网络安全证书正成为每个IT专业人士职业生涯中不可或缺的一部分。在各种论坛中,许多初学者提出类似的问题:“证书A或B是一个好的选择吗?”虽然证书本身并不能直接带来就业机会,就像金钱不能直接带来幸福一样,但它们可以显著增强我们在进入就业市场时的简历。认真准备这些证书的过程将为我们提供网络安全市场上所需的知识和技能。它们不仅是拥有专业知识的证明,还可以打开通往更好工作机会、更高薪资和更广泛职业发展的门。由于越来越多不可靠的骗子承诺轻松进入网络安全领域,我决定列出国际雇主最看重的一些证书排名。
如果您之前曾寻找有关有价值的网络安全证书的信息,您可能会遇到以下综合列表:Security Certification Roadmap。特别是如果您在寻找某个特定领域的证书,值得一看。
根据Indeed网站对美国就业市场的分析,CISSP证书持有者的需求量最大:
另一方面,云安全领域的专业人士持有CCSK证书可以获得最高的薪资:
下面是图表形式的比较:
网络安全证书可以分为几个级别,从基础、中级到高级,每个级别针对不同的专业人士群体和不同的教育需求。以下排名考虑了行业认可度、市场薪资、认证成本、获取难度以及证书知识的实际应用等主要标准。
1. 第一级 – “你已经开始了!”
- CompTIA A+ 438美元
这是一个基础证书,涵盖了与计算机和移动技术、软件以及操作系统相关的广泛技能。它适用于刚开始IT职业生涯的人或那些希望证明自己基本技术技能的人。CompTIA A+考试分为两部分:220-1001和220-1002。220-1001考试重点关注计算机硬件基础知识、网络、连接性问题解决以及现代技术,如移动设备、物联网和云类型。220-1002考试则侧重于操作系统、安全性、操作程序和客户服务技能。CompTIA A+没有正式的先决条件,但建议在参加考试前拥有9-12个月的工作经验或同等的实际经验。
- CC – Certified in Cybersecurity ISC2 50美元* (如果您是ISC2会员,50美元即可免费获得)
CC证书非常适合学生、新毕业生以及希望进入网络安全领域的行业转行者。它也适用于希望理解和加强安全方面知识的技术工作者。CC证书考试侧重于测试四个主要领域的知识:网络安全原则和概念、安全管理、操作安全方面和事件响应。考试旨在检验候选人理解和应用基本网络安全实践的能力。
2. 初级 – “你已经迈出了第一步”
- CompTIA Network+ 319美元
CompTIA Network+非常适合已经具备IT基础知识的人,例如持有CompTIA A+证书的人,他们希望在网络专业化方面进一步发展技能。这也是从事网络技术员、网络管理员、系统管理员和支持专家的理想选择。CompTIA Network+考试涵盖了网络的各个方面,包括:配置、管理和维护关键网络设备,使用如交换机和路由器等设备来分割网络流量并创建高效的网络,实施网络安全标准,解决网络问题,理解网络协议、网络基础设施元素和与操作和安全相关的网络服务。
- CompTIA PenTest+ 349美元
CompTIA PenTest+证书非常适合安全专家、渗透测试人员、安全分析师、安全工程师以及所有希望在信息安全领域工作的人员,他们希望在 渗透测试方面进一步发展技能。CompTIA PenTest+考试涵盖五个主要领域,这些领域对有效执行渗透测试至关重要。第一个领域,计划和侦察,集中于测试准备、资源侦察和攻击计划。下一个领域,扫描和利用,涉及系统扫描以识别漏洞和利用发现的弱点。第三个领域,文档和报告,要求准备详细的报告和安全建议。分析和沟通,第四个领域,专注于分析测试结果和向IT团队和管理层传达建议的能力。最后一个领域,渗透测试的方法和技术,涉及渗透测试中使用的各种工具和方法的知识。
