去年下半年,一个全新的IT认证考试在中国全面登陆,它就是CIW(Certified Internet Webmaster)认证。针对目前IT培训市场的情况,CIW开出了自己的“药方”。
首先是其中立性。目前的IT认证培训多为厂商所提供,因此往往会出现类似这样情况:比如一个CCNA只会用Cisco的设备,而遇到北电、3Com的同类设备时就一筹莫展,很难适应现实的环境,而CIW不同于MCSE、CCNA这些由厂商推出的IT认证,它由以下三个国际性的互联网专家协会认可并签署:国际Webmaster协会(IWA)、互联网专家协会(AIP)及位于欧洲的国际互联网证书机构(ICII),因此独立于专门的IT厂商。其次是人数优势。由于推出不久,在国内拥有其证书的人数较少,因而物以稀为贵,无形中提升了它的价值。 再次是它所涉及内容比较热门。CIW的考试内容都是目前IT界比较引人注目的行当,尤其是它的“网络安全专家”课程,在安全问题日益严重的今天,当然也就格外引人关注。而且CIW为了推销自己,还和其他认证挂钩,如果你通过了MCSE或者CCNP,那么只需要再通过CIW的“网络安全专家”这一门考试,就可以拿到CIW安全分析师的证书,这对许多IT从业人员来说无疑是不小的诱惑。
我近日也参加了CIW的网络安全专家考试(1D0-470),虽然顺利通过了考试,但是在学习及考试过程中,对这个全新的IT认证却有了一些新的看法。
首先想谈谈它的“中立性”。虽然CIW的内容独立于厂商,但在内容上对各个厂家的产品都没有使用上的说明和介绍,只是泛泛地提及它们的功能。这就使得不少学员在学完了以后,脑中仍然是一片茫然。CheckPoint、Cisco的防火墙还是不会用,入侵检测产品的具体操作一无所知,甚至有些安全产品都不知道是做什么用的。这和人们的初衷相去甚远。虽然避免了厂商的单一性,却脱离了实践。
再者,在内容上,CIW的网络安全专家课程内容有些陈旧。比如在Windows操作系统方面,还在讲Windows NT的内容,而MCSE相关课程几年前就已升级到了Windows 2000。在Linux操作系统中,还在讲IPChains的内容,对IPTables则毫不涉及。许多课程中讲到的安全漏洞,都是几年前的隐患,而在目前的网络环境中,这些漏洞已经很少出现。CIW涉及的一些黑客工具以及攻击手段也都不够先进,比如Ping to Death这类的攻击,你学完后会发现能够修补防范的漏洞并不常出现,而出现的新漏洞和攻击手段又不会防护,既不能有效保障自己的安全,又无法入侵别人的系统。
除了陈旧之外,内容过于简单也是一大弊端,涉及代码层次的深入分析太少,无法从根本上了解安全问题的实质。许多都属于基本内容,比如FTP服务器的默认端口是多少?Windows NT默认安装的目录名叫什么?如何选择密码来提高安全性?chmod 777的含义是什么?这些问题属于有一定计算机及网络基础的人必须了解的内容,离“网络安全专家”的要求似乎远了一些。
最后,CIW的考试形式也值得商榷,全部是单向选择题,没有多选题,也没有实验题,似乎并不能真正测试出一个“网络安全专家”的真实水平。近日CIW还降低了门槛,将原来要求通过CCNP考试的先决条件降到了CCNA,也就是说只要你持有CCNA证书,再通过1D0-470的考试,就可以拿到CIW的安全分析师证书。确实,让一个CCNP来参加这个考试,有些大材小用了。我个人认为,CIW考试更适合入门者,至于能不能成为安全专家,那就是另外一回事了。
以上是我学习CIW的网络安全专家课程及参加考试的一些个人看法,希望能够对有志于安全方面的朋友有所借鉴。
