HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TỒN THƠNG TIN



--------------

BÁO CÁO CHUN ĐỀ HỆ THỐNG THƠNG TIN

ĐỀ TÀI:
“Tìm hiểu về các chứng chỉ ATTT trên thế giới”
Giáo viên hướng dẫn:
ThS. Nguyễn Anh Khơi
Sinh viên thực hiện:

MSSV:

Nguyễn Tấn Lộc

AT160818

Trần Hồi Phú

AT160824

Trần Thị Hưng Phương Thanh

AT160831

Thứ 5, ngày 6 tháng 10, năm 2022.

Lời cảm ơn
Lời đầu tiên, nhóm em xin gửi lời tri ân sâu sắc đến thầy
ThS. Nguyễn Anh Khối– người đã trực tiếp hướng dẫn và chỉ bảo cho
nhóm em hồn thành bài báo cáo Chun Đề Hệ Thống Thơng Tin
này. Thầy đã giúp chúng em tích lũy thêm nhiều kiến thức hay và bổ
ích. Từ những kiến thức mà thầy truyền đạt, nhóm em xin trình bày
lại những gì mình đã tìm hiểu về bài báo cáo với đề tài “Tìm hiểu về
các chứng chỉ ATTT trên thế giới” gửi đến thầy.
Do kiến thức cịn hạn hẹp nên khơng tránh khỏi những
thiếu sót trong q trình hồn thành bài báo cáo này. Mong thầy xem
và góp ý để chúng em rút kinh nghiệm và bài báo cáo của nhóm em
được hồn thiện hơn.
Kính chúc thầy hạnh phúc, dồi dào sức khỏe và thành
công hơn nữa trong công việc và cuộc sống.

Chúng em xin chân thành cảm ơn!


Mục Lục

Chương I: Lời Mở Đầ
u....................................1
Chương II: Các Chứng Chỉ An Tồn Thơng Tin..............2
1. Tổ
ng qt vềcác lĩnh vực của an tồn thơng tin.....2
1.1. Security Management là gì?......................2
1.2. Network Security là gì?.........................2
1.3. Security Architecture and Engineering là gì. . . . .3
1.4. Penetration Testing là gì?......................3

2. Cybersecurity skill roadmap.........................4
2.1. Sans Cyber Security Skills Roadmap..............4
2.2. CompTIA Cyber Security Skills Roadmap...........7
2.3. Gartner Cyber Security Skills Roadmap...........7
3. Giới thiệu vềcác tổchức cấ
p chứng chỉ uy tín trên
thế
giới..................................................9
3.1

COMPTIA.........................................9

3.2 (ISC)²
....................................................
10
3.3 PMI
....................................................
10
3.4 ISACA
....................................................
11
3.5 CISCO
....................................................
11
3.6 EC-COUNCIL
....................................................
12


4. Các loại chứng chỉ an tồn thơng tin theo từng mảng

......................................................
12
4.1. Chứng Chỉ Security+
....................................................
12
4.2. Chứng Chỉ CISSP
....................................................
15
4.3. Chứng Chỉ PMP
....................................................
19
4.4. Chứng Chỉ CISM
....................................................
21
4.5. Chứng Chỉ CCNP
....................................................
22
4.6. Chứng Chỉ CCIE
....................................................
25
4.7. Chứng Chỉ A+
....................................................
27


4.8. Chứng Chỉ Linux+...............................30
4.9. Chứng Chỉ CASP+................................33
4.10. Chứng Chỉ CEH.................................36
4.11. Chứng Chỉ PENTEST+............................43
4.12. Chứng Chỉ OSCP................................45

