工作中我会遇见很多人。尽管我的职业交往不再像以前那么正式，但是大多数的时候还是要跟别人交换名片的。我经常会得到这样一张名片，人名后面有一大长串的头衔缩写。举个例子，John Doe这个人，拥有CISSP, Security+, CISA, GIAC, CEH认证，还有大概10个我从来没有听说过的头衔。

　　我首先冒出的想法是：这个人的业余时间很多。但是在我做这些没必要的、错误的假设之前，让我们仔细看看这些安全认证的作用，考察一下在这些认证上面花费时间和金钱到底值不值得。

　　我从来就不喜欢考这些认证，原因如下：我认识的很多最聪明的安全人员没有任何认证，有些有认证的也只是有他们力所能及的头衔。这件事情让我对整个认证程序产生了怀疑。毕竟，认证对于想要得到证明的人来是很重要的。目前有60多种和厂商无关的、中性的认证供你选择，怎么能从中准确的知道哪一个对你有用呢？

　　然而，很多公司和人事经理继续认为认证和能力之间有着直接的联系（其实没有，但是我仍会讨论这个话题）。事实是，认证只是有时有用。让我们来看一些有用的情景。

　　达到特定的目标

　　认证的价值在于想要完成的目标。当你第一次进入安全领域，一个认证证明了你有了一些职业培训经历，并对这个领域大致的了解。CISSP认证除外（因为这个需要4年的工作经验），但是换个其他的普通认证，也可以帮助你轻松的进入技术领域。有的人事经理就把一些没有认证的人过滤掉了，所以有个认证会帮你跨过这个门槛。

　　一个认证还可以帮助你在企业里进行人事变动。比如，如果你想从安全领域进入到审计方向，那么你应该有一个审计方面的认证证书（ISACA's CISA），以此证明你对审计具备基本的了解。

　　认证可能还会帮助你加薪。有的组织甚至会为认证付钱，这意味着投资有了回报。

　　最后，对于一个管理职位来说，你应该着眼于管理方向的认证。比如SANS的一个认证，GIAC安全领导认证(GSLC)。没有实际工作经历的话，一个认证证书有时会有帮助，但是要看是在什么样的地方。

　　选择哪一个呢？

　　如果证书可以帮助你达到目标，那么应该决定哪个是最好的选择—安全认证还是审计认证？各自的优缺点是什么？让我们粗略的看一下一些很有名的认证：

•  CISSP： 自称“黄金准则”，（尤其是你询问ICS2的时候）。但是考虑品牌认可度， CISSP认证还是有价值的。尽管它的课程很宽泛，也不能说明具体的能力水平，但仍在不断的发展。
•  SANS： SANS机构有不少于20种的认证，大部分基于SANS已经开出的课程。像CISSP一样，GIAC这条认证线比较有名，被广泛认同。尽管SANS拓宽了自己的认证范围（增加了管理认证和审计认证），但它仍把重心放在技术能力上。
•  ISACA：国际审计组织有自己的一套认证体系：信息安全审计认证（CISA）和信息安全管理认证（CISM）。对于审计来说，这些认证证书比较出名，大家比较关心。对于信息安全职业，该认证并不是很理想。
•  Security+：CompTIA提供一项名叫Security+的认证，，它是入门级别认证的领导者。课程很宽泛，重点集中在基础技能上，但是也能证明学员有一定的认识水平。请注意我说的是认识，不是必要的能力。
•  认证的道德黑客（CEH）：CEH认证是相对较新的一项认证，知道的人很少。尽管它跟一个不好听的词“黑客”有关，但因为我认为对于一个安全专家来说渗透测试是最重要的长期技术之一，所以这项认证可以考虑。

　　记住，证书跟其他东西一样：它是一个工具，帮助你达到更远的事业目标。如果你的职业生涯路线是从A点走到B点，而没有认证将使这条路困难重重，那么也请你坚持走下去。不过，请记住，没有什么是万能的，实际动手经验终究是不可替代的。

　　所以，与其在SANS课程上花费一个星期，不如为当地的宗教机构做渗透测试，并对其进行防御和保护，而当地学校、动物庇护所、临近的业主协会也可能都需要相关的帮助。另外一种方法是，通过ISSA或者InfraGard机构，在当地找到一份学徒的工作。

　　这些都能让你获得未来雇主所看重的实际工作经验。有很多地方可以学到和练习这个行业所需要的技能，有些甚至会比一张证书来的要好。