网络安全从业人员必备哪些证书？揭秘“安全内幕”！

前言：

中国的信息安全产业正蓬勃发展，安全人才队伍正不断壮大，信息安全相关人员对于个人职业发展、能力提升有诸多关注。3分钟为你揭秘“信息安全内幕”！

网络安全是个“多金而有前途”的行业

根据中国信息安全从业人员现状调查显示，我国信息安全从业人员平均年薪为15.3万元。这个数字不但高于国家统计局发布的2018年信息技术相关行业就业人员年平均工资14.2万元，更是远远高于社会各行业平均工资。信息安全从业人员薪资和从业年限呈正相关系。也就是说从事信息安全行业，不用担心职场年龄歧视，而且能“越老越值钱”。

如果你是信息安全从业人员，那么恭喜你，你选择的行业不但高薪而且又能长期从事，是当之无愧的“最佳职业选择之一”。如果你还没有进入信息安全行业，那么强烈建议你立刻入行！

虽有压力但职业前景乐观

信息安全从业人员从事安全工作最主要的首要原因是看好职业发展前景。42.9%的信息安全从业人员表示，工作压力比较大，但是对职业发展前景多持乐观态度。

这是一个非常奇怪的现象：一方面大家工作压力较大，另一方面却又不约而同的认为信息安全是个职业发展前景非常好的行业。这是为什么呢？在中国，信息安全相对来说是个比较新的行业，而且行业发展非常迅速，技术快速更新迭代，从业人员必须时刻更新知识、保持不断学习才能不被快速发展的行业所抛弃。

职业培训受到从业人员高度重视

当下，信息安全从业人员对于提升自己的安全技能，70%左右的人选择职业培训，少部分人员选择自我学习。信息安全人才队伍能力结构同经济社会发展和国家安全需求仍存在较大差距。也就是说：如果你选择了信息安全这个多金又有职业前景的行业，职业培训必将成为你必然的选择。

人才全方位短缺，用人单位看重证书

目前我国信息安全从业人员整体呈现全方位短缺的态势，信息安全人员规模总量不足，大量信息安全工作以“非专职”方式完成，各类安全工作角色均存在人才缺口。信息安全资质成为用人单位选拔人才的重要指标……用人单位最看重人才的信息安全专业持有情况。其中，国企、科研院所、党政机关事业单位、外商投资企业和港澳台投资企业的受访者对于信息安全专业的认可度最高。

如果你想从事信息安全行业，而且还想进入心仪的好单位好公司，你必须拿到信息安全相关的权威认证证书！

信息安全从业人员必备哪些证书？

1. CISP （国家注册信息安全专业人员）

CISP安全从业者基本上都有所耳闻，国内权威认证，政府背景给认证做背书，如果想在政府、国企及重点行业从业，企业获取信息安全服务资质，参与网络安全项目，这个认证都是非常重要的。CISP在你参加考试的时候，培训机构都会问你是选择CISO/CISE，不要担心，这两个只是考试方向，证书都是测评中心颁发。

2.CISSP （国际注册信息安全专家）

CISSP认证在安全行业拥有较高知名度，发证机构是ISC。大家公认比较难考的一个证书，含金量高、覆盖面广、知识点很多，如果没有相关安全的工作经验，上来就直接复习，是会很烧脑的。另一个是认证方面，即使考试通过以后，想要拿到证书，需要申请人在八个域中至少2个域方面有五年相关工作经验，这个门槛就有点高。但是如果工作经验不足，也是可以参加考试，通过维持成绩的方法，到工作经验足够再去申请认证。

3.CISA（国际注册信息系统审计师）

CISA的发证机构是ISACA，这个机构还有CISM、CRISC、COBIT5.0等认证。先说CISA，这个目前在国内已经有很大影响了，在校生都已经开始意识到它对自己找工作的重要性；另一方面，现在大家可以看看四大咨询、金融证券行业、it审计岗或者是信息科技部门的员工，包括传统审计师对于CISA的青睐。

CISA跟CISSP一样，同样需要5年的工作经验，其中至少2年审计／控制领域的工作经验，工作经验相对CISSP有一些宽松，学历抵扣经验最多可以抵3年，而且成绩有效期是5年，所以可以先参加考试，后申请证书。

4. CISP-PTE （国家注册渗透测试工程师）

CISP-PTE认证是2017年奇安信联合中国信息安全测评中心推出的国内首个渗透测试认证，国家信息安全测评中心颁发证书，具备申请安全服务资质。该认证有个很大的特点，就是考试为实际操作，考验大家渗透技能的机会来了。