Chương III: Tổ
ng Kế
t...................................48
1. So sánh các chứng chỉ trong cùng lĩnh vực..........48
1.1. Penetration Testing............................48
1.2. Security (Architecture - Management)...........49
1.3. Network Security...............................49
2. Những chứng chỉ tố
t nhấ
t theo từng mảng trong an tồn
thơng
tin...................................................50
2.1. Penetration Testing-OSCP.......................50
2.2. Security Architecture and Engineering-CASP+. . . .51
2.3. Network Security-CCIE..........................52
2.4. Security Management-CISM.......................52
3. Một vài feedback của các chứng chỉ.................53
3.1. Chứng Chỉ Pentest+.............................53
3.2. Chứng Chỉ CEH..................................53
3.3. Chứng Chỉ Linux+...............................54
3.4. Chứng Chỉ A+...................................54
3.5. Chứng Chỉ Security+............................54
3.6. Chứng Chỉ CCNP.................................55
3.7. Chứng Chỉ PMP..................................55
3.8. Chứng Chỉ CISSP................................55
4. Kế
t luận...........................................56
Chương IV: Tài Liệu Tham Khảo..........................57

2



Chương I: Lời Mở Đầu
Cho dù bạn là người mới về cơng nghệ và đang tìm kiếm các chứng
chỉ cơ bản hay một chuyên gia dày dạn kinh nghiệm muốn nhận được sự
công nhận cho các kỹ năng và kinh nghiệm chun ngành của mình, đều sẽ
có chứng chỉ dành cho bạn.
Mặc dù các chứng chỉ công nghệ tốt nhất là những chứng chỉ phục
vụ cho mục tiêu kinh nghiệm và nghề nghiệp của bạn, nhưng những chứng
chỉ này có thể giúp bạn đảm bảo một công việc với phúc lợi tốt hơn trong
lĩnh vực CNTT, ATTT. Các chứng chỉ về ATTT giúp bạn thể hiện bộ kỹ
năng của mình để có ưu thế cạnh tranh trong việc tăng lương cũng như đáp
ứng đủ điều kiện cho các vị trí được trả mức lương cao hơn.
Trên bài viết này, bạn sẽ tìm thấy những khám phá về các chứng chỉ
cơng nghệ, an tồn tốt nhất có sẵn vào năm 2022. Bạn sẽ khám phá các loại
chứng chỉ ATTT khác nhau, những gì bạn cần chuẩn bị cho các kỳ thi
chứng chỉ và nơi để tìm hiểu sâu thêm về chúng.

1


Chương II: Các Chứng Chỉ An Tồn Thơng Tin
1. Tổng qt về các lĩnh vực của an tồn thơng tin
1.1.

Security Management là gì?
Lĩnh vực “Quản lý bảo mật” là một lĩnh vực rộng lớn bao gồm tất
cả các khía cạnh của việc bảo vệ tài sản của một tổ chức. Từ máy tính, con
người, tịa nhà đến các tài sản khác (hệ thống thông tin, hệ thống mạng và
viễn thông...) để bảo vệ dữ liệu của tổ chức, chống lại các rủi ro.

Chiến lược quản lý bảo mật bắt đầu bằng cách xác định các tài sản
này, phát triển, thực hiện các chính sách và quy trình bảo vệ chúng, Đồng
thời duy trì và nâng cấp các chương trình này theo thời gian.
Các chuyên gia làm việc trong quản lý bảo mật có thể bao gồm từ
những nhân viên bảo vệ đến các chuyên gia CNTT phát triển các hệ thống
mạng và ứng dụng phần mềm công nghệ cao.

1.2.

Network Security là gì?
Theo cisco.com, Lĩnh vực “An ninh mạng” là hoạt động bảo vệ hệ
thống, mạng và chương trình khỏi các cuộc tấn công kỹ thuật số. Các cuộc
tấn công mạng này thường nhằm vào việc truy cập, thay đổi hoặc phá hủy
thông tin nhạy cảm; moi tiền người dùng; hoặc làm gián đoạn các quy trình
kinh doanh bình thường.
Nó có thể được định nghĩa thêm là việc bảo vệ các hệ thống được
kết nối internet như phần cứng, phần mềm và dữ liệu khỏi các mối đe dọa
mạng. Với tính năng an ninh mạng mạnh mẽ, các cá nhân và doanh nghiệp
được bảo vệ chống lại các truy cập trái phép được thiết kế để thay đổi, xóa
và phá hủy dữ liệu nhạy cảm.

