引子：

随着全球性信息化的深入发展，信息网络技术已广泛应用到企业商务系统、金融业务系统、政府部门信息系统等，由于Internet具有开放性、国际性和自由性等特点，因此为保护机密信息不受黑客和间谍的入侵及破坏，各系统对网络安全的问题日益重视，在此方面的投资比例亦日趋增大。为此，建立一套统一的标准，培养合格的信息安全专业人员来应付网络安全的需要显得尤为迫切。

不可否认，实际工作中公司看重的是工作能力和经验，但资格认证是不可缺少的敲门砖，有个认证才有机会找到好的工作。天赋异禀、无师自通、能力出众的大牛请绕过。

现在来看看国内网络安全领域有哪些流行的证书？所谓流行即这些证书被雇主所认可，有了证就有更好的薪资待遇。

 先来一张图看看，网络安全大牛有哪些证书？

1.    CISA（国际信息系统审计师）

这个认证是由信息系统审计与控制协会ISACA发起的，是信息系统审计、控制与安全等专业领域中取得成绩的象征。CISA适用于企业信息系统管理人员、IT管理人员、IT审计人员、或信息化咨询顾问、信息安全厂商或服务提供商、和其他对信息系统审计感兴趣的人员。考试费用625美金，在线报名和早期报名会节省一部分费用。

包括五部分内容，各自所占比例如下：

1、信息系统审计过程（占14%）

2、IT控制与治理（占14%）

3、信息系统获取、开发和实施（占19%）

4、信息系统操作、维护与支付（占23%）

5、信息资产的保护（占30%)

2.    CISSP((ISC)²注册信息系统安全专家)

CISSP是（Certified information System Security Professional 国际注册信息系统安全认证专家）的缩写，一种反映信息系统安全从业人员水平的证书，CISSP可以证明证书持有者具备了符合国际标准要求的信息安全知识和经验能力，目前已经得到了全世界广泛的认可，CISSP是一种反映信息系统安全从业人员资质水平的证书，它可为从事信息安全领域工作的人士提高专业资历提供新的机会和更大便利。CISSP认证考试由（ISC）2组织与管理，参加CISSP认证的人员需要遵守CISSP 道德规范（Code of　Ethics），同时要有在信息系统安全通用知识框架（CBK）的十个领域之中的一个或一个以上领域中具有最少3年的直接工作经验。考试费用是599美金，截至2016年12月底全球有160多个国家的10万人获得了CISSP证书。亚洲是除美国本土外拥有CISSP最多的地区，目前在亚洲地区又以香港、新加坡和韩国为主。ISC2 公布截止到2016年3月1日，ISC2官方显示中国大陆区的CISSP的持证人数为1183人。

CISSP标准知识领域共有十个部分，具体如下：

信息安全与风险管理（Information Security and Risk Management）

安全结构与设计（SecurityArchitecture and Design）

访问控制（AccessControl）

应用安全（ApplicationSecurity）

操作安全（OperationsSecurity）

物理与环境安全（Physicaland Environment Security）

密码学（Cryptography）

电信与网络安全（Telecommunications,and Network,Security）

业务连续性与灾难恢复（Business Continuity and Disaster Recovery）

法律、符合性与调查（Law, Compliance andInvestigations）

3.    CEH（道德黑客）

它是一个中立的技术认证，由美国国际电子商务顾问局（美国国际电子商务顾问局)推出，延自美国联邦调查局（FBI）训练人才课程。黑客攻防是信息安全领域中，最引人注意的部分，CEH就是学习如何面对并防范骇客的攻击行为，不但要了解病毒、木马或蠕虫入侵行为，更要培养黑客的攻防技巧。考试费用是500美元，考试内容包括以下：

1. Ethicand Legality (黑客道德与法律法规)

2.Footprinting (踩点)

3.Scanning (扫描)

4.Enumeration (列举)注：列举是指攻击者主动探查一个网络以发现其中有什么以及哪些可以被他利用。

5. SystemHacking (系统入侵)

6.Trojans and Backdoors (木马和后门)

