本文概括了最好的非供應(yīng)商安全認(rèn)證，它們可以幫助你實現(xiàn)信息安全領(lǐng)域的職業(yè)目標(biāo)。下面的表格總結(jié)這些調(diào)查的認(rèn)證總數(shù)。整體而言，從2012年開始，一共出現(xiàn)了5個新的非供應(yīng)商認(rèn)證，我們也刪掉了一些已經(jīng)停止的認(rèn)證。專業(yè)安全認(rèn)證的總數(shù)仍然保持不變，其中有5個非供應(yīng)商認(rèn)證，只有1個供應(yīng)商認(rèn)證。

數(shù)量 　       2012年　2013年

非供應(yīng)商 　     49      54

初級 　         14      15

中級 　          7       8

高級 　         28      31

鑒定/反黑客 　  24      23

初級 　         10       9

中級 　          8       8

高級 　          6       6

專業(yè)認(rèn)證 　     10      10

按照我們的供應(yīng)商認(rèn)證分析結(jié)果，很容易確定要獲得哪些供應(yīng)商認(rèn)證——要獲得那些能夠與員工或客戶所使用技術(shù)相關(guān)的認(rèn)證，或者那些將來為員工或客戶帶來價值的認(rèn)證。確定獲得哪些供應(yīng)商認(rèn)證，不僅需要理解各個認(rèn)證和認(rèn)證項目在總覆蓋計劃的作用，也需要對比相似的項目。

可以肯定，安全認(rèn)證領(lǐng)域一共有超過120個認(rèn)證，顯然可選的很多。問題是，您如何知道哪一個認(rèn)證適合您的IT職業(yè)道路？下面對整個領(lǐng)域的簡要分析，將幫助您在職業(yè)生涯中某個時刻選擇信息安全職業(yè)道路。

現(xiàn)在，ISC的信息系統(tǒng)安全認(rèn)證專家(CISSP)、SANS Institute的全球信息安全認(rèn)證（GIAC）和ISACA信息安全認(rèn)證經(jīng)理（CISM）可能是最著名和使用最廣泛的IT安全認(rèn)證項目。也就是說，美國國防部指令8570.01-M包含了新的CompTIA高級安全工作者（CASP），這意味著這個認(rèn)證一定會在政府員工和政府承建商中流行起來。這些項目的認(rèn)證工程師數(shù)量會發(fā)生變化（有一些只有不到10,000名認(rèn)證成員，而現(xiàn)在已經(jīng)獲得CISSP認(rèn)證的成員在全世界超過75,000名）。一些認(rèn)證范圍更廣泛的項目，如信息系統(tǒng)認(rèn)證審計員(CISA)或欺騙行為認(rèn)證檢查師(CFE)，它們涉及的范圍都超出嚴(yán)格意義上的信息安全范圍，有大約60,000名的認(rèn)證數(shù)量。

CompTIA的Security+仍然在入門級認(rèn)證方面占據(jù)重要位置，它將繼續(xù)吸引廣泛的關(guān)注和參與?，F(xiàn)在，Security+的認(rèn)證數(shù)量高達(dá)50,000名。IBM、EC-Council、Security University (SU)和mile2都將Security+添加到自己的認(rèn)證體系中。獲得Security+認(rèn)證的人可以替代信息安全認(rèn)證經(jīng)理（CISM）認(rèn)證要求中的一年工作經(jīng)驗，而且Security+仍然是目前首選的最受認(rèn)可和最好的入門級信息安全認(rèn)證。要獲得Security+認(rèn)證，候選者必須通過一個考試。

更明顯的是，入門級認(rèn)證中數(shù)量最多的有CompTIA的Security+、SANS GIAC信息安全基礎(chǔ)認(rèn)證(GISF)和ISC的系統(tǒng)安全認(rèn)證工作者(SSCP)?，F(xiàn)在還不能確定，最新的（2013年2月）Prometic網(wǎng)絡(luò)安全基礎(chǔ)認(rèn)證是否將進(jìn)入這個行列。CISSP和SANS GIAC中級和高級認(rèn)證仍然最適合那些尋找入門級以上安全認(rèn)證的人，而認(rèn)證文明黑客（CEH）現(xiàn)在也非常適合那些當(dāng)前關(guān)注于提高系統(tǒng)滲透技術(shù)和反黑客技術(shù)的人。認(rèn)證防御專家（CPP）、專業(yè)認(rèn)證觀察員（PCI）、物理安全專家（PSP）和各種CISSP關(guān)注者都限于安全社區(qū)的最高級成員，因為他們要求有5~9年的安全領(lǐng)域從業(yè)經(jīng)驗，才資格參加考試。

