微软为什么没有单独的安全认证？

　 这里要说的是微软很可能会推出一种新的认证，面向桌面系统支持和安全。关于该项认证的讨论要追溯到上个月CompTIA 2002策略大会上了。微软的Judith Morel在会上谈到一份涉及世界范围内的工作任务调查报告，该报告指出MCSA和MCSE的工作重点不在客户端的系统。同时她补充到仍旧有对安全认证的强烈需求。 

　　桌面系统支持是需要补充的一片空白。这几年里，企业的桌面支持人员转向CompTIA的A+或者Network+认证，这些认证可以证明他们的桌面系统和基本的网络知识的能力。但是，没有理由推出一项关于安全的认证。 

　　看起来好像......

　　有一个显而易见的事实是微软在MCP方面的软化的政策，看起来更像是这样一种状况。如果IT人士的呼声越高，那微软就软化的越快。

　　首先，Windows NT 4的终结期被延长了。然后微软宣布认证不再有过期的说法。最近微软又再次宣布他们经过再次考虑，仍旧决定微软的考试仅仅提供通过/失败的结果。所有的这些都是针对可能削弱微软认证的方面。

　　对于微软取消了考试的具体分数仍旧存在较大的争议，我相信具体的分数是没用的。毕竟考试是测试你对IT知识的理解和经验，而不是帮助你获得认证。

　　现在看来微软可能会屈从于大众对安全认证的要求。一月份的时候，微软的立场是-我们拥有足够的认证，安全认证是不需要的。

　　那时候是那时候，现在是现在

　　在我看来，Microsoft考虑安全认证的唯一理由是太多的IT人员需要这样一个认证。我不同意的理由是，我还没有发现有任何一个独立的软件厂商和硬件厂商推出自己的安全认证。还是把安全认证交给独立认证机构吧，比如CompTIA。

　　每一门课程都测试安全的知识

　　还记得微软的TCP/IP课程吧?Exam 70-059: Internetworking with Microsoft TCP/IP on Microsoft Windows NT 4.0。在1998年的时候它还是一门必修课程。许多观察家都不明白为什么微软在TCP/IP对各种协议成压倒性优势的时候取消了该课程。

　　微软的解释相当合理。TCP/IP已经成为公认的标准，太重要了，确实很重要。微软觉得TCP/IP不应该成为一门选修课或者拥有单独的测试。有些矛盾?继续。实际上有些获得MCSE的人员确实没有具备相应的TCP/IP技能，微软为了避免这个问题，开始将TCP/IP的知识融合到每一门考试中去，也就是要求应试者必须拥有TCP/IP的知识，而不要考虑选择什么样的途径绕过去。你绕不过去，那是基础。这是一个相当明确和正确的决定。

　　我相信微软也会在安全领域采取相应的措施。

　　无论进行Windows XP支持，管理Exchange Server 2000还是配置Windows .Net Server的课程，都可能遇到关于安全的问题。安全的内容就像其他主题一样重要，别考虑这门课程是关注客户操作系统，或者关键应用比如企业级Email,或者管理和配置服务器。

　　对微软现有的测试做一个快速的回顾，我们看到这种趋势。在Windows 2000Pro的测试中将测试到:

　　用Encrypting File System (EFS)加密硬盘上的数据。

　　实现，配置，管理本地安全策略并对其查错。

　　实现，配置，管理安全配置并对其查错。

　　Windows 2000服务器测试如下技能:

　　配置服务包，通常会包括安全组件。

　　安装，配置虚拟专用网，并对其查错。

　　使用安全配置工具实现，配置，管理安全。

　　Windows 2000网络架构管理考试测试以下内容:

　　激活，配置，定制和管理IPSec。

　　删除EFS恢复键

　　管理和检测网络流量

　　配置远程访问安全。

　　微软考试70-220: Designing Security for a Microsoft Windows 2000 Network比较深入的讨论了安全的问题。同样考试70-207: Installing, Configuring, and Administering Microsoft Internet Security and Acceleration (ISA) Server 2000, Enterprise Edition也涉及了很多的这方面的内容。

　　上面讲述的仅仅是一个例子，证明微软已经在测试应试者安全方面的知识。它要做的是进一步努力来确保每一个认证的考试中都会测试应试者安全方面的知识。

　　为什么仍旧有安全问题的存在?

　　一旦对网络采取了安全措施，也仅仅做了能做的来保证堵住现有的缺口。这并不能保证当有新的病毒来袭或者什么人又发现了新的漏洞的时候保护你的资源。我还没有看见过任何的安全方面的认证可以使你得到避免未知漏洞侵扰的能力。

　　微软的软件经常地会被发现漏洞因为有一个庞大的基于个人的大团体一直不听得在寻找微软软件的Backdoor,裂缝，漏洞和其他软弱的地方。他们选择微软的产品做为目标是因为大量的企业使用微软的产品。如果OS/2也有这样市场，我觉得比较苦，因为你需要阅读更多的关于os/2的补丁文章了。

　　总结

　　厂商们能做到的最好的就是测试IT人员，让他们了解基本的安全措施，保证他们在管理软件和配置硬件的时候知道怎样使用安全工具保证随时更新，他们就放心了。
认证可以帮助加强这方面的知识，但是新的认证并不能解决这个问题。正确的方法是把安全的知识糅合到每一个IT考试中去。