إذا كنت مهتم في مجال أمن المعلومات فلا بدّ أنّه قد مرّ عليك العديد من الشهادات في هذا المجال، وهو ما يوقع المرء في حيرة من أمره. فأي هذه الشهادات يختار وعلى أي أساس يجري مقارنة بين هذه الشهادات وأي يكمن أفضل إنفاق لماله وعلى أي شهادة من هذه الشهادات. هذا ما سأحاول إن شاء الله تغطيته.
قبل البدء في المقارنة أود الإشارة إلى أنّه لا يوجد شهادة قط تعادل الخبرة، ولكن الكثير من أماكن العمل تطلب هذه الورقة المسمّاة شهادة. ولذلك حاول الإلتحاق بدورة في مركز يوجد به أشخاص كفء للتدريب ويمتلكون بالإضافة إلى شهادة ما خبرة عملية في مجال هذه الشهادة قبل ان تقوم بالتقدم للإمتحان، كذلك حاول أن تقوم بعمل تطبيقات وإنشاء مختبرك الخاص بك لهذا الغرض. سوف تستغرق عملية كهذه على الأقل ستة أشهر وهذا يعتمد بالدرجة الأساسية على مقدار الوقت الذي ستخصّصه للدراسة.
غالب الجوانب التي سأغطّيها في هذا الموضوع مبنيّة على خبرة شخصية في التعامل مع هذه الشهادات. ولذلك الرأي فيها يمثّل وجهة نظري الشخصيّة في الموضوع قبل أي شيء آخر.
Security+ من CompTIA
هذه الشهادة تعد شهادة محايدة بمعنى أنها غير تابعة لمنتج أو شركة معنية. الإمتحان يغطي خمس مجالات وهي:
1- أمن الإتصال.
2- أمن البنية التحتية.
3- التشفير.
4- أمن العمليات.
5- مبادئ عامة.
الشهادة معروفة في السوق ولكن مشكلتها تكمن في أنها بدائية تتناول مواضيع عديدة بقليل من التفصيل والاهم من ذلك أنّه لا يوجد أي جانب عملي في المعلومات المطروحة. فهي نظريات في الأمن وفقط. هي وسيلة “تثبت” ان الشخص حامل هذه الشهادة يفهم المصطلحات والمبادئ الامنية. ولهذا فعلى الشخص الذي يريد التخصص أكثر البحث عن شهادة اخرى سواء كانت سيسكو أو ويندوز أو غيرها. المفيد في هذه الشهادة هو أنك إذا توجهت نحو MCSE + Security ستوفر عليك أخذ كورس من كورسات المسار. الإمتحان يحتوي على 100 سؤال متعددة الخيارت، مدّته تسعون دقيقة علامة النجاح هي 764 وستظهر النتيحة حال إنتهائك من الإمتحان.
CISSP
Certified Information Systems Security Professional
واحدة من أكثر الشهادات شهرة في مجال أمن المعلومات. هذه الشهادة تغطي 10 مجالات في أمن المعلومات وتعتبر إدارية أكثر منها عملية ولكن الشخص المتقدم للامتحان يحتاج إلى خمس سنوات خبرة.
المجالات التي يتم تغطيتها في الشهادة هي:
1- التحكم بالوصول.
2- أمن التطبيقات.
3- استمرارية العمل و التخطيط للاسترجاع بعد الخراب.
4- التشفير.
5- امن المعلومات وإدارة المخاطر.
6- القوانين والتحقيقات.
7- أمن العمليات.
8- أمن البيئي.
9- أمن التخطيط والتصميم.
10- الإتصالات وأمن الشبكات.
متطلبات الشهادة:
1- خمس سنوات خبرة أو أربع سنوات خبرة وسنة جامعية أو شهادات أخرى من منظمات أخرى.
2- قبول الكود الأخلاقي ل CISSP.
-3 الإجابة على أسئلة حول الخلفية وتحديداً الجنائية للمتقدم.
4- مصادقة شخص حامل للشهادة على خبرات الشخص المتقدم.
