「我是黑客」，有證嗎？

隨著全球信息技術已廣泛應用到企業商務系統、金融業務系統、政府部門等，因此，為保護機密信息不受黑客和間諜的入侵及破壞，各系統對網路安全的問題日益重視，在此方面的投資比例亦日趨增大。

為此，建立一套統一的標準，培養合格的信息安全專業人員來應付網路安全的需要顯得尤為迫切。

不可否認，實際工作中公司看重的是工作能力和經驗，但資格認證仍然是不可缺少的敲門磚。

安在（ID：AnZer_SH）盤點了國內網路安全領域有哪些流行的證書？所謂流行即這些證書被僱主所認可，有了證就有更好的薪資待遇。

當然，天賦異稟、無師自通、能力出眾的大牛請繞過。

先來一張圖看看，網路安全大牛有哪些證書？

1. CISA（國際信息系統審計師）

這個認證是由信息系統審計與控制協會ISACA發起的，是信息系統審計、控制與安全等專業領域中取得成績的象徵。CISA適用於企業信息系統管理人員、IT管理人員、IT審計人員、或信息化諮詢顧問、信息安全廠商或服務提供商、和其他對信息系統審計感興趣的人員。

考試費用625美金，在線報名和早期報名會節省一部分費用。

包括五部分內容，各自所佔比例如下：

2. CISSP((ISC)²註冊信息系統安全專家)

CISSP是（Certified information System Security Professional國際註冊信息系統安全認證專家）的縮寫，一種反映信息系統安全從業人員水平的證書，CISSP可以證明證書持有者具備了符合國際標準要求的信息安全知識和經驗能力，目前已經得到了全世界廣泛的認可。

CISSP是一種反映信息系統安全從業人員資質水平的證書，它可為從事信息安全領域工作的人士提高專業資歷提供新的機會和更大便利。

CISSP認證考試由（ISC）2組織與管理，參加CISSP認證的人員需要遵守CISSP道德規範（Code ofEthics），同時要有在信息系統安全通用知識框架（CBK）的十個領域之中的一個或一個以上領域中具有最少3年的直接工作經驗。

考試費用是599美金，截至2016年12月底全球有160多個國家的10萬人獲得了CISSP證書。亞洲是除美國本土外擁有CISSP最多的地區，目前在亞洲地區又以香港、新加坡和韓國為主。ISC2公布截止到2016年3月1日，ISC2官方顯示大陸區的CISSP的持證人數為1183人。

CISSP標準知識領域共有十個部分，具體如下：

3. CEH（道德黑客）

它是一個中立的技術認證，由美國國際電子商務顧問局（美國國際電子商務顧問局)推出，延自美國聯邦調查局（FBI）訓練人才課程。黑客攻防是信息安全領域中，最引人注意的部分，CEH就是學習如何面對並防範駭客的攻擊行為，不但要了解病毒、木馬或蠕蟲入侵行為，更要培養黑客的攻防技巧。

考試費用是500美元，考試內容包括以下：

1. Ethicand Legality (黑客道德與法律法規)

2.Footprinting (踩點)

3.Scanning (掃描)

4.Enumeration (列舉)註：列舉是指攻擊者主動探查一個網路以發現其中有什麼以及哪些可以被他利用。

5. SystemHacking (系統入侵)

6.Trojans and Backdoors (木馬和後門)

7.Sniffers (數據包監聽)

8. Denialof Service (拒絕服務)

9. SocialEngineering (社會工程攻擊)

10.Session Hijacking (會話劫持)

11.Hacking Web Servers (網站入侵)

12. WebApplication Vulnerabilities (網站應用程序漏洞)

13. WebBased Password Cracking Techniques (網站密碼破解技術)

14. SQLInjection (資料庫注入)

15.Hacking Wireless Networks (無線網路入侵)

16. Virusand Worms (病毒與蠕蟲)

17.Physical Security (物理安全)