- SSCP – Systems Security Certified Practitioner ISC2 249美元
SSCP证书非常适合系统、网络和安全管理员,IT支持专家和负责IT系统运行和安全的工程师。它也对那些希望成为信息安全管理员的人有价值。SSCP考试涵盖七个主要知识领域,这些领域对IT安全专家至关重要。这些领域包括:安全管理和管理,专注于系统安全的整体管理;网络和通信安全,涉及数据在网络传输中的保护;访问控制,管理用户对资源的访问;监控和分析,专注于通过监控系统发现异常;事件响应和恢复,准备和管理安全事件的后果;加密,确保数据通过加密的安全性;以及风险管理、响应和恢复,涵盖识别和管理威胁以保护组织资源。
- ITIL® 4 Foundation – IT服务管理认证 383美元
ITIL® 4 Foundation证书是ITIL 4认证的基础级别,提供现代实践和原则下的IT服务管理(ITSM)知识。该认证专注于介绍ITIL概念和术语,提供对IT服务管理系统结构和基本要素的理解。ITIL 4 Foundation课程和考试涵盖了通过IT服务创造业务价值、关键管理原则和实践、服务价值链管理模型以及服务管理的四个维度等主题。这一认证对于那些希望了解如何通过IT服务管理有效支持和提升业务价值的IT专业人员特别有价值。非常适合IT经理、支持团队领导、IT分析师和其他希望更好地理解和实施ITIL实践的人。
3. 中级 – “你已经掌握了一些知识”
- CompTIA CySA+ 359美元
CompTIA CySA+(网络安全分析师)证书是为IT安全专业人士设计的中级证书,专注于检测和防止网络威胁所需的分析技术。CompTIA CySA+考试涵盖与网络监控、威胁分析、结果解释和建议纠正措施相关的技能,非常适合在安全操作中工作并希望在事件分析和响应方面进一步发展的人员。这一证书准备了与信息风险管理、审计和事件响应相关的内容,以及实施预防措施以提高企业安全性。CySA+适用于已经拥有IT和安全领域经验的人,通常由安全分析师、安全工程师和IT安全经理选择,他们希望巩固自己作为网络安全专家的地位。
- CCNA – 思科认证网络助理 330美元
CCNA(思科认证网络助理)证书是计算机网络领域最受推崇和公认的证书之一。它适用于网络专业人士,他们寻求对网络概念的深入理解以及在基于思科技术的网络配置、管理和故障排除方面的实践技能。CCNA考试涵盖了多个主题,如网络基础知识、路由和交换、无线网络、网络安全以及云计算。拥有CCNA证书表明考生具备设计、配置、管理和诊断基于思科技术的计算机网络所需的知识和技能。对于那些从事或希望从事网络管理员、网络工程师、技术支持专家或网络分析师的人来说,这是职业生涯中的重要一步。
- CEH – EC-Council 认证道德黑客 1199美元
尽管在资深业内人士中因其理论性而常被嘲笑,但它在各类招聘人员中广受欢迎。CEH证书适用于希望获得进行渗透测试所需技能和知识的IT安全专业人士,并从潜在攻击者的角度评估IT系统的安全性。CEH培训参与者识别网络和系统中的弱点和漏洞,使用与黑客相同的工具和技术,但在合法和道德的方式下。CEH认证课程涵盖广泛的主题,包括网络扫描、渗透测试、病毒和蠕虫分析、逆向工程、拒绝服务攻击的漏洞检查以及其他对网络基础设施和应用程序的威胁。CEH适用于安全分析师、系统和网络管理员、审计师以及负责组织安全的专业人士。此认证不仅提高了对威胁的认识,还提升了职业资质,开启了在网络安全领域的职业发展道路。
- GSEC – GIAC 安全基础证书 949美元