7.Sniffers (数据包监听)

8. Denialof Service (拒绝服务)

9. SocialEngineering (社会工程攻击)

10.Session Hijacking (会话劫持)

11.Hacking Web Servers (网站入侵)

12. WebApplication Vulnerabilities (网站应用程序漏洞)

13. WebBased Password Cracking Techniques (网站密码破解技术)

14. SQLInjection (数据库注入)

15.Hacking Wireless Networks (无线网络入侵)

16. Virusand Worms (病毒与蠕虫)

17.Physical Security (物理安全)

18.Hacking Linux (Linux系统入侵)

19.Evading Firewalls, IDS and Honeypots (防火墙、入侵检测系统和蜜罐系统规避技术)

20.Buffer Overflows (缓冲区溢出)

21.Cryptography (密码学)

22.Penetration Testing (渗透测试)

CEH新版本加入的新知识：

着眼于新的攻击供应商

云安全

Mobile平台和平板电脑的威胁

最新动态网页和移动威胁

新的漏洞被解决

Heartbleed

Shellshock

贵宾犬

密码学案例分析

使用手机进行黑客攻击

最新的木马，黑客和后门程序

新的安全法规和标准

超过40％的新实验室，并在1500新的工具被添加

新的操作环境和更新Windows安全问题

4.    CISP(注册信息安全专业人员)

CISP是中国对信息安全人员资质的认可，英文为Certified Information Security Professional (简称CISP)，CISP系经中国信息安全产品测评认证中心（已改名中国信息安全测评中心）实施国家认证。CISP是强制培训的。如果想参加CISP考试，必须要求出具授权培训机构的培训合格证明。

CISP知识体系结构共包含五个知识类，分别为：

信息安全保障概述：介绍了信息安全保障的框架、基本原理和实践，它是注册信息安全专业人员首先需要掌握的基础知识。

信息安全技术：主要包括密码技术、访问控制、审计监控等安全技术机制，网络、操作系统、数据库和应用软件等方面的基本安全原理和实践，以及信息安全攻防和软件安全开发相关的技术知识和实践。

信息安全管理：主要包括信息安全管理体系建设、信息安全风险管理、安全管理措施等相关的管理知识和实践。

信息安全工程：主要包括信息安全相关的工程的基本理论和实践方法。

信息安全标准法规：主要包括信息安全相关的标准、法律法规、政策和道德规范，是注册信息安全专业人员需要掌握的通用基础知识。

5.    CISM(注册信息安全员)

“注册信息安全员”（英文为Certified Information Security Member，简称CISM）资质是我国针对在信息安全企业、信息安全咨询服务机构、信息安全测评认证机构（包含授权测评机构）、社会各组织、团体、大专院校、企事业单位有关信息系统（网络）建设、运行和应用管理的技术部门（含标准化部门）中从事信息安全工作的人员，获得此注册资质，表明具备信息安全员的资质和能力，系经中国信息安全产品测评认证中心实施的国家认证。

“注册信息安全员”知识体系覆盖信息安全保障基础、信息安全技术、信息安全管理、信息安全工程以及信息安全标准法规等领域。“注册信息安全员”的培训将为学员提供全面、系统、专业的基础知识和技能学习；在技术领域，学员将能了解掌握和提高操作系统安全、防火墙、防病毒、入侵检测、密码技术和应用等安全技术知识和能力；在管理领域，学员将能了解信息安全管理和治理的基础知识，学习和建立在开展风险评估、灾难恢复、应急响应工作中所需的国家政策要求、相关知识和实践能力；在工程领域，学员将能学习和了解开展信息安全工程管理、咨询和监理的实践及经验；在标准和法律法规领域，学员将能全面了解国家信息安全相关的法律法规以及国内外信息安全相关的标准和实践经验。

6.    ISO2700*

ISO（国际标准化组织）已为信息安全管理体系标准预留了ISO/IEC 27000系列编号

规划的ISO27000系列包含下列标准

ISO 27000原理与术语Principles and vocabulary

ISO 27001信息安全管理体系—要求 ISMS Requirements (以BS 7799-2为基础)