18.Hacking Linux (linux系統入侵)

19.Evading Firewalls, IDS and Honeypots (防火牆、入侵檢測系統和蜜罐系統規避技術)

20.Buffer Overflows (緩衝區溢出)

21.Cryptography (密碼學)

22.Penetration Testing (滲透測試)

CEH新版本加入的新知識：

著眼於新的攻擊供應商

Mobile平台和平板電腦的威脅

最新動態網頁和移動威脅

新的漏洞被解決

Heartbleed

Shellshock

雲安全

貴賓犬

密碼學案例分析

新的安全法規和標準

使用手機進行黑客攻擊

最新的木馬，黑客和後門程序

新的操作環境和更新Windows安全問題

超過40％的新實驗室，並在1500新的工具被添加

CISP是對信息安全人員資質的認可，英文為Certified Information Security Professional (簡稱CISP)，CISP系經信息安全產品測評認證中心（已改名信息安全測評中心）實施國家認證。CISP是強制培訓的。如果想參加CISP考試，必須要求出具授權培訓機構的培訓合格證明。

CISP知識體系結構共包含五個知識類，分別為：

1. 信息安全保障概述：介紹了信息安全保障的框架、基本原理和實踐，它是註冊信息安全專業人員首先需要掌握的基礎知識。

2. 信息安全技術：主要包括密碼技術、訪問控制、審計監控等安全技術機制，網路、操作系統、資料庫和應用軟體等方面的基本安全原理和實踐，以及信息安全攻防和軟體安全開發相關的技術知識和實踐。

3. 信息安全管理：主要包括信息安全管理體系建設、信息安全風險管理、安全管理措施等相關的管理知識和實踐。

4. 信息安全工程：主要包括信息安全相關的工程的基本理論和實踐方法。

5. 信息安全標準法規：主要包括信息安全相關的標準、法律法規、政策和道德規範，是註冊信息安全專業人員需要掌握的通用基礎知識。

「註冊信息安全員」（英文為Certified Information Security Member，簡稱CISM）資質是針對在信息安全企業、信息安全諮詢服務機構、信息安全測評認證機構（包含授權測評機構）、社會各組織、團體、大專院校、企事業單位有關信息系統（網路）建設、運行和應用管理的技術部門（含標準化部門）中從事信息安全工作的人員，獲得此註冊資質，表明具備信息安全員的資質和能力，系經信息安全產品測評認證中心實施的國家認證。

「註冊信息安全員」知識體系覆蓋信息安全保障基礎、信息安全技術、信息安全管理、信息安全工程以及信息安全標準法規等領域。

「註冊信息安全員」的培訓將為學員提供全面、系統、專業的基礎知識和技能學習。在技術領域，學員將能了解掌握和提高操作系統安全、防火牆、防病毒、入侵檢測、密碼技術和應用等安全技術知識和能力；在管理領域，學員將能了解信息安全管理和治理的基礎知識，學習和建立在開展風險評估、災難恢復、應急響應工作中所需的國家政策要求、相關知識和實踐能力；在工程領域，學員將能學習和了解開展信息安全工程管理、諮詢和監理的實踐及經驗；在標準和法律法規領域，學員將能全面了解國家信息安全相關的法律法規以及國內外信息安全相關的標準和實踐經驗。

6. ISO27000

ISO（國際標準化組織）已為信息安全管理體系標準預留了ISO/IEC 27000系列編號

規劃的ISO27000系列包含下列標準

1. ISO 27000原理與術語Principles and vocabulary

2. ISO 27001信息安全管理體系—要求ISMS Requirements (以BS 7799-2為基礎)

3. ISO 27002信息技術—安全技術—信息安全管理實踐規範(ISO/IEC 17799:2005)

4. ISO 27003信息安全管理體系—實施指南ISMSImplementation guidelines

5. ISO 27004信息安全管理體系—指標與測量ISMS Metrics andmeasurement

6. ISO 27005信息安全管理體系—風險管理ISMS Riskmanagement

7. ISO 27006信息安全管理體系—認證機構的認可要求ISMSRequirements for the 8. accreditation of bodies providing certification

9. ISO 27007信息技術-安全技術-信息安全管理體系審核員指南

通過制定和實施企業ISO27001信息安全管理體系能夠規範企業員工的行為，保證各種技術手段的有效實施，從整體上統籌安排各種軟硬體，保證信息安全體系協同工作的高效、有序和經濟性。