GSEC(GIAC 安全基础证书)由全球信息保证认证(GIAC)颁发,是网络安全领域的重要证书之一,适用于需要理论和实践视角下信息安全知识的IT专业人士 。该证书确认在风险管理和分析、网络攻击防御、加密、操作系统安全和网络协议管理基础等方面的技能。GSEC认证课程强调保护组织IT系统和网络所需的实际技能,涵盖如密码管理、恶意软件防护以及入侵预防和检测技术等主题。该证书在网络安全领域的雇主中非常受欢迎,是那些希望在该领域发展职业生涯的人的重要一步。GSEC非常适合系统管理员、安全专业人士以及希望理解和实施有效防御策略的人员。
- Google 专业云安全工程师 200美元
Google的专业云安全工程师证书适用于希望在Google Cloud平台(GCP)上确认其安全基础设施技能的安全工程师。该证书专注于在Google Cloud中设计、开发和管理安全基础设施,利用该环境中可用的最佳实践和安全工具。考生应熟悉云网络配置、访问管理、风险管理、数据分析和云应用保护等领域。该认证还要求了解Google Cloud中负责监控和应对安全事件的工具和技术,如云安全指挥中心(SCC)、Cloud Armor、Identity-Aware Proxy等。专业云安全工程师证书确认设计和实施符合组织安全政策和Google推荐的安全解决方案的能力。它适用于IT安全领域的专业人士,包括安全架构师、安全工程师以及系统和网络管理员,他们专注于使用Google Cloud技术工作或希望与之合作。
- AWS 认证安全专家 300美元
AWS 认证安全专家证书面向具有丰富AWS平台安全应用和基础设施保护知识和技能的经验丰富的IT专业人士。该高级认证确认在AWS上有效保护数据和系统的能力,特别关注云中复杂的安全问题。为了获得此认证,考生必须在几个关键领域展示技能,包括识别和减轻威胁、实施安全控制、自动化云安全、身份和访问管理以及数据保护。该证书还涵盖了AWS上可用的安全工具和功能的知识,如AWS Identity and Access Management (IAM)、AWS Key Management Service (KMS)、AWS Security Hub、AWS Config和Amazon GuardDuty。AWS 认证安全专家证书适用于负责保护AWS环境中的应用和数据的安全专业人士、云架构师、安全工程师和IT审计师。这一认证不仅确认技术能力,还提高了专业人士的市场价值,帮助他们在AWS安全领域树立专业形象。
4. 高级 – “做得不错!”
- CompTIA CASP+ 高级安全从业者 452美元
CompTIA CASP+(高级安全从业者)认证是网络安全领域的高级认证,面向希望在风险管理、安全分析和实施高级安全解决方案方面发展技能的有经验的IT专业人士。CASP+是CompTIA提供的最先进的认证之一,适用于那些直接处理复杂IT环境安全的人。CASP+考试侧重于评估和集成企业架构中的安全解决方案、管理组织风险、分析新旧威胁的实际和分析技能。考试涵盖了广泛的主题,包括架构安全性、工程和安全系统集成、威胁分析、操作研究、风险管理、事件响应以及安全策略和管理。CASP+非常适合担任安全分析师、安全架构师、安全专家和IT安全经理的人员,他们需要高级知识和技能来设计和实施全面的安全策略。此认证在行业内享有盛誉,通常由寻求高级安全专家的雇主要求。
- GSE – GIAC 安全专家 3108美元
GSE(GIAC 安全专家)证书是GIAC(全球信息保证认证)提供的最具声望和高级的证书之一。要求通过六个单独的考试。该证书面向希望在网络安全多个领域展示深入技术知识和实际技能的高级专业人士。要获得GSE认证,考生必须通过一个严格的过程,包括通过笔试和参加一个强度高的实际考试,以测试他们在现实测试场景中的能力。这一认证涵盖广泛的技能,从高级分析和事件管理到逆向工程和渗透测试。由于其难度和复杂性,GSE在安全行业中备受推崇,被视为安全专业人士的最高成就。获得该认证的人被认为是其领域的专家,能够解决复杂的安全问题并在大型组织中领导安全倡议。
5. 大师级 – “你是专家!”
