NSS Labs的测试认证分为Recommended(推荐)、Neutral(中立)和Caution(警惕)三个等级,能获得推荐级别的产品基本上还是棒棒哒,至于中立级别的你爱用不用,警惕级别的劝你还是别用了。
而西海岸实验室的通过难度不算太高,但测试比较有特色。
近几年业界有个共识,西海岸有些"高收费,高通过"的趋势。
小道消息,最近西海岸实验室在我兔也设了一个符合中国国情和具备中国特色的实验室,至于能力如何,我就不得而知了。
反病毒这块的测评认证机构算是最多的,像英国的VB100、奥地利的AV-Comparatives和德国的AV-Test都是比较权威的,业内人士应该都听说过,在此就不赘述。
国内安全产品认证首推中国信息安全测评中心。
该机构依据CC国际通用准则(GB/T 18336:2015)来对安全产品进行分级评估。
从90年代开始至今,CC应该算是产品测评认证领域的开山祖师爷了,虽是祖师爷,但也在与时俱进。
另外还有工信部的入网许可证、中国信息安全认证中心的信息安全产品认证、公安部销售许可证、国家保密局涉密证书、国家密码局密码检测证书和军网认证证书等等。
这里边很多证书是市场准入门槛,一部分是控标所用,还有一部分确确实实能提升产品本身的安全功能和安全性。
至于人员类信息安全认证更是多如牛毛。
安全行业毕竟不像金融业,不需要考啥从业资格证。
关于考证这个事在圈内也算一个有趣的现象,不屑于考证的鄙视花钱买证的,拿国外认证的鄙视拿国内认证的。
个人觉得应该因人而异,如果对职业生涯帮助较大,为什么不去拿?
如果已经在行业内做到了顶尖水平,即便你以前是妇科圣手或者泌尿外科医生,在行业内一样受人尊敬。
接下来聊聊机构类的信息安全认证,关于机构类认证大致分三类:
1、门槛准入类
小李公司年会抽奖中了一台福特野马,看着那拉轰的车身,小李口水流了一地,但是会后小李犯难了,自己还没有驾照,无证驾驶可是违法行为,心痒了半天只能打电话喊老爸开回家,驾照就是开车上路的准入门槛。
机构要从事信息安全类服务,就得具备相应的资质。
安全服务方面,国测和认证中心颁发了信息安全服务类资质,包括安全工程、风险评估、安全集成、应急处理和安全运维等几大类。
一些个公司没有资质服务照做,结果发现提交的报告客户上级监管机构压根就不认,这些坑大家一定得避免,特别是一些金融机构信息系统评估服务。
等保测评方面,由各省推荐,公安部等保评估中心授权的测评机构才能从事等级保护测评工作。