CompTIA在技術人員中很出名。許多IT人員都是從考取CompTIA的A+認證開始自己的技術生涯。現(xiàn)在，CompTIA推出了各種各樣的認證項目，涵蓋了從云技術到安全的方方面面。CompTIA認證與市場中其他的認證的最大區(qū)別在于他們不是供應商認證。CompTIA現(xiàn)在將目標定在成為第一家提供美國國防部8570.1指令認證的公司。它是否能成功呢?

背景介紹：DoD Directive 8507.1

幾年前，美國政府尋找一種方法判定求職者的能力和驗證現(xiàn)有技術人員掌握的安全知識。DoD在2005年發(fā)布了Directive 8570.1，它規(guī)定美國政府關于技術和信息安全人員的安全認證要求。這個指令嚴格規(guī)定針對其職員信息安全知識考核的商業(yè)安全認證要求。

CompTIA高級安全從業(yè)者(CASP)是CompTIA推出的最新安全認證，它是第一個針對DoD要求設計的認證。CASP認證旨在成為CompTIA開發(fā)的最高級技術安全認證。認證的前提要求非常高——至少有10年的IT管理經驗和5年的一線安全經驗。它得到了ANSI的認可，并且符合ISO 17024，這個標準要求定期檢查和更新認證。

CASP認證考試的資源范圍覆蓋面很廣，所以非常強調信息安全知識的一些特定領域：

這個列表很有誤導性，它可能讓準備參加認證的人誤認為很容易通過測試。這個測試本身很短，但是需要有很多背景知識，才有可能通過考試。第一個方面是企業(yè)安全性，它包括許多子類。Section 1.1要求扎實掌握各種加密工具和技術，其中包括公鑰基礎架構概念、數(shù)字簽名、散列法、不可否認性、混淆與擴散等等。這是加密和密碼學的一個分支，它們可以構成單獨的測試，但是考試內容還不止這一些。

企業(yè)安全領域的Section 1.2主要關注于虛擬化和分布式計算，其中包括VLAN、虛擬桌面基礎架構、終端服務和彈性云計算，以及它們相關的漏洞分析。和Section 1.1一樣，這個部分還涵蓋了足以構成一個獨立測試的背景知識。但是，它還包含另外6個部分：

Section 1.3 虛擬存儲，包括NAS、SAN、vSAN、iSCSI、FCoE等。

Section 1.4 網絡設計，包括遠程訪問、VoIP、IPv6、DNS等。

Section 1.5 主機安全控制，包括防火墻、反病毒和IPS/HIDS。

Section 1.6 Web應用安全，包括XSS、SQL注入、安全開發(fā)周期(SDL)等。

Section 1.7 安全工具，包括端口掃描、模糊、密碼破解等。

企業(yè)安全領域包含的大量內容只占測試的40%，考試涉及4個方面，問題總共只有80個。其他部分一樣有非常廣泛和大量的知識面。

我們有必要對CASP認證和(ISC)2的CISSP認證進行簡要比較。CISSP是廣泛認可的卓越信息安全行業(yè)認證，它在近幾年因為未能準確反映個人的安全技能而廣受批評。CISSP考試覆蓋的知識面與CASP類似，但是包含了250個問題，比CASP考試的3倍還多。有人可能認為250個問題不足以驗證一個人在信息安全的專業(yè)能力。然而，250個問題應該比80個問題更能反映一個人的能力。但是，令人意外的是，CompTIA并沒有抓住機會為它的最高級認證設計最嚴格的評估方式。

毫無疑問，CASP認證的目標是對信息安全知識進行綜合評估認證。然而，這個測試本身還不能精確評估一個人的知識。信息安全從業(yè)者確實需要高要求地理解這些知識，但是他們通常只精于掌握某一個特殊知識點。例如，密碼人員不一定很好地掌握了分析或管理。CASP測試可能會促使出現(xiàn)更多幫助人們應試的沖刺式培訓，但是一周后他們就可能忘記所學知識。如果將它擴展到所有評估領域，然后要求測試者選擇一個更深入的專業(yè)領域，那么這個測試會更加有效。

按照實際的執(zhí)行情況看，CASP認證只是一個阻礙政府員工順利保持或獲得工作崗位的一個門檻。CASP認證本身對于非政府人員并無太大價值，因為它覆蓋了太多知識，但是測試內容又非常少。用人單位只知道這個認證通過者了解過信息安全知識，但是并不一定掌握這些知識。對于剛開始接觸信息安全的人而言，只要他們不要太看重考試本身，那么還可能會從學習CASP資料的過程中受益。

認證是學習知識和建立扎實基礎的開頭。最優(yōu)秀的安全從業(yè)者是出于對行業(yè)的好奇和學習熱情而投入學習和研究的人。CASP認證確實覆蓋了正確的知識面，但是它“博而不精”。CASP認證可能會成為商業(yè)公司和政府機構用于替代Security+的一個入門認證。然而，這個測試必須繼續(xù)擴充，才有可能成為評估安全人員的基準。