- CompTIA Security+ 349美元
这是市场上最受欢迎和最具认可的基础证书之一。价格也属于较低的范围。CompTIA Security+证书在全球范围内被视为IT安全领域的关键资格,适用于希望了解数字安全基本概念并负责保护IT基础设施的人员。该认证确认了执行安全任务的能力,如配置系统以确保其完整性、机密性和可用性,识别风险,以及参与安全事件响应。CompTIA Security+考试涵盖一系列关键主题,包括密码学、身份和访问管理、网络和应用安全以及与威胁和漏洞相关的问题。此外,考生还必须展示有效应用安全法律和法规的能力,这对于保护个人和企业数据至关重要。Security+证书通常由安全初学者、系统 管理员以及那些希望成为安全分析师或顾问的人选择。该认证为进入数字安全职业打开了大门,提供了坚实的基础,并成为进一步获得更高级别网络安全认证的第一步。
OSCP – 进攻性安全认证专家 1499美元
由Offensive Security提供的OSCP(进攻性安全认证专家)证书被认为是渗透测试和道德黑客领域最具挑战性和声望的证书之一。它是一项高级认证,面向希望证明自己在有效渗透测试所需工具和技术的实际应用能力的IT安全专业人士。OSCP专注于安全测试的现实和实用方法。要获得该证书,考生必须通过一个24小时的实际考试,在受控测试环境中入侵多台机器和网络。考试不仅要求技术能力,还需要创造性思维和寻找非常规解决方案的能力。OSCP培训课程教授如何识别漏洞、在实践中利用这些漏洞并在被攻陷的系统中提升权限。课程涵盖从简单漏洞到绕过高级安全措施的多种攻击技术。由于其实用的学习方法,OSCP在网络安全行业中备受推崇,推荐给那些希望发展职业生涯成为专业渗透测试人员或安全顾问的人。
- ISACA – CISA、CISM、CRISC、CDPSE、CGEIT、CSX-P 760美元*(每个单独)
ISACA是一家国际专业组织,专门为从事审计、管理、安全和信息技术风险管理的人员提供认证、研究和实践资源。它提供一系列在IT和网络安全领域广受认可的认证:
- CISA(注册信息系统审计师) – 针对信息系统审计师的认证,确认在审计、控制和保护信息系统方面的能力。CISA受到那些负责监控和评估组织IT状况的人员的青睐。
- CISM(注册信息安全经理) – 专注于信息安全管理,适用于负责组织安全策略和战略的经理和领导者。CISM强调管理和设计安全计划的能力。
- CRISC(注册风险和信息系统控制) – 针对从事识别和管理风险以及实施控制系统的IT专业人士的认证。CRISC适用于负责管理IT风险及其对组织影响的人员。
- CDPSE(注册数据隐私解决方案工程师) – ISACA最新的认证,专注于根据各种数据保护法规开发和实施确保数据隐私的解决方案。CDPSE适用于设计和实施隐私保护技术的专业人士。
- CGEIT(注册企业IT治理) – 适用于IT领导者和那些负责IT治理管理、咨询或确保IT治理的人。CGEIT专注于通过信息技术为企业创造价值。
- CSX-P(网络安全从业者认证) – 针对每天管理、设计和操作安全系统的网络安全专业人士的实践认证。CSX-P要求在实际工作环境中展示技能。
这些ISACA认证中的每一个都满足信息技术和安全领域的特定需求和职业目标,为专业人士提供扎实的基础,帮助他们在就业市场上脱颖而出并有效地为其组织做出贡献。
- CCSP – 认证云安全专家 ISC2 599美元
由(ISC)²提供的CCSP(认证云安全专家)证书是面向专注于设计、管理和保护云数据、应用和基础设施的安全专业人士的高级认证。它对云架构师、安全管理员、系统工程师和安全顾问尤其有价值。CCSP考试涵盖了云安全架构和设计的理解、安全操作管理、威胁识别和风险评估、云数据法规的知识、通过适当的加密方法和其他安全技术保护在云中运行的应用,以及实施加密技术。此认证确认了在云安全领域的深厚技术知识以及在实际场景中应用这些知识的能力,这在网络安全就业市场中备受推崇。
Azure 安全工程师助理 Microsoft 110美元
Azure 安全工程师助理证书适用于专注于保护Microsoft Azure环境中的数据、应用和基础设施的IT专业人士。该认证确认考生在混合环境中实施安全措施作为综合安全管理解决方案的一部分的能力。获得此认证的专业人士需要在几个关键领域展示技能,包括身份和访问管理、Azure平台保护、数据和应用管理以及网络管理。他们还负责配置高级威胁保护措施和执行安全事件响应。此认证要求熟悉确保云基础设施安全的工具和技术,包括了解Azure Security Center、Azure Firewall和Azure Monitor等工具。通过这一认证,专业人士能够更好地保护Azure环境,并开发和实施安全解决方案,使他们成为网络安全团队中宝贵的一员。它对希望扩展在保护Microsoft Azure云中应用和数据方面知识和技能的安全工程师、云管理员和安全顾问特别有价值。
6. 圣杯级 – “你已经达到了巅峰。该退休了!”