2


1.3.

Security Architecture and Engineering là gì
Lĩnh vực “Kỹ thuật và kiến trúc bảo mật” bao gồm các chủ đề quan
trọng liên quan đến các kế hoạch, thiết kế và nguyên tắc kỹ thuật bảo mật.
Các chủ đề bao gồm đánh giá và giảm thiểu các lỗ hổng của hệ thống thơng

tin, các khái niệm cơ bản về mơ hình bảo mật và kiến trúc bảo mật trong
các lĩnh vực quan trọng như kiểm soát truy cập, điện toán đám mây, mật
mã, xâm nhập hệ thống (ransomware, injection và hơn thế nữa) và các hệ
thống ảo hóa cũng được đề cập trong chủ đề này.

1.4.

Penetration Testing là gì?
Lĩnh vực “Penetration Testing” viết tắt là PenTest (Pen Testing –
Kiểm thử thâm nhập). Đây là một kiểu của Security Testing, dùng để phát
hiện ra các lỗ hổng, rủi ro hay mối đe dọa bảo mật mà các hacker có thể khai
thác trong ứng dụng phần mềm, mạng hay ứng dụng web. Mục đích của
3


PenTest là xác định và kiểm tra tất cả lỗ hổng bảo mật có thể có trong phần
mềm và hệ thống công nghệ thông tin. Người thực hiện một thử nghiệm
xâm nhập được gọi là kiểm tra xâm nhập hoặc pentester.

2. Cybersecurity skill roadmap
2.1.

•

Sans Cyber Security Skills Roadmap

Với Roadmap của Sans thì có 4 hướng:
Hướng Management:

4



•

Hướng Red team:

•

Hướng Blue team:

5


•

Hướng Threat Hunting:

6


2.2.

CompTIA Cyber Security Skills Roadmap

2.3.

❖

1.


Gartner Cyber Security Skills Roadmap
Chuyển đổi kinh doanh kỹ thuật số và các hệ thống cyber-physical
mới nổi tạo ra rủi ro bảo mật chưa từng có. Đáp lại, nhiều tổ chức áp dụng
các phương pháp tiếp cận an ninh mạng mới. Đến năm 2023, 75% tổ chức
sẽ cơ cấu lại quản trị risk and security để giải quyết các hệ thống cyberphysical (CPS) mới và các nhu cầu về CNTT, OT, Internet of Things (IoT)
và nhu cầu bao mật physical, tăng từ mức dưới 15% hiện nay.
Các giai đoạn chính:

Thơng tin chi tiết về phương pháp hay nhất này được chắt lọc từ các
tương tác với khách hàng đã triển khai thành công các sáng kiến an ninh
mạng. Bản đồ này cho thấy trình tự các mục tiêu và kết quả mong muốn và
rất hữu ích để gắn kết tất cả các bên liên quan.

“Điều chỉnh chiến lược” và “Xây dựng kế hoạch hành động”

7


2.

“Bắt đầu thực hiện” và “Xây dựng, phát triển chương trình”

3.

“Đánh giá” và “Tối ưu hóa”

8


❖


Ai có nhu cầu được tham gia?

3. Giới thiệu về các tổ chức cấp chứng chỉ uy tín trên thế giới
3.1

COMPTIA
Hiệp hội Cơng nghệ Cơng nghệ Điện tốn (CompTIA) là một hiệp
hội thương mại phi lợi nhuận của Mỹ, ban hành các chứng nhận chuyên
nghiệp cho ngành công nghệ thông tin (CNTT). Nó được coi là một trong
những hiệp hội thương mại hàng đầu của ngành CNTT. Có trụ sở tại
Downers Grove, Illinois, Comptia đưa ra các chứng nhận chuyên nghiệp
trung lập của nhà cung cấp tại hơn 120 quốc gia. Tổ chức phát hành hơn
50 nghiên cứu ngành hàng năm để theo dõi xu hướng và thay đổi của
ngành. Hơn 2,2 triệu người đã kiếm được các chứng nhận Comptia kể từ
khi hiệp hội được thành lập.