ISO 27002信息技术—安全技术—信息安全管理实践规范 (ISO/IEC 17799:2005)

ISO 27003信息安全管理体系—实施指南ISMSImplementation guidelines

ISO 27004信息安全管理体系—指标与测量ISMS Metrics andmeasurement

ISO 27005信息安全管理体系—风险管理ISMS Riskmanagement

ISO 27006信息安全管理体系—认证机构的认可要求ISMSRequirements for the accreditation of bodies providing certification

ISO 27007信息技术-安全技术-信息安全管理体系审核员指南

通过制定和实施企业ISO27001信息安全管理体系能够规范企业员工的行为，保证各种技术手段的有效实施，从整体上统筹安排各种软硬件，保证信息安全体系协同工作的高效、有序和经济性。ISO27001信息安全管理体系不仅可以在信息安全事故发生后能够及时采取有效的措施，防止信息安全事故带来巨大的损失，而更重要的是ISO27001信息安全管理体系能够预防和避免大多数的信息安全事件的发生。

信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的，由于新的威胁不断出现，信息安全管理是一个相对的、动态的过程，企业能做到的就是要不断改进自身的信息安全状态，将信息安全风险控制在企业可接受的范围之内，获得企业现有条件下和资源能力范围内最大程度的安全。

在信息安全管理领域，“三分技术，七分管理”的理念已经被广泛接受。通过阅读文献可以发现，早期的信息安全研究主要集中在信息安全技术方面，20世纪90年代前后，信息安全在管理方面的研究才 开始受到重视并逐渐发展起来。

再比较下ISO20000与ISO27000

ISO20000是面向机构的IT服务管理标准，目的是提供建立、实施、运作、监控、评审、维护和改进IT服务管理体系(ITSM)的模型。建立IT服务管理体系(ITSM)已成为各种组织，特别是金融机构、电信、高科技产业等管理运营风险不可缺少的重要机制。

ISO 20000让IT管理者有一个参考框架用来管理IT服务，完善的IT管理水平也能通过认证的方式表现出来。

ISO/IEC27001:2005的名称是 “Information technology- Security techniques-Information securitymanagement systems-requirements”，可翻译为“信息技术- 安全技术-信息安全管理体系 要求”。它规定信息安全管理体系要求与信息安全控制要求，是一个组织的全面或部分信息安全管理体系评估的基础，它可以作为对一个组织的全面或部分信息安全管理体系进行评审认证的标准。

前者针对整体的信息服务管理，后者针对信息安全管理。

7.    CCIE Security

CCIE 安全认证既是思科认证互联网专家安全认证，是中国普及率比较高的一个认证。网络安全性持续增长，在IT行业的影响也日益扩大。网络安全饱含热情，CCIE安全认证就是认证挑战，将引领进入管理及创建终端到终端安全网络的职业生涯。

包括以下内容

包括以下内容
1、常用网络概念
2、应用协议
3、Cisco IOS的细节问题以及网络安全性
4、网络安全协议
5、操作系统与Cisco安全应用程序
6、网络安全技术
7、网络安全策略、漏洞及保护措施
8、CCIE网络安全认证自学实验

8.    其他安全厂商的认证

Fortinet NSE(Network Security Expert)

PaloAlto Certified Network Security Engineer（CNSE）

华为认证HCIESecurity

这些安全厂商认证，包括防火墙、WAF的配置，包括防火墙策略、VPN、防病毒、IPS的配置，也是乙方甲方网络安全从事人员热门的安全认证。

有了这些认证你可以拿到哪些高大上的offer？

最后：
古希腊哲学家赫拉克利特因其作为辩证法的奠基人闻名于世，他曾经写道“一切皆流，无物常住”，过去几年中，国际上几乎所有行业和组织面临的信息安全风险的局势无不体现了赫氏的这一学说。变化和发展是永恒的，信息安全风险总是处在持续演进中，攻击者的手段依然会层出不穷。因此信息安全管理的实践和标准都在不断发展，我们唯一要做的就是保持警惕，随时准备抵御风险。