- CISSP 认证信息系统安全专家 749美元
由(ISC)²提供的CISSP(认证信息系统安全专家)证书是全球最具声望和认可的安全认证之一,根据薪资调查,其持有者可获得最高薪酬。该认证面向希望 确认其在设计、实施和管理保护组织免受攻击的安全计划方面能力的经验丰富的安全专业人士。CISSP要求在多个安全领域的深入知识,包括风险管理、资产安全、安全工程、网络安全、身份和访问管理、安全测试、安全操作和软件安全。持有CISSP认证的专业人士通常担任高级安全工程师、安全总监或安全顾问等高级职位,这证明了他们的专业知识,并为他们在网络安全领域的职业发展提供了机会。该认证需要至少五年在两个或更多安全领域的工作经验,以其全面的安全方法而备受推崇。
- CCSK 云安全知识证书 CSA 395美元
最全面的云安全认证之一 – 它不集中于某个供应商,因此也是最通用的,并且价格较为便宜。由云安全联盟(CSA)提供的CCSK(云安全知识证书)是一项全球公认的认证,证明了在云安全方面的知识。该认证专注于云安全的基本原则、最佳实践和关键的安全策略,对于保护云基础设施至关重要。CCSK适用于希望了解与云相关的风险并在云环境中有效管理这些风险的IT和安全专业人士。CCSK课程涵盖了广泛的主题,包括云架构、身份和访问管理、Web应用程序安全、云操作以及合规性和审计。获得该认证表明考生拥有云安全最佳实践和标准的坚实基础,这在设计、实施和管理安全的云解决方案中非常有用。CCSK对于云管理员、安全架构师和安全顾问尤其有价值,使他们具备有效管理动态云环境中安全所需的信誉和技能。
主观评价和推荐的教育资源
个人认为,也许有悖于普遍看法,最好的学习基础是学术秩序。毕竟,信息技术的起源是在大学的研究过程中产生的,后来被私人公司接管并商业化。因此,我认为,值得在学术环境中开始自己的网络安全之路。有了坚实的基础,获得商业认证就容易得多。关于认证和商业教育资源,我只能推荐那些我非常熟悉的(顺序无关):
- Pentesterlab – 我所知道的最好的学习平台。Louis Nyffenegger不仅创建了一个自学大量漏洞的平台,还在许多地方详细解释了每个漏洞的原理。
- WebSecurityAcademy – 一个免费的平台,提供练习和大量社区文章。通过它,你可以深入了解渗透测试人员工作中最基本工具Burp Suite的所有功能。
- INE Security – 考试很好地反映了渗透测试工作的本质;除了获得’root’权限外,还需要找到应用程序的所有其他漏洞并撰写出色的报告。
在我们的本地市场,值得通过参加以下活动来获得知识:
- Adam Haertle的课程/网络研讨会 – Zaufana Trzecia Strona
- Sekurak Academy的课程/网络研讨会 – Sekurak Academy
- Niebezpiecznik的课程/网络研讨会 – Niebezpiecznik培训
- Jakub Mrugalski的课程/网络研讨会 – Mrugalski.pl
- Kacper Szurek的课程/网络研讨会 – Security by Szurek