

(ISC)2——SSCP和CISSP

國際信息系統(tǒng)安全認(rèn)證聯(lián)盟，即(ISC)2，主張(ISC)2 CBK。所謂的公共知識體系(CBK)說明保障信息技術(shù)安全的最佳實(shí)踐。(ISC)2頒發(fā)四種認(rèn)證：CISSP、SSCP、CAP和(ISC)2準(zhǔn)成員[Associate of (ISC)2]。

認(rèn)證和認(rèn)可專業(yè)人員(Certification and Accreditation Professional)，或CAP認(rèn)證與傳統(tǒng)的認(rèn)證稍有不同。CAP認(rèn)證評估考生對于認(rèn)證過程的理解程度，主要針對那些決定評定安全漏洞過程和實(shí)施安全保護(hù)的IT專業(yè)人士。除測試與認(rèn)證目的有關(guān)的知識以外，CAP考生還必須展示認(rèn)證與認(rèn)可過程，及認(rèn)證后監(jiān)控方面的知識。

系統(tǒng)安全認(rèn)證從業(yè)人員(SSCP，Systems Security Certified Practitioner)認(rèn)證針對負(fù)責(zé)網(wǎng)絡(luò)或系統(tǒng)安全的IT專業(yè)人士。SSCP測試考生在七個(gè)領(lǐng)域內(nèi)的專業(yè)知識：訪問控制、分析與監(jiān)控、密碼學(xué)、網(wǎng)絡(luò)與遠(yuǎn)程通信、惡意代碼、風(fēng)險(xiǎn)、響應(yīng)和恢復(fù)及安全運(yùn)作與管理。

CISSP認(rèn)證則以尋求管理層安全職位的IT經(jīng)理為對象。CISSP考試測試考生在(ISC)2的10個(gè)CBK領(lǐng)域內(nèi)的知識：訪問控制、應(yīng)用程序安全、業(yè)務(wù)連貫性和災(zāi)難恢復(fù)規(guī)劃、密碼學(xué)、信息安全與風(fēng)險(xiǎn)管理、法律法規(guī)及法規(guī)遵從與調(diào)查、操作安全、物理安全、安全體系結(jié)構(gòu)和設(shè)計(jì)、以及遠(yuǎn)程通信和網(wǎng)絡(luò)安全。

同時(shí)，(ISC)2準(zhǔn)成員主要針對那些具備獲取CISSP或SSCP認(rèn)證的專業(yè)知識，但沒有相應(yīng)的從業(yè)經(jīng)驗(yàn)的IT人員。SSCP考生需要有一年安全領(lǐng)域從業(yè)經(jīng)驗(yàn)，而CISSP考生則需要擁有四年安全領(lǐng)域的工作經(jīng)驗(yàn)(不過獲得由國家卓越中心頒發(fā)的信息安全碩士學(xué)位的考生可從這一要求中減去一年時(shí)間)。SSCP和CISSP考生還必須通過專業(yè)、犯罪和背景記錄方面的調(diào)查。

GIAC——GISF和GSEC

美國系統(tǒng)網(wǎng)絡(luò)安全協(xié)會(SANS Institute)的全方位信息專家認(rèn)證主要確認(rèn)工作中的信息技術(shù)技能。該組織頒發(fā)大約19個(gè)安全和工作方面的認(rèn)證和證書。

GIAC考察五個(gè)專業(yè)領(lǐng)域(包括安全管理)并擁有幾種級別(包括銀級、金級和白金級)。該組織同時(shí)提供認(rèn)證和證書。證書通常以一到兩天SANS培訓(xùn)課程材料為基礎(chǔ)，并只包含一門考試;而認(rèn)證則以一周長的課程為基礎(chǔ)，需要通過兩門考試，并且每四年更換一次。

入門級GIAC安全認(rèn)證——GIAC信息安全基礎(chǔ)(GISF，GIAC Information Security Fundamentals)——針對IT經(jīng)理，安全官員和管理員。該考試評估考生對于挑戰(zhàn)信息資源的威脅的了解，并測試他們識別最佳安全實(shí)踐的能力。

下一個(gè)最高GIAC安全認(rèn)證為安全要素認(rèn)證(GSEC，GIAC Security Essentials Certification)，它針對技術(shù)專業(yè)人士，如實(shí)踐經(jīng)理、新接觸這一領(lǐng)域的員工和其他人員。它的兩個(gè)考試考察安全基礎(chǔ)知識，保證考生擁有扎實(shí)的安全知識。

其它GIAC安全認(rèn)證包括：認(rèn)證防火墻分析師(它確認(rèn)設(shè)計(jì)、配置和監(jiān)控路由器、防火墻和其它邊界設(shè)備所需的知識、技能和能力)、認(rèn)證入侵分析師(它評估考生配置和監(jiān)控入侵檢測系統(tǒng)的知識)、認(rèn)證事故處理員(它考察考生處理事故和攻擊的能力)和認(rèn)證司法辯論分析師(它考查考生高效處理正式司法調(diào)查的能力)。

安全認(rèn)證計(jì)劃——SCNP

安全認(rèn)證網(wǎng)絡(luò)專業(yè)人士(SCNP，Security Certified Network Professional)認(rèn)證由安全認(rèn)證計(jì)劃(SCP)頒發(fā)。SCP開發(fā)和維護(hù)它的廠商中立認(rèn)證，主要授予評估工作安全技能方面的認(rèn)證。

要參加SCNP考試，考生首先必須取得安全認(rèn)證網(wǎng)絡(luò)專家(SCNS，Security Certified Network Specialist)身份。SCNS認(rèn)證要求一名IT專業(yè)人士通過該機(jī)構(gòu)的戰(zhàn)術(shù)邊界防御(TPD，Tactical Perimeter Defense)考試，該考試檢測網(wǎng)絡(luò)防御基礎(chǔ)、高級TCP/IP應(yīng)用、配置路由器和訪問控制列表、防火墻和VPN設(shè)計(jì)與配置、以及入侵檢測系統(tǒng)管理方面的知識。

要獲得SCNP認(rèn)證，考生必須通過策略基礎(chǔ)架構(gòu)安全(SIS，Strategic Infrastructure Security)考試。SIS考試評估考生對密碼學(xué)、Linux和Windows強(qiáng)化、道德黑客、風(fēng)險(xiǎn)分析、安全策略和互聯(lián)網(wǎng)其它安全因素的了解程度。每兩年進(jìn)行一次重新認(rèn)證。

總結(jié)

與其它認(rèn)證一樣，這些安全認(rèn)證對考生的知識、技能和專業(yè)知識進(jìn)行基本性考察。IT認(rèn)證并不表明證書持有人掌握認(rèn)證所涉及的每一項(xiàng)技術(shù)，因?yàn)榧词褂兄嗄旯ぷ鹘?jīng)驗(yàn)的資深專家也極少能夠掌握一門特殊學(xué)科的每一項(xiàng)技術(shù)。