•
•
•
•
•

Comptia cung cấp các chứng chỉ sau:
CompTIA A+
CompTIA Linux+
Chuyên gia bảo mật hệ thống thông tin (CISSP)
CompTIA Security+
CompTIA Pentest+
9



•

Chứng chỉ bảo mật tấn công chuyên nghiệp (OSCP)
3.2

(ISC)²
2

Hiệp hội chứng nhận bảo mật hệ thống thông tin quốc tế-(ISC) , là
một tổ chức phi lợi nhuận chuyên đào tạo và chứng nhận cho các chuyên
gia an ninh mạng. Nó đã mơ tả trên trang web của mình là "Tổ chức
chuyên nghiệp về an ninh, CNTT hàng đầu thế giới", với hơn 168,000
thành viên đã được cấp chứng nhận. Chứng chỉ được biết đến rộng rãi nhất
2
được cấp phép bởi (ISC) là Chứng chỉ Bảo mật Hệ thống Thông tin
chuyên nghiệp (CISSP).

2

(ISC) cung cấp các chứng chỉ sau:
Chứng chỉ Chuyên gia bảo mật hệ thống thông tin (CISSP)
Chứng chỉ Chuyên gia về an ninh hệ thống (SSCP)
Chứng chỉ Chuyên gia bảo mật điện tốn đám mây (CCSP)

•
•
•
3.3


PMI
Viện Quản lý Dự án, tên tiếng Anh là Project Management Institute
(PMI) được thành lập năm 1969, là một tổ chức chuyên nghiệp phi lợi
nhuận, dành riêng cho phát triển tiến bộ quản lý dự án tiên tiến nhất. Đây là
hiệp hội hàng đầu thế giới của các nhà quản lý dự án chuyên nghiệp.
Các chứng chỉ của Viện Quản lý Dự án được công nhận rộng rãi
trong cộng đồng các nhà quản lý dự án. PMI cung cấp các chứng nhận
chuyên môn sau đây:

•
Chứng chỉ Quản lý dự án chuyên nghiệp Project Management
Professional (PMP)
•
Chứng chỉ Quản lý rủi ro chuyên nghiệp PMI Risk Management
Professional (PMI-RMP)
•
Chứng chỉ Quản lý tiến độ dự án chuyên nghiệp PMI Scheduling
Professional (PMI-SP).

10


3.4

•
•
•

ISACA

ISACA là từ viết tắt của Hiệp hội Kiểm tra và Kiểm sốt Hệ thống
Thơng tin, trước đây được gọi là Hiệp hội Kiểm tra và Kiểm sốt Hệ thống
Thơng tin. ISACA được thành lập vào năm 1969 bởi một nhóm nhỏ các
chuyên gia nhận thấy nhu cầu về nguồn thông tin tập trung và sự trợ giúp
trong lĩnh vực kiểm sốt kiểm tốn hệ thống máy tính đang phát triển
nhanh chóng. Đây là danh sách các chứng chỉ do ISACA cung cấp:
CISA - Kiểm tốn hệ thống thơng tin được chứng nhận
CISM - Người quản lý bảo mật thông tin được chứng nhận
CGEIT - Được chứng nhận về Quản trị CNTT Doanh nghiệp.

