CompTIA在技術(shù)人員中很出名。許多IT人員都是從考取CompTIA的A+認(rèn)證開(kāi)始自己的技術(shù)生涯?，F(xiàn)在，CompTIA推出了各種各樣的認(rèn)證項(xiàng)目，涵蓋了從云技術(shù)到安全的方方面面。CompTIA認(rèn)證與市場(chǎng)中其他的認(rèn)證的最大區(qū)別在于他們不是供應(yīng)商認(rèn)證。CompTIA現(xiàn)在將目標(biāo)定在成為第一家提供美國(guó)國(guó)防部8570.1指令認(rèn)證的公司。它是否能成功呢?

背景介紹：DoD Directive 8507.1

幾年前，美國(guó)政府尋找一種方法判定求職者的能力和驗(yàn)證現(xiàn)有技術(shù)人員掌握的安全知識(shí)。DoD在2005年發(fā)布了Directive 8570.1，它規(guī)定美國(guó)政府關(guān)于技術(shù)和信息安全人員的安全認(rèn)證要求。這個(gè)指令嚴(yán)格規(guī)定針對(duì)其職員信息安全知識(shí)考核的商業(yè)安全認(rèn)證要求。

CompTIA高級(jí)安全從業(yè)者(CASP)是CompTIA推出的最新安全認(rèn)證，它是第一個(gè)針對(duì)DoD要求設(shè)計(jì)的認(rèn)證。CASP認(rèn)證旨在成為CompTIA開(kāi)發(fā)的最高級(jí)技術(shù)安全認(rèn)證。認(rèn)證的前提要求非常高——至少有10年的IT管理經(jīng)驗(yàn)和5年的一線安全經(jīng)驗(yàn)。它得到了ANSI的認(rèn)可，并且符合ISO 17024，這個(gè)標(biāo)準(zhǔn)要求定期檢查和更新認(rèn)證。

CASP認(rèn)證考試的資源范圍覆蓋面很廣，所以非常強(qiáng)調(diào)信息安全知識(shí)的一些特定領(lǐng)域：

這個(gè)列表很有誤導(dǎo)性，它可能讓準(zhǔn)備參加認(rèn)證的人誤認(rèn)為很容易通過(guò)測(cè)試。這個(gè)測(cè)試本身很短，但是需要有很多背景知識(shí)，才有可能通過(guò)考試。第一個(gè)方面是企業(yè)安全性，它包括許多子類。Section 1.1要求扎實(shí)掌握各種加密工具和技術(shù)，其中包括公鑰基礎(chǔ)架構(gòu)概念、數(shù)字簽名、散列法、不可否認(rèn)性、混淆與擴(kuò)散等等。這是加密和密碼學(xué)的一個(gè)分支，它們可以構(gòu)成單獨(dú)的測(cè)試，但是考試內(nèi)容還不止這一些。

企業(yè)安全領(lǐng)域的Section 1.2主要關(guān)注于虛擬化和分布式計(jì)算，其中包括VLAN、虛擬桌面基礎(chǔ)架構(gòu)、終端服務(wù)和彈性云計(jì)算，以及它們相關(guān)的漏洞分析。和Section 1.1一樣，這個(gè)部分還涵蓋了足以構(gòu)成一個(gè)獨(dú)立測(cè)試的背景知識(shí)。但是，它還包含另外6個(gè)部分：

Section 1.3 虛擬存儲(chǔ)，包括NAS、SAN、vSAN、iSCSI、FCoE等。

Section 1.4 網(wǎng)絡(luò)設(shè)計(jì)，包括遠(yuǎn)程訪問(wèn)、VoIP、IPv6、DNS等。

Section 1.5 主機(jī)安全控制，包括防火墻、反病毒和IPS/HIDS。

Section 1.6 Web應(yīng)用安全，包括XSS、SQL注入、安全開(kāi)發(fā)周期(SDL)等。

Section 1.7 安全工具，包括端口掃描、模糊、密碼破解等。

企業(yè)安全領(lǐng)域包含的大量?jī)?nèi)容只占測(cè)試的40%，考試涉及4個(gè)方面，問(wèn)題總共只有80個(gè)。其他部分一樣有非常廣泛和大量的知識(shí)面。

我們有必要對(duì)CASP認(rèn)證和(ISC)2的CISSP認(rèn)證進(jìn)行簡(jiǎn)要比較。CISSP是廣泛認(rèn)可的卓越信息安全行業(yè)認(rèn)證，它在近幾年因?yàn)槲茨軠?zhǔn)確反映個(gè)人的安全技能而廣受批評(píng)。CISSP考試覆蓋的知識(shí)面與CASP類似，但是包含了250個(gè)問(wèn)題，比CASP考試的3倍還多。有人可能認(rèn)為250個(gè)問(wèn)題不足以驗(yàn)證一個(gè)人在信息安全的專業(yè)能力。然而，250個(gè)問(wèn)題應(yīng)該比80個(gè)問(wèn)題更能反映一個(gè)人的能力。但是，令人意外的是，CompTIA并沒(méi)有抓住機(jī)會(huì)為它的最高級(jí)認(rèn)證設(shè)計(jì)最嚴(yán)格的評(píng)估方式。

毫無(wú)疑問(wèn)，CASP認(rèn)證的目標(biāo)是對(duì)信息安全知識(shí)進(jìn)行綜合評(píng)估認(rèn)證。然而，這個(gè)測(cè)試本身還不能精確評(píng)估一個(gè)人的知識(shí)。信息安全從業(yè)者確實(shí)需要高要求地理解這些知識(shí)，但是他們通常只精于掌握某一個(gè)特殊知識(shí)點(diǎn)。例如，密碼人員不一定很好地掌握了分析或管理。CASP測(cè)試可能會(huì)促使出現(xiàn)更多幫助人們應(yīng)試的沖刺式培訓(xùn)，但是一周后他們就可能忘記所學(xué)知識(shí)。如果將它擴(kuò)展到所有評(píng)估領(lǐng)域，然后要求測(cè)試者選擇一個(gè)更深入的專業(yè)領(lǐng)域，那么這個(gè)測(cè)試會(huì)更加有效。

按照實(shí)際的執(zhí)行情況看，CASP認(rèn)證只是一個(gè)阻礙政府員工順利保持或獲得工作崗位的一個(gè)門檻。CASP認(rèn)證本身對(duì)于非政府人員并無(wú)太大價(jià)值，因?yàn)樗采w了太多知識(shí)，但是測(cè)試內(nèi)容又非常少。用人單位只知道這個(gè)認(rèn)證通過(guò)者了解過(guò)信息安全知識(shí)，但是并不一定掌握這些知識(shí)。對(duì)于剛開(kāi)始接觸信息安全的人而言，只要他們不要太看重考試本身，那么還可能會(huì)從學(xué)習(xí)CASP資料的過(guò)程中受益。

認(rèn)證是學(xué)習(xí)知識(shí)和建立扎實(shí)基礎(chǔ)的開(kāi)頭。最優(yōu)秀的安全從業(yè)者是出于對(duì)行業(yè)的好奇和學(xué)習(xí)熱情而投入學(xué)習(xí)和研究的人。CASP認(rèn)證確實(shí)覆蓋了正確的知識(shí)面，但是它“博而不精”。CASP認(rèn)證可能會(huì)成為商業(yè)公司和政府機(jī)構(gòu)用于替代Security+的一個(gè)入門認(rèn)證。然而，這個(gè)測(cè)試必須繼續(xù)擴(kuò)充，才有可能成為評(píng)估安全人員的基準(zhǔn)。