ISO27001信息安全管理體系不僅可以在信息安全事故發生后能夠及時採取有效的措施，防止信息安全事故帶來巨大的損失，而更重要的是ISO27001信息安全管理體系能夠預防和避免大多數的信息安全事件的發生。

信息安全管理就是對信息安全風險進行識別、分析、採取措施將風險降到可接受水平並維持該水平的過程。企業的信息安全管理不是一勞永逸的，由於新的威脅不斷出現，信息安全管理是一個相對的、動態的過程，企業能做到的就是要不斷改進自身的信息安全狀態，將信息安全風險控制在企業可接受的範圍之內，獲得企業現有條件下和資源能力範圍內最大程度的安全。

在信息安全管理領域，「三分技術，七分管理」的理念已經被廣泛接受。通過閱讀文獻可以發現，早期的信息安全研究主要集中在信息安全技術方面，20世紀90年代前後，信息安全在管理方面的研究才 開始受到重視並逐漸發展起來。

ISO20000是面向機構的IT服務管理標準，目的是提供建立、實施、運作、監控、評審、維護和改進IT服務管理體系(ITSM)的模型。建立IT服務管理體系(ITSM)已成為各種組織，特別是金融機構、電信、高科技產業等管理運營風險不可缺少的重要機制。

ISO 20000讓IT管理者有一個參考框架用來管理IT服務，完善的IT管理水平也能通過認證的方式表現出來。

ISO/IEC27001:2005的名稱是 「Information technology- Security techniques-Information securitymanagement systems-requirements」，可翻譯為「信息技術-安全技術-信息安全管理體系 要求」。它規定信息安全管理體系要求與信息安全控制要求，是一個組織的全面或部分信息安全管理體系評估的基礎，它可以作為對一個組織的全面或部分信息安全管理體系進行評審認證的標準。

前者針對整體的信息服務管理，後者針對信息安全管理。

CCIE安全認證既是思科認證互聯網專家安全認證，是普及率比較高的一個認證。網路安全性持續增長，在IT行業的影響也日益擴大。網路安全飽含熱情，CCIE安全認證就是認證挑戰，將引領進入管理及創建終端到終端安全網路的職業生涯。

包括以下內容：

1. 常用網路概念

2. 應用協議

3. Cisco IOS的細節問題以及網路安全性

4. 網路安全協議

5. 操作系統與Cisco安全應用程序

6. 網路安全技術

7. 網路安全策略、漏洞及保護措施

8. CCIE網路安全認證自學實驗

1. Fortinet NSE(Network Security Expert)

2. PaloAlto Certified Network Security Engineer（CNSE）

3. 華為認證HCIESecurity

這些安全廠商認證，包括防火牆、WAF的配置，包括防火牆策略、VPN、防病毒、IPS的配置，也是乙方甲方網路安全從事人員熱門的安全認證。

有了這些認證你可以拿到哪些高大上的offer？

隨著信息安全形勢的不斷變化，各大企業對網路安全行業人才的需求也是越來越旺盛，信息安全專業也變得炙手可熱，當然，除了必須的專業能力，有幾本高大上的專業證書伴身，未嘗不是如虎添翼。

【

】

【畢裕：從電腦少年到威脅獵人 他要將賬號安全做到極致】

安在

（ID:AnZer_SH）

新銳|大咖|白帽|深度