3.5

•
•
•

CISCO
Tập đồn Hệ thống Cisco được thành lập năm 1984 bởi hai nhà
khoa học về máy tính và bắt đầu trở nên nổi tiếng năm 1990.[3] Sản phẩm
đầu tiên của công ty là "Bộ định tuyến", kết nối với phần mềm và phần
cứng hoạt động như hệ thống giao thông trên tổ hợp mạng TCP/IP1 để tạo
ra mạng Internet (Giống trong các doanh nghiệp gọi là Intranet – Mạng nội
bộ). Cisco cung cấp các loại chứng chỉ:
Chứng chỉ cộng tác viên mạng (CCNA)
Chứng chỉ chuyên gia mạng (CCNP)
Chứng chỉ chuyên gia quản trị mạng (CCIE).

11



3.6

•
•
•

❖
a

EC-COUNCIL
Hội đồng Tư vấn thương mại điện tử quốc tế (hay còn gọi là Hội
đồng EC) là một tổ chức của Mỹ cung cấp chứng nhận, giáo dục, đào tạo
và dịch vụ an ninh mạng trong các kỹ năng an ninh mạng khác nhau. Hội
đồng EC có trụ sở tại Albuquerque, New Mexico và đã chứng nhận hơn
237.000 chuyên gia từ 145 quốc gia. Các chứng nhận, bằng cấp của hội
đồng đều nằm trong TOP 10 và danh sách tiếp tục tăng lên Ec-Council
cung cấp các chứng chỉ bảo mật sau:
Hacker mũ trắng (CEH),
Chuyên gia điều tra tội phạm máy tính (CHFI)
Chuyên gia phân tích bảo mật (ECSA).

4. Các loại chứng chỉ an tồn thơng tin theo từng mảng
Security Management:
4.1. Chứng Chỉ Security+
Khái niệm
CompTIA Security+ là chứng nhận bảo mật đầu tiên mà sinh viên
nên đạt được. Nó thiết lập kiến thức cốt lõi cần thiết cho bất kỳ vai
trò an ninh mạng nào và cung cấp bàn đạp cho các công vi ệc an ninh
mạng cấp trung. Security+ kết hợp các thực tiễn tốt nhất trong kh ắc
phục sự cố thực hành, đảm bảo ứng viên có các kỹ năng giải quy ết

vấn đề bảo mật.

12


b

c

✓

u cầu
Có ít nhất 2 năm kinh nghiệm trong việc quản trị hệ thống và bảo mật
Có kinh nghiệm làm việc hàng ngày với bảo mật thông tin kỹ thuật. Có
kiến thức rộng về các khái niệm bảo mật, triển khai và những công
việc liên quan tới bảo mật.
Thông tin kỳ thi
Giới thiệu về kỳ thi:

Security+ đạt các tiêu chuẩn ISO 17024 và được Bộ Quốc Phòng
Hoa Kỳ phê duyệt để đáp ứng các yêu cầu chỉ thị 8140/8570.01-M. Các cơ
quan quản lý và chính phủ dựa vào chứng nhận ANSI, bởi vì nó cung cấp
sự tự tin và tin tưởng vào đầu ra của một chương trình được cơng nhận.
Hơn 2,3 triệu kỳ thi được công nhận bới ISO/ANSI đã được thực hiện kể từ
ngày 1 tháng 1 năm 2011.
Mã
Số

kỳ thi (Version)


SY0-601

lượngcâu hỏi

Tố
i đa 90 câu

Loại câu
Thời
Điểm

hỏi

gian thi
đậu

Trắ
c nghiệm và tự luận
90 phút
750 (trên thang điể
m 900)

13


Chi phí

✓
✓


$392/kỳ thi

Chi tiết kỳ thi:
Mục tiêu kỳ thi (Lĩnh vực):

Bảng dưới đây liệt kê các lĩnh vực được đánh giá trong kỳ thi này và
mức độ kiến thức
LĨNH VỰC TỶ LỆ PHẦ
N
TRĂM CỦA BÀI THI SY0-601
Tấ
n công, Đe doạ và

