去年下半年,一個全新的it認證考試在中國全面登入,它就是ciw(certified internet webmaster)認證。針對目前it培訓市場的情況,ciw開出了自己的“藥方”。
首先是其中立性。目前的it認證培訓多為廠商所提供,因此往往會出現類似這樣情況:比如一個ccna只會用cisco的設備,而遇到北電、3com的同類設備時就一籌莫展,很難適應現實的環境,而ciw不同於mcse、ccna這些由廠商推出的it認證,它由以下三個國際性的網際網路專家協會認可並簽署:國際webmaster協會(iwa)、網際網路專家協會(aip)及位於歐洲的國際網際網路證書機構(icii),因此獨立於專門的it廠商。其次是人數優勢。由於推出不久,在國內擁有其證書的人數較少,因而物以稀為貴,無形中提升了它的價值。 再次是它所涉及內容比較熱門。ciw的考試內容都是目前it界比較引人注目的行當,尤其是它的“網路安全專家”課程,在安全問題日益嚴重的今天,當然也就格外引人關注。而且ciw為了推銷自己,還和其他認證掛鈎,如果你通過了mcse或者ccnp,那么只需要再通過ciw的“網路安全專家”這一門考試,就可以拿到ciw安全分析師的證書,這對許多it從業人員來說無疑是不小的誘惑。
我近日也參加了ciw的網路安全專家考試(1d0-470),雖然順利通過了考試,但是在學習及考試過程中,對這個全新的it認證卻有了一些新的看法。
首先想談談它的“中立性”。雖然ciw的內容獨立於廠商,但在內容上對各個廠家的產品都沒有使用上的說明和介紹,只是泛泛地提及它們的功能。這就使得不少學員在學完了以後,腦中仍然是一片茫然。checkpoint、cisco的防火牆還是不會用,入侵檢測產品的具體操作一無所知,甚至有些安全產品都不知道是做什麼用的。這和人們的初衷相去甚遠。雖然避免了廠商的單一性,卻脫離了實踐。
再者,在內容上,ciw的網路安全專家課程內容有些陳舊。比如在windows作業系統方面,還在講windows nt的內容,而mcse相關課程幾年前就已升級到了windows 2000。在linux作業系統中,還在講ipchains的內容,對iptables則毫不涉及。許多課程中講到的安全漏洞,都是幾年前的隱患,而在目前的網路環境中,這些漏洞已經很少出現。ciw涉及的一些黑客工具以及攻擊手段也都不夠先進,比如ping to death這類的攻擊,你學完後會發現能夠修補防範的漏洞並不常出現,而出現的新漏洞和攻擊手段又不會防護,既不能有效保障自己的安全,又無法入侵別人的系統。
除了陳舊之外,內容過於簡單也是一大弊端,涉及代碼層次的深入分析太少,無法從根本上了解安全問題的實質。許多都屬於基本內容,比如ftp伺服器的默認連線埠是多少?windows nt默認安裝的目錄名叫什麼?如何選擇密碼來提高安全性?chmod 777的含義是什麼?這些問題屬於有一定計算機及網路基礎的人必須了解的內容,離“網路安全專家”的要求似乎遠了一些。
最後,ciw的考試形式也值得商榷,全部是單向選擇題,沒有復選題,也沒有實驗題,似乎並不能真正測試出一個“網路安全專家”的真實水平。近日ciw還降低了門檻,將原來要求通過ccnp考試的先決條件降到了ccna,也就是說只要你持有ccna證書,再通過1d0-470的考試,就可以拿到ciw的安全分析師證書。確實,讓一個ccnp來參加這個考試,有些大材小用了。我個人認為,ciw考試更適合入門者,至於能不能成為安全專家,那就是另外一回事了。
以上是我學習ciw的網路安全專家課程及參加考試的一些個人看法,希望能夠對有志於安全方面的朋友有所借鑑。