总有人说,成为职场达人不是看你多么聪明,而是看你的业务量!如果你的业务量突然呈现指数型的增长,说明你已经进入了职场的达人境界,距离大(tu)成(tou)也就不远了。
但e小安却不能认同这样的看法,安排的工作再多,却没有相对应的能力去完成,这也能进入我们达人圈嘛?显然是不可以的。
问:那么,想成为信息安全职场的达人,应该做些什么呢?
答:当然是先要了解这些必不可少的证书了。
今天,e小安就给各位小伙伴介绍CISP、CISSP、CISP-PTE的相关信息。
证书简介
CISP(Certified Information Security Professional)即注册信息安全专业人员
CISP它的基本职能是对信息系统安全提供技术保障,是相关信息安全企业,信息安全咨询服务机构、信息安全测评认证机构(包含授权测评机构)、社会各组织、团体、企事业相关信息系统(网络)建设、运行和应用管理的技术部门(含标准化部门)必备的专业岗位人员。CISP所具备的专业资质和能力系经中国信息安全测评中心实施国家认证。是国家对信息安全人员资质的最高认可。
CISSP(Certified Information Systems Security Professional)即(ISC)²注册信息系统安全专家
CISSP能反映信息系统安全专业人员水平的证书,可以证明证书持有者具备了符合国际标准要求的信息安全知识和经验能力,已经得到了全球范围的广泛认可。由(ISC)²组织和管理,是目前全球范围内最权威,最专业,最系统的信息安全认证。
CISP-PTE(Certified Information Security Professional - Penetration Test Engineer)即注册信息安全专业人员-渗透测试工程师
注册信息安全专业人员-渗透测试工程师,专注于培养考核高级应用安全人才,是业界首个理论与实践相结合的技能水平注册考试,是国内唯一认可的渗透测试认证,也是国家对信息安全人员资质的最高认可。
对于CISP-PTE,e小安在这里还要多说几句,从《中国信息安全从业人员现状调研报告(2018年度)》中可以看到,该证书是不少从业人员期望获得的主要证书之一。
图片来自《中国信息安全》杂志
认证机构
中国信息安全测评中心负责核发CISP与CISP-PTE的证书,都是由政府背景做背书的,是国家对信息安全人员资质的最高认可。
CISSP则属于国际认证,由(ISC)2国际信息系统安全认证协会提供证书,在国际上具有较强的说服力。
考试形式
CISP考试题型均为单项选择题,共60题,每题1分,主观题占40分,得到70分以上(含70分)为通过。
CISSP与CISP考试形式基本相同,之前只有英文试题,自2015年7月起新增了中文考试。
CISP-PTE的考试形式为实操渗透测试,主要是手动进行操作,这是业界首个理论与实践相结合的技能水平注册考试。
知识体系
CISP与CISSP
两个认证都是"一英里宽一英寸深"的知识体系,是大而全的知识体系。目的是让学员有信息安全的总体知识概括,简单讲,两个认证基本在定位、知识体系上都是一样的。下面以CISP的知识体系结构为例进行说明:
CISP知识体系结构共包含五个知识类,分别为:
信息安全保障概述:介绍了信息安全保障的框架、基本原理和实践,它是注册信息安全专业人员首先需要掌握的基础知识。
信息安全技术:主要包括密码技术、访问控制、审计监控等安全技术机制,网络、操作系统、数据库和应用软件等方面的基本安全原理和实践,以及信息安全攻防和软件安全开发相关的技术知识和实践。
信息安全管理:主要包括信息安全管理体系建设、信息安全风险管理、安全管理措施等相关的管理知识和实践。
信息安全工程:主要包括信息安全相关的工程的基本理论和实践方法。
信息安全标准法规:主要包括信息安全相关的标准、法律法规、政策和道德规范,是注册信息安全专业人员需要掌握的通用基础知识。
CISP-PTE
PTE属于渗透测试方向的专项考试,属于特定领域。也是国内首个渗透测试领域权威认证。
CISP-PTE共包括五个知识类,分别为:
WEB安全:主要包括HTTP协议、注入漏洞、XSS漏洞、SSRF漏洞、CSRF漏洞、文件处理漏洞、访问控制漏洞、会话管理漏洞、代码审计等相关的技术知识和实践。
中间件安全:主要包括Apache、IIS、Tomcat、weblogic、websphere、Jboss等相关的技术知识和实践。
操作系统安全:主要包括Windows操作系统、Linux操作系统相关技术知识和实践。
数据库安全:主要包括MsSQL数据库、MySQL数据库、Oracle数据库、Redis数据库相关技术知识和实践。
渗透测试方法:主要包括信息收集、漏洞发现、漏洞利用相关技术知识和实践。
报考条件
CISP
教育及工作经历:
硕士研究生以上,具有1年工作经历;
或本科毕业,具有2年工作经历;
或大专毕业,具有4年工作经历。
其中,至少具备1年从事信息安全有关的工作经历。
CISSP
必须具备至少五年的工作经验,且工作经验应为CBK规定的8个知识域中的2个或多个范畴。
拥有本科或研究生学历,需要四年工作经验;
CISP-PTE
无需学历和工作经验,可以直接报考,是一项考验能力的水平测试。
工作方向
CISP在政府、国企及重点行业的管理岗位工作;
CISSP可以出国或选择外企的安全岗位工作;
CIPS-PTE专攻渗透测试领域,可以前往企业的安全服务部门就职。而且因为报考条件比较宽松,哪怕只是学生都可以考取此证,完全只是考验个人的专业能力,所以在应聘工作中更容易得到公司认可,且能够得到不菲的薪酬。