الشهادة صالحة لثلاث سنوات فقط وبعدها على حامل الشهادة تقديم الإمتحان مرّة اخرى. أو الحصول على تدريب او المشاركة في تدريب او إعداد أبحاث في مجالات الشهادة يحصل من خلالها حامل الشهادة على نقاط تعرف ب CPE أو Continuing Professional Education إذا حصل الشخص على 120 نقطة مع نهاية الثلاث سنوات فبإمكانه تجديد الشهادة من إعادة الإمتحان.
امتحان CISSP غير سهل بالمرّة ولكن بالدراسة يمكن اجتيازه. عدد أسئلة الإمتحان 250 ومدّته ستة ساعات. للنّجاح على الممتحن الحصول على 700 نقطة على الأقل. الإمتحان يعطى على الورق وليس على الحاسوب والنتيجة تظهر بعد أسبوعين على الأقل من يوم تقديم الإمتحان.
C|EH
Certified Ethical Hacker
اكتسب هذه الشهادة الكثيرة من الشهرة كونها من أوائل الشهادات التي طرحت في هذا المجال واعتمدت على الجانب التطبيقي في العديد من مساراتها. ولكن هناك الآن العديد من الشهادات التي تنافس وبقوة هذه الشهادة. آخر نسخة من هذه الشهادة هي الإصدارة السادسة والتي تحتوي على تعديلات هائلة إذا ما قورنت بالإصدارات السابقة. ولكن نظراً كثرة الحاملين لهذه الشهادة وتوفر نسخ من الإمتحان على مواقع مثل TestKing فسوف تتأثر مكانة هذه الشهادة في المستقبل القريب لتصبح مثل شهادات مايكروسوفت وسيسكو. (يستثنى من ذلك الشهادات المتقدمة مثل CCIE).
ميزة هذه الشهادة انه تثبت أن لديك معرفة بأساليب الهاكرز وأدواتهم المستخدمة. ولكن عيب كبير فيها ان التركيز في غالبه يتم على الادوات والعديد من الادوات المستخدمة قديمة للغاية ولم يعد لو وجود أو استخدام حقيقي. حجم المادة المطروحة والعدد الكبير لل Modules مقارنة بعدد أيام التدريب يجعل التغطية العملية للأدوات المطروحة سطحي نوعاً ما. ولذلك المختبر الخاص مهم جدّاً هنا للتعرف على تفاصيل أكثر والقيام بتجارب أكثر.
عدد أسئلة الإمتحان هو 150 تقدم في 4 ساعات ونصف في الدول غير الناطقة بالإنجليزية. وعلامة النجاح المطلوبة هي 70%.
OSCP
Offensive Security Certified Professional
بصراحة التدريب الذي يسبق هذه الشهادة رائع بمعنى الكلمة والشرح المرافق أكثر من رائع. التركيز هو على الجانب العملي بشكل كبير جدّاً يتم الشرح بشكل بسيط للمبادئ مع إعطائك مصادر (في الغالب من الويكي) للقراءة أكثر حول الموضوع. ما ستتعلمه في التحضير لهذه الشهادة يفوق بمراحل ما يمكن تعلمه في شهادة ك C|EH.
SANS GPEN
GIAC Certified Penetration Tester
إذا كان المجال الذي ترغب بالعمل فيه هو penetration testing فهذه هي الشهادة التي تحتاج إليها. SANS معروفة بكورساتها المركزة والمحتوى المفيد جدّاً في كل مجالات أمن المعلومات. مع طاقم رائع وممتاز جدّاً من المدرّبين أمثال Ed Skoudis. مدة التدريب هي ستة أيام تغطي كل ما تحتاج إلى معرفته ك pen tester. الأيام الخمس الأولى موزعة كالآتي:
اليوم الاول: يغطي التخطيط و مجال الإختبار والجوانب القانونية والإدارية وختماً عملية تفحص الهدف.
اليوم الثاني: يغطي عملية المسح.
اليوم الثالث: يغطي عملية استغلال الثغرات.
اليوم الرابع: هجمات كلمات المرور.
اليوم الخامس: الشّبكات اللاسلكية وتطبيقات الويب.
