CompTIA在技術(shù)人員中很出名。許多IT人員都是從考取CompTIA的A+認證開始自己的技術(shù)生涯?，F(xiàn)在，CompTIA推出了各種各樣的認證項目，涵蓋了從云技術(shù)到安全的方方面面。CompTIA認證與市場中其他的認證的最大區(qū)別在于他們不是供應(yīng)商認證。CompTIA現(xiàn)在將目標(biāo)定在成為第一家提供美國國防部8570.1指令認證的公司。它是否能成功呢?

背景介紹：DoD Directive 8507.1

幾年前，美國政府尋找一種方法判定求職者的能力和驗證現(xiàn)有技術(shù)人員掌握的安全知識。DoD在2005年發(fā)布了Directive 8570.1，它規(guī)定美國政府關(guān)于技術(shù)和信息安全人員的安全認證要求。這個指令嚴(yán)格規(guī)定針對其職員信息安全知識考核的商業(yè)安全認證要求。

CompTIA高級安全從業(yè)者(CASP)是CompTIA推出的最新安全認證，它是第一個針對DoD要求設(shè)計的認證。CASP認證旨在成為CompTIA開發(fā)的最高級技術(shù)安全認證。認證的前提要求非常高——至少有10年的IT管理經(jīng)驗和5年的一線安全經(jīng)驗。它得到了ANSI的認可，并且符合ISO 17024，這個標(biāo)準(zhǔn)要求定期檢查和更新認證。

CASP認證考試的資源范圍覆蓋面很廣，所以非常強調(diào)信息安全知識的一些特定領(lǐng)域：

這個列表很有誤導(dǎo)性，它可能讓準(zhǔn)備參加認證的人誤認為很容易通過測試。這個測試本身很短，但是需要有很多背景知識，才有可能通過考試。第一個方面是企業(yè)安全性，它包括許多子類。Section 1.1要求扎實掌握各種加密工具和技術(shù)，其中包括公鑰基礎(chǔ)架構(gòu)概念、數(shù)字簽名、散列法、不可否認性、混淆與擴散等等。這是加密和密碼學(xué)的一個分支，它們可以構(gòu)成單獨的測試，但是考試內(nèi)容還不止這一些。

企業(yè)安全領(lǐng)域的Section 1.2主要關(guān)注于虛擬化和分布式計算，其中包括VLAN、虛擬桌面基礎(chǔ)架構(gòu)、終端服務(wù)和彈性云計算，以及它們相關(guān)的漏洞分析。和Section 1.1一樣，這個部分還涵蓋了足以構(gòu)成一個獨立測試的背景知識。但是，它還包含另外6個部分：

Section 1.3 虛擬存儲，包括NAS、SAN、vSAN、iSCSI、FCoE等。

Section 1.4 網(wǎng)絡(luò)設(shè)計，包括遠程訪問、VoIP、IPv6、DNS等。

Section 1.5 主機安全控制，包括防火墻、反病毒和IPS/HIDS。

Section 1.6 Web應(yīng)用安全，包括XSS、SQL注入、安全開發(fā)周期(SDL)等。

Section 1.7 安全工具，包括端口掃描、模糊、密碼破解等。

企業(yè)安全領(lǐng)域包含的大量內(nèi)容只占測試的40%，考試涉及4個方面，問題總共只有80個。其他部分一樣有非常廣泛和大量的知識面。

我們有必要對CASP認證和(ISC)2的CISSP認證進行簡要比較。CISSP是廣泛認可的卓越信息安全行業(yè)認證，它在近幾年因為未能準(zhǔn)確反映個人的安全技能而廣受批評。CISSP考試覆蓋的知識面與CASP類似，但是包含了250個問題，比CASP考試的3倍還多。有人可能認為250個問題不足以驗證一個人在信息安全的專業(yè)能力。然而，250個問題應(yīng)該比80個問題更能反映一個人的能力。但是，令人意外的是，CompTIA并沒有抓住機會為它的最高級認證設(shè)計最嚴(yán)格的評估方式。

毫無疑問，CASP認證的目標(biāo)是對信息安全知識進行綜合評估認證。然而，這個測試本身還不能精確評估一個人的知識。信息安全從業(yè)者確實需要高要求地理解這些知識，但是他們通常只精于掌握某一個特殊知識點。例如，密碼人員不一定很好地掌握了分析或管理。CASP測試可能會促使出現(xiàn)更多幫助人們應(yīng)試的沖刺式培訓(xùn)，但是一周后他們就可能忘記所學(xué)知識。如果將它擴展到所有評估領(lǐng)域，然后要求測試者選擇一個更深入的專業(yè)領(lǐng)域，那么這個測試會更加有效。

按照實際的執(zhí)行情況看，CASP認證只是一個阻礙政府員工順利保持或獲得工作崗位的一個門檻。CASP認證本身對于非政府人員并無太大價值，因為它覆蓋了太多知識，但是測試內(nèi)容又非常少。用人單位只知道這個認證通過者了解過信息安全知識，但是并不一定掌握這些知識。對于剛開始接觸信息安全的人而言，只要他們不要太看重考試本身，那么還可能會從學(xué)習(xí)CASP資料的過程中受益。

認證是學(xué)習(xí)知識和建立扎實基礎(chǔ)的開頭。最優(yōu)秀的安全從業(yè)者是出于對行業(yè)的好奇和學(xué)習(xí)熱情而投入學(xué)習(xí)和研究的人。CASP認證確實覆蓋了正確的知識面，但是它“博而不精”。CASP認證可能會成為商業(yè)公司和政府機構(gòu)用于替代Security+的一個入門認證。然而，這個測試必須繼續(xù)擴充，才有可能成為評估安全人員的基準(zhǔn)。