Lỗhổ
ng bảo mật

24%

Kiế
n trúc và thiế
t kế

21%

Triể
n khai

25%

Vận hành và Ứng phó


với sự cố

16%

Quản lý, Rủi ro và Tuân thủ

14%

Tổ
ng cộng

100%

d
Giá trị
•
Đánh giá tình trạng bảo mật của doanh nghiệp, đề xuất và thực
hiện các giải pháp bảo mật phù hợp
•
Giám sát và bảo mật mơi trường Mạng, bao gồm Đám Mây,
Thiết Bị Di Động và IoT
•
Hoạt động với nhận thức về các luật và chính sách hiện hành,
bao gồm các nguyên tắc quản trị, rủi ro và tuân thủ
•
Xác định, phân tích và ứng phó với các sự kiện và sự cố bảo
mật.

✓


Kỹ năng đạt được:

Tấn công, đe dọa và lỗ hổng:
Tập trung vào nhiều mối đe dọa, cuộc tấn công và lỗ hổng trên
Internet từ các thiết bị tùy chỉnh mới hơn phải được giảm thiểu, chẳng hạn
như IoT và các thiết bị nhúng, các cuộc tấn công DDoS mới hơn và các
cuộc tấn công kỹ thuật xã hội dựa trên các sự kiện hiện tại.
Kiến trúc và thiết kế:
Bao gồm phạm vi bao phủ của môi trường doanh nghiệp và sự phụ
thuộc vào đám mây, đang phát triển nhanh chóng khi các tổ chức chuyển
sang mạng lai.
Thực hiện:
14


Mở rộng để tập trung vào quản trị danh tính, quản lý truy cập, PKI,
mật mã cơ bản, không dây và bảo mật đầu cuối.
Hoạt động và ứng phó sự cố:
Bao gồm các quy trình đánh giá bảo mật và ứng phó sự cố của tổ
chức, chẳng hạn như phát hiện mối đe dọa cơ bản, kỹ thuật giảm thiểu rủi
ro, kiểm soát bảo mật và pháp y kỹ thuật số cơ bản.
Quản trị, rủi ro và tuân thủ:
Mở rộng để hỗ trợ quản lý rủi ro của tổ chức và tuân thủ các quy định,
chẳng hạn như PCI-DSS, SOX, HIPAA, GDPR, FISMA, NIST và CCPA.
e

•
•
•

•
•
•
•
•
•
•

Cơ hội nghề nghiệp
Có chứng chỉ CompTIA Security+ thì mức lương trung bình ta có
thể nhận được thường rơi vào $110,974.
Các vai trị bạn có thể đảm nhận khi có chứng chỉ:
Chuyên viên tư vấn bảo mật
Chuyên viên phân tích bảo mật
Giám đốc bảo mật
Kỹ sư bảo mật hệ thống
Giám đốc/ Trưởng phòng CNTT
Giám đốc an ninh thông tin (CISO)
Chuyên viên đánh giá bảo mật
Giám đốc bảo mật
Kỹ sư an ninh mạng
Kỹ sư mạng
4.2.
a

Chứng Chỉ CISSP
Khái niệm
Chứng chỉ CISSP, Chuyên gia Bảo mật Hệ thống Thông tin, là chứng
chỉ cao cấp dành cho các chuyên gia về bảo mật muốn chứng minh rằng họ có
thể thiết kế, triển khai và quản lý một chương trình an ninh mạng ở cấp doanh

nghiệp. Chứng chỉ này được cung cấp bởi Hiệp hội Chứng nhận Bảo mật Hệ
thống Thông tin Quốc tế (International Information System Security
2

Certification Consortium), hay còn gọi là (ISC) , một tổ chức phi lợi nhuận
tập trung vào chứng nhận và đào tạo cho các chuyên gia an ninh mạng. CISSP
2

là chứng chỉ được biết đến rộng rãi nhất của (ISC) .
Với hơn 20 năm lịch sử, CISSP là một chứng chỉ có giá trị, được tơn
trọng và nó có thể giúp thúc đẩy sự nghiệp của bạn. Để đạt được chứng chỉ
15