وأخيراً اليوم السادس وهو اليوم الذي على الدارس القيام فيه بتطبيق كل ما تعلّمه في الأيام الخمس الأولى في مسابقة أمسك العلم. جانب مهم جداً في هذه الشهادة هو التركيز على الأدوات التي فعلاً يحتاج إليها المختبِر وليس مثل C|EH في عرض عشرات الأدوات لكل مهمة من المهمات. الجانب السيء في هذه الشهادة هو التكلفة العالية للامتحان إذا تم التقدم إليه بدون تدريب. الإمتحان رغم أنّه يسمح لك بإدخال الكتاب فيه (كتب التدريب) ولكن عدد الأسئلة وصعوبة الإمتحان تجعل من عملية البحث عن الأجوبة في الوقت المحدد غير سهلة ولا عملية. أجمل ما في هذا الإمتحان هو عدم وجود TestKing ولا Pass4Sure. المتقدّمين لشهادات ال GIAC عليهم إعادة تقديم الإمتحان مرة كل أربع سنوات وذلك للتّاكد من أنّهم متبعون للجديد في مجال أمن المعلومات.
عدد أسئلة الإمتحان هو 150 تقدم في 4 ساعات وعلامة النجاح المطلوبة هي 70%.
نصيحة أخيرة. أنت أخي الباحث أختي الباحثة هو من يعرف احتياجات سوق العمل لديه وكذلك مجال اهتمامه أين ولذلك أنت من يقرر أي هذه الشهادات أو غيرها هو الأفضل لك. هذه فقط محاولة لتسليط الضوء على بعض أشهر الشهادات الموجودة في السوق.
أسأل الله أن ينفعكم بهذه المعلومات. لا تنسوا أهل غزة من دعائكم.
أخيراً أرجو ذكر المصدر (باحث عن المعرفة) عند النقل.
بارك الله فيك أخي الباحث عن المعرفة
هذا الموضوع هو من أهم المواضيع التي تخص الشهادات العالمية في عالم الأمن والحماية
بخصوص علم Penetration Test هل هناك وظائف في عالمنا العربي بخصوص هذا الموضوع وخصوصاً في المملكة العربية السعودية ؟
تحيتي لك
وفيك بارك الله أخي أبو عابد.
حقيقة لا أعلم إن كان هناك وظائف في عالمنا العربي على الأقل في بلدي لا يوجد ولا حتى يوجد اهتمام. ما ألاحظه هو أن الكثير في عالمنا العربي يعتقد أن الأمن هو عبارة عن برنامج مكافحة فيروس أو تنصيب جدار ناري. وهذا فهم خاطئ. ما أخشاه حقيقة هو أن تكون حكوماتنا مخترقة وبدون أن تشعر وأضرب لك مثالاً الدولة العبرية تم اختراقها من قبل الهاكرز لمدة ثلاث سنوات ودون أن يعلموا بوجود الإختراق. وهؤلاء متقدمون في هذا الحقل. فبالله عليك كيف سيكون الحال عندنا؟ على العموم دول الخليج تعتبر الأفضل في هذه النواحي ولكن لا أستطيع القول أيها أفضل وما هي المجالات المفتوحة؟
الله المستعان.
شكراً لمرورك الكريم
السلام عليكم ورحمة الله
اشكرك جدا على هذا التوضيح الاكثر من رائع والدقيق جدا
معذرة اخي لي استفسار
هل بعد ال ccna كمقدمه عن الشبكات والmcse وريدهات او دراسة نظم اللينوكس اى الكورسات تنصح بها لانى كنت ناوى باذن الله اتجه الى c|EH ولكنى احسستها انها ليست بالقوه المطلوبه باضافه وجود ما هوه اقوي منها كما ذكرت فما هي الخطوه التاليه التى يجب علي اخذها
وجزاك الله خيرا
وعليكم السلام ورحمة الله وبركاته
أخي الكريم هل معك هذه الشهادات؟ إن كانت معك فكيف تقيّم نفسك؟
بانتظار ردّك.