按照《職業(yè)規(guī)劃：非供應(yīng)商的安全認(rèn)證（一）》的背景，我們推薦下面的安全認(rèn)證路徑，技術(shù)人員可以根據(jù)自己當(dāng)前的知識、技能和經(jīng)驗選擇從任何一個認(rèn)證開始和提高。你的安全認(rèn)證要先從各種入門級安全認(rèn)證開始。下面的認(rèn)證都能夠在計算機(jī)安全理論、操作、實踐和策略方面提供非常完備的背景知識：

CompTIA的Security+

對于這個領(lǐng)域希望提高工作和知識深度的IT專業(yè)人員，CompTIA的Security+認(rèn)證是適合他們的入門級信息安全認(rèn)證。這也是為什么我們將它定為這個級別的第一選擇和推薦。

ISC的系統(tǒng)安全認(rèn)證工作者(SSCP)

國際信息系統(tǒng)安全認(rèn)證聯(lián)盟負(fù)責(zé)管理CISSP，這是最著名的高級安全認(rèn)證（本文后面也會介紹高級認(rèn)證）。如果你想選擇這條路徑，那么SSCP是一個很好的選擇。

SANS GIAC信息安全基礎(chǔ)認(rèn)證(GISF)

長期以來，SANS協(xié)會都是安全行業(yè)的公認(rèn)強(qiáng)者。同樣，它的認(rèn)證也會繼續(xù)得到廣泛認(rèn)可和接受。GISF是通向SANS GIAC項目其他認(rèn)證的必經(jīng)途徑。

之后，您就可以嘗試高級安全認(rèn)證。大多數(shù)此類認(rèn)證都要求有3年以上的相關(guān)領(lǐng)域從業(yè)經(jīng)驗。除了通過考試，其中許多認(rèn)證還要求提交論文或研究結(jié)果；有一些還要求通過一些特殊課程。在這一類認(rèn)證中，以下四個特別值得注意，它們彌補(bǔ)了前面三個的空白：

CompTIA高級安全工作者(CASP)

CASP可以作為Security+的后續(xù)認(rèn)證，可用于判斷有3年以上信息安全領(lǐng)域人員的直接日常從業(yè)經(jīng)驗，而且有相匹配的技術(shù)和知識。CASP要求持續(xù)學(xué)習(xí)，或者每三年重新考試一次。它的費用大約比CISSP（考試費用在500~600美元之間）少200美元，但是在國防部的IT排名位置是相同的，毫無疑問將來也會流行起來。

ISC的認(rèn)證信息系統(tǒng)安全專家(CISSP)

CISSP是北美最著名的高級安全認(rèn)證。它經(jīng)常出現(xiàn)在10大期望認(rèn)證清單、職位招聘和分類廣告的名單中。那些有意擴(kuò)展CISSP認(rèn)證的人也應(yīng)該關(guān)注這三個課程——架構(gòu)師（CISSP-ISSAP）、工程師（CISSP-ISSEP）和管理（CISSP-ISSMP）。

SANS GIAC安全認(rèn)證

SANS提供了許多擴(kuò)展GISF和GIAC安全基礎(chǔ)認(rèn)證（GSEC）的專業(yè)技能，包括防火墻、意外處理、入侵分析、Windows和Unix管理、信息安全官及系統(tǒng)與網(wǎng)絡(luò)審計員認(rèn)證。這是一個與主題相關(guān)的快速高度技術(shù)化項目，它基于杰出的在線培訓(xùn)和SANS會議。要想通過這4個認(rèn)證（其中兩個是“金質(zhì)”認(rèn)證）和分成兩個部分的漫長考試，最好先通過GIAC安全工程師(GSE) 認(rèn)證。

合格信息安全專家認(rèn)證

安全大學(xué)的認(rèn)證要求通過一些最好、與現(xiàn)實緊密結(jié)合的信息安全培訓(xùn)。這個項目受到政府和行業(yè)安全巨頭的歡迎，它非常昂貴、要求很高且認(rèn)證時間很長，但這是一個值得長期投入的認(rèn)證。