根據(jù) 2018 年度 (ISC)² 安全人才調(diào)查報(bào)告，全球信息安全人才缺口高達(dá) 293 萬(wàn)人，其中亞太地區(qū)是人才荒的重災(zāi)區(qū)，安全人才缺口高達(dá) 214 萬(wàn)，超過(guò)六成企業(yè)信息安全崗位缺人。

[[285173]]

與此同時(shí)，報(bào)告還顯示信息安全專(zhuān)業(yè)人士未來(lái)最為看好的職業(yè)發(fā)展方向和領(lǐng)域是：

• 云計(jì)算安全
• 滲透測(cè)試
• 威脅情報(bào)分析
• 司法取證

進(jìn)入新的安全領(lǐng)域或提升職業(yè)競(jìng)爭(zhēng)力最有效的辦法之一就是取得權(quán)威安全認(rèn)證，(ISC)² 的報(bào)告顯示，全球超過(guò)一半的受訪(fǎng)者 (54%) 正在積極尋求獲得網(wǎng)絡(luò)安全認(rèn)證，或計(jì)劃在明年進(jìn)行認(rèn)證。

對(duì)于企業(yè)的人力資源部門(mén)來(lái)說(shuō)，識(shí)別、甄選并招聘到合格的網(wǎng)絡(luò)安全人才的難度也與日俱增，而信息安全認(rèn)證，則成了人力資源經(jīng)理們挑選安全人才的一個(gè)重要評(píng)判標(biāo)準(zhǔn)。這導(dǎo)致過(guò)去 20 多年間，市場(chǎng)上涌現(xiàn)了超過(guò) 100 個(gè)信息安全認(rèn)證和相關(guān)機(jī)構(gòu)，對(duì)于企業(yè)人力資源部門(mén)來(lái)說(shuō)，大量用來(lái)標(biāo)記安全人才技能的證書(shū)，其自身的含金量和水分卻更難以鑒別，而且持有證書(shū)的專(zhuān)業(yè)人士是否具備 “來(lái)之能戰(zhàn)” 的實(shí)操能力，也很難確定。以下我們列舉 2019 年在全球信息安全人才市場(chǎng)公認(rèn)的實(shí)戰(zhàn)能力很強(qiáng)的五個(gè)安全技能認(rèn)證：

1、OSCP – 進(jìn)攻性安全認(rèn)證專(zhuān)家

在過(guò)去的幾年中，OSCP 已成為滲透測(cè)試人員及其企業(yè)雇主的首選認(rèn)證，在 2006 年首次引入后，OSCP 的關(guān)注度逐年上升。此實(shí)用性認(rèn)證在準(zhǔn)備、培訓(xùn)和完成方面需要投入大量精力。

盡管 “進(jìn)攻安全性” 網(wǎng)站建議在準(zhǔn)備 2-3 個(gè)月后即可獲得 OSCP，但根據(jù)其他專(zhuān)業(yè)人員的親身經(jīng)驗(yàn)，更合理的時(shí)間表是 5-8 個(gè)月。贏得了 OSCP 的個(gè)人在紅隊(duì)社區(qū)中具有很高的“街頭信譽(yù)”，可信度非常高。

2、CCSP – 認(rèn)證云安全專(zhuān)家

隨著越來(lái)越多的企業(yè)遷移到云環(huán)境，受歡迎的 CCSP 認(rèn)證的需求日益增長(zhǎng)。(ISC)² 今年慶祝成立 30 周年，但 CCSP 認(rèn)證在 2015 年才推出。過(guò)去幾年來(lái)，世界各地的企業(yè)和組織都在不遺余力地妥善保護(hù)托管在 Amazon AWS 微軟 Azure 等云提供商那里的數(shù)據(jù)、應(yīng)用程序和基礎(chǔ)架構(gòu)。

3、CRISC – 風(fēng)險(xiǎn)和信息系統(tǒng)控制認(rèn)證

CRISC 認(rèn)證針對(duì)負(fù)責(zé) IT 風(fēng)險(xiǎn)管理或合規(guī)性的專(zhuān)業(yè)人員，旨在幫助他們的組織了解業(yè)務(wù)風(fēng)險(xiǎn)并實(shí)施適當(dāng)?shù)男畔⑾到y(tǒng)控制。風(fēng)險(xiǎn)管理人員通常是一群熱愛(ài)本職工作的人，如果你致力于在這個(gè)職業(yè)道路上發(fā)展，那么 CRISC 是一塊不錯(cuò)的敲門(mén)磚。

4、CySA + – 網(wǎng)絡(luò)安全分析師+認(rèn)證

在 2017 年殺入安全認(rèn)證領(lǐng)域之后，CompTIA 的 CySA +(Cybersecurity Analyst +)迅速獲得認(rèn)可。在美國(guó)擁有超過(guò) 26,000 個(gè)網(wǎng)絡(luò)安全分析師職位空缺，專(zhuān)門(mén)針對(duì)該角色而設(shè)計(jì)的專(zhuān)業(yè)認(rèn)證必將成為 “爆款”。

網(wǎng)絡(luò)安全分析師需要預(yù)防、檢測(cè)、響應(yīng)和詳細(xì)說(shuō)明網(wǎng)絡(luò)安全威脅，而 CySA+ 認(rèn)證旨在通過(guò)側(cè)重于角色內(nèi)部的應(yīng)用行為分析來(lái)提供幫助。CySA+是專(zhuān)為中級(jí)信息安全專(zhuān)業(yè)人員設(shè)計(jì)的安全證書(shū)，持有該證書(shū)的求職申請(qǐng)人在崗位競(jìng)爭(zhēng)中往往更具有優(yōu)勢(shì)。

5、CISM – 認(rèn)證信息安全經(jīng)理

通常，與 (ISC)² 的 CISSP 認(rèn)證相比，ISACA 的 CISM 認(rèn)證往往被同級(jí)別的 CISA 認(rèn)證所掩蓋。CISM 代表認(rèn)證信息安全管理者。對(duì)于致力于在網(wǎng)絡(luò)安全中擔(dān)當(dāng)管理角色的組織和個(gè)人，持有 CISM 認(rèn)證表明其持有人可以像領(lǐng)導(dǎo)者一樣思考，同時(shí)仍擁有足夠的 “危險(xiǎn)” 技術(shù)訣竅。

盡管 CISSP 更常見(jiàn)且技術(shù)含量更高，但掌握 CISM 所需的管理觀點(diǎn)使其在高級(jí)領(lǐng)導(dǎo)職位中處于優(yōu)勢(shì)。

證書(shū)不代表一切，企業(yè)最需要什么樣的網(wǎng)絡(luò)安全人才?

除了可靠的經(jīng)驗(yàn)，學(xué)歷和證書(shū)，雇主還希望結(jié)識(shí)具有某些特征的申請(qǐng)人。一方面，雇主希望聘用那些對(duì)網(wǎng)絡(luò)安全職業(yè)道路充滿(mǎn)激情的員工。此外，他們很看重員工是否具備較強(qiáng)的批判性思維能力。最后，也許是最重要的一點(diǎn)是，他們希望雇用具有內(nèi)在好奇心和學(xué)習(xí)意愿的員工。如果您可以迅速掌握新信息并分析，還能將復(fù)雜主題提煉成簡(jiǎn)單語(yǔ)言，那么雇主將會(huì)想法留下你，不論你是否持有耀眼的證書(shū)。