5. CISP-PTS（国家注册渗透测试专家）

CISP-PTS渗透测试专家认证，2018年底正式推出，谷安是国内首家开展CISP-PTS的机构，其含金量和难度高于CISP-PTE。CISP-PTS除了要有CISP-PTE所要求的全部知识与能力以外，在内网安全、数据库安全、中间件安全方面提出了全新的要求；更加注重培养学习者渗在透测试领域所掌握的知识的广泛度（如更多类型的数据库、中间件所涉及的安全问题）、更加强调检验学习者对当前主流渗透测试技术的掌握深入程度和实施过程重点专业程度、熟练程度。在认证考试方面，CISP-PTS取消了选择题型，所有考题均为实际操作题目。CISP-PTS是目前国家级攻防渗透测试领域最高等级认证。

6.CISM（国际注册信息安全经理）

CISM的发证机构是ISACA，跟CISA是同一个发证机构。这个认证相对CISSP来说不相上下，难度甚至高于CISSP。CISM不同于其他的信息安全认证，在于它的经验要求以及集中在信息安全经理人工作上的执行。其他信息安全认证重点在于特定的技术、作业平台或是产品信息。或是针对信息安全工作的前几年工作。唯有CISM是针对信息安全经理人，重点已经不再是个别的技术或者是技能，而是移转到整个企业的信息安全管理。CISM是针对管理并且监督企业的信息安全的个人，许多人可能在其他领域都已经持有相关的认证。就因为集中在管理上的需要，以致工作经验相对有其重要性，所以CISM要求最少要有5年信息安全管理的经验，而考试的内容也都集中在信息安全经理人日常处理的工作上。

7.Security+（信息安全技术专家）

Security+是美国计算机协会CompTIA颁发的证书。这个认证主要偏向信息安全技术，学习内容相对较浅，适合刚毕业或者是从业经验少，需要转行做信息安全的人员。这对于想要入门安全行业是一个很好的敲门砖，尤其是外资企业对这个认证认可度。比较吸引人的是，对于参加考试的人员没有工作经验以及学历的要求，这对很多安全爱好者来说是很大的一个学习动力.

8.ISO27001 Foundation认证

ISO27001 Foundation是由APMG机构颁发的认证，作为信息安全管理方面最著名的国际标准—ISO/IEC 27001(简称ISMS)，可以指导我们现实工作。ISO 27001Foundation是为了培养并提高信息安全管理体系（ISO 27001）建设者所开设的课程，更注重信息安全管理体系的实施、维护与优化方面。

9.CCSK (云安全认证)

CCSK由云安全联盟（CSA）颁发认证。2011年国际云安全联盟正式推出了“云计算安全知识认证（CCSK）”，经过5年的发展，CCSK已经成为云安全人才领域最权威的认证之一。国内来说，对云服务商或者是安服公司员工在做云安全项目时，这个认证首先可以让大家对云安全有个初步的了解，并且给项目带来必要的支持。

10. DevOps Master（业内顶级应用实战认证）

DevOps Master 课程是EXIN DevOps系列认证课程中的最⾼级别。EXIN DevOps Master是一种⾼级认证，它将原则、知识和实践技能结合在了⼀起。这使他们能够在组织中引入和促进DevOps， 以便更好地管理应用程序和服务生命周期，同时促进协作团队协作。同时配备《凤凰项目》沙盘实战演练。

DevOps主要与软件开发相关，但是它的原则越来越多地应用到了所有其它过程中。这使得DevOps Master认证对于那些希望扩展知识体系，以及覆盖IT管理理的最新发展模式的IT专业人⼠来说非常有吸引力。应⽤程序开发⼈ 员、产品负责⼈、敏 捷Scrum管理理员、项⽬目经理理、测试经理理和IT服务经理理都将从这个认证中受益。

11.Prince2 （受控环境下的项目管理）

Prince2 在国内的熟知度虽不如PMP，但同样都是项目管理，两者的区别在于理论与实践。很多人啃下PMP，转头又来学习Prince2 ，这是为什么？这可不是小编瞎说，很多学员反映说PMP理论性太强，大家实际工作中都用不到；并且相对于Prince2来说，PMP只是初级项目管理认证，持有PMP证书的人想获得更高级别的项目管理认证，也是要继续考Prince2的专业级认证。

结语：

有的人可能会说还有一些没有列举，例如，PMP,ITIL这些，这里只列举与信息安全或者网络安全相关，完全的项目管理、运维和协调不要凑热闹了。当然列出这些证，只是为了大家需要，并作为参考，证这个东西只是理论的必要，理论联系实际才会走的更远。当然这里还是要说考证不是必须，再多的证也不如一张‘技术’证管用，这是不争的事实，有真本事就是机会多。没办法，通过考证来弥补技术的差距本身就是幻想。不过，努力提升自己总是没错的。