شكرا اخى على الرد
معايا ccna وحاليا ادرس فى الrhceوخلصت او تراك بحمد الله وبكمل باذن الله يعني باذن الله على اخر الصيف ده بتخلص وبعدها بتجه الى الmcse(ملحوظه اخى انا حاليا ادرس فى السنه الثانيه فى الجامعه)
حيّاك الله أخي الكريم. إن شاء الله سأقوم بطرح موضوع حول موضوع الشهادات والتخصّصات من واقع تجربتي قريباً ولكن الآن أقول لك أخي حاول التركيز على ما تتعلّمه والتطبيق عليه حتى تتقنه وبعدها انتقل إلى غيره. جميل جدّاً أن معك CCNA فهي بداية طريق لعالم الشبكات وجميل أيضاً أن تعرف عن لينكس ويكون معك شهادة فيه وفي ويندوز كذلك. ولكن السؤال يأتي حول الخبرة. هل تعتقد انّه لديك الخبرة الكافية والاتقان المطلوب ل CCNA حتى تقوم بالانتقال إلى غيرها فأنت أخي لا تريد أن تنسنى ما تعلّمته في ال CCNA عند تركيزك على RHCE أو MCSE ثم تأتي لمقابلة عمل ويسألك المقابل حول ال CCNA فلا تستطيع لا قدّر الله ان تجيبه.
هل أنشأت مختبر خاص بك؟ هل استخدمت أحد برامج الافتراضيّة؟ إذا لم تبدأ بعد فابدأ الآن وإن شاء الله ستتعلم الكثير بعمل ذلك.
وفقك الله لما فيه خير.
شكرا ليك على هذه النصائح الغاليه اخي الكريم
اخى بالفعل لقد احسست انى فقدت بعض ما اتقنته فى الccna ولكني لم اتجاهل ما فقدته فسوف اقوم باذن الله باعادة الجزء العملى مره اخري فى الصيف بعد فترة الامتحانات بالجامعه ووفى ذللك الوقت لن اترك الrhce حتي اتمها بعون الله وبالفعل فانا اهتم بالتدريب والحمد لله لا اعتمد على الجزء النظري او اسئلة الغش فانا لا اخدع نفسي فما اريده هوه اتقان الفعلى للشهاده وليس اسم الشهاده وبالفعل فى كل دراسه اقوم بعمل الاب على vmواطبق من خلاله واعلم جيدا ان ذللك حتى لا اخرج ويكون حدث لي نسيان لجميع ما حصلته فلن انتقل خطوه الى الامام حتي اتقن ما انا فيه وما ادرسه ولو حدث انى نسيت جزء فسوف ارجع اليه
اتطلع بفارغ الصبر الى مقالك وفقكم الله واعانك على الخير واشكرك على سعة صدرك
وارجو ان تتقبلني اخ صغير لك
اخوك محمود
حيّاك الله أخي الكريم…ومرحباً بك أخاً وصديقاً.
سرّني ما تفضّلت به أخي حول الشهادات وعدم الاعتماد الجزء والنّظري والغش فهذه أول خطوة في الطريق الصحيح. عمل مختبرك الخاص واجراء التجارب فيه أمر ممتاز جدّاً تخيل أخي قبل سنوات عدّة لم تكن هذه التقنية متوفرة لي على الأقل وكان علي للتّجريب تنصيب النظام وحذفه وتنصيب غيره وحذفه والميزانيّة متواضعة لا تتحمل اكثر من حاسوب واحد فالحمد لله على هذه النعمة ان يسّر لنا تقنية الافتراضيّة.
هذا موقع مفيد جدّاً إن كنت لا تسمع به من قبل
http://www.howtoforge.com/
أهم ما فيه هو شرح كيفيّة بناء خادم او سطح مكتب ثم طرح برامج عديدة الكثير منها لم أسمع به من قبل واستفدت منه كثيراً وإن شاء الله أنّك يجد فيه فائدة لك في مشوارك.
وفقك الله لكل خير .. وشدّ حالك في الامتحانات إن شاء الله نسمع منك أخبار طيّبة.
الحمد لله فعلا على هذه التقنه ومنذ عدة ايام قرأت عن برنامج اسمه VirtualBox من شركة sun ومجانى ايضا وبعون الله راح احاول اتعرف عليه عن قرب فى خلال الايام القليله القادمه وبالفعل هذه التقنيه اشبه بافلام الخيال العلمي هههههههههههه فهوه بمثابة حقل التجارب لى فى التعرف على مختلف الانظمه وتجربتها بدون اي تعب او زياده فى التكلفه فهوه وفر لنا الكثير والحمد لله فهوه نعمه لنا
شكرا لك اخي على هذا الموقع وان شاء الله راح تسمع كل خير واتمني ان اسمع عنك كل خير باذن الله
وفقك الله أخي محمود لما فيه خير الدّارين…وإن شاء الله نسمع منك وعنك الاخبار الطيّبة.
السلام عليكم ورحمة الله وبركاته
كيف حالك اخوي باحث وجزاك الله خير الجزاء وكثر الله من امثالك وغفر لك ولنا وتقبل الله
منا ومنكم صالح الاعمال
اخوي طيب بالنسبة للناس المبتدئين مثلي ماذا تنصحني به وبماذا ابدء
مع العلم اني اجيد استخدام الكمبيوتر في نظام ويندوز xp و ويندوز vista ونظام liunx ubuntu
ولكن مجرد مستخدم عادي يعيني غير متخصص في مجال لكني بديت اهتم بالبرمجة وانا الان اتعلم الاوراكل
فا اريد نصيحة منك اخي الكريم بماذا تكون البداية هل بالبرمجة ثم الشبكات ثم امن المعلومات
ام العكس
ام ابدء بالكل مرة واحدة يعني اتعلم شوية برمجة وشوية شبكات وبعظ المصطلحات التى تخص الامن
وع مرور الوقت اصبح محترف
مع العلم طموحي ان اعمل في مجال penetration testing
ما اريدة هو النصحية وكيف تكون البداية لان اتوقع ان اهم سبب من اسباب النجاح هو البداية السليمة والصحيحية
بنتظار ردك اخي الكريم باحث ولك جزيل شكري وتقديري
وعليكم السلام ورحمة الله وبركاته
أخي سالم بارك الله فيك….ولك بمثل ما دعوت لي أخي العزيز.
سؤالك طرح في هذه المدوّنة أكثر من مرة ولذلك إن شاء الله سأخصص بعض التدوينات في هذا الموضوع حتى تعم الفائدة على الجميع. أهم شيء هو الهدف. إذا كنت تريد أن تصبح pen tester فالسؤال لماذا؟ هل لأنك تحب هذه المواضيع أم لديك دافع آخر؟ حسب إجابتك يمكنك الانطلاق. أخوك جرب هنا وهناك وانتقل بين برمجة وشبكات وقواعد بيانات وخلافه. مع أن الرغبة كان شيء ولكن واقع الحياة شيء آخر. فنصيحة لك عن تجربة اذهب مع ما تحب على صعوبة المسار.
هذا رابط سيساعدك كثيراً…على الأقل ساعدني أيام قراءته ولم تكن منه نسخة عربية بعد.
http://www.slashproc.net/doc/howto-ar.html
و إن شاء الله قريباً سأضع بعض التدوينات حول هذا الموضوع والتخصصات بشكل عام.
في رعاية الله
ورمضانك مبارك. لا تنسني من دعائك.
بارك الله فيك اخي باحث وجزاك الله خير الجزاء
وكثر الله من امثالك ووفقك لما يحبة ويرظاه
وبنتظار مواضيعك الشيقة اخي باحث
في حمى الرحمان
وفيك بارك الله أخي سالم. ولك بمثل ما دعوت لي.
تفصيل جميل .. ورائع تشكر عليه عزيزي ..
وان شاء الله ناوي على عدة شهادات أمن .. بس ان شاء الله بعد مانتهي من الكورسات المرتبة حاليـاً *_^
لك ودي
حيّاك الله…بالتوفيق أخي الكريم…:)