今天看到一篇博文,針對信息安全從業分類而言,有幾分道理,當然其中也有很多不足的地方,部分內容也有一定的老舊,但這些不足的地方正好可供給大家一塊兒交流談討了,希望這篇文章能對大家的職業規劃有所幫助。
————————————————————————————————————————————————————————————————————————————————————————————————————————
信息安全從業的幾個分類:
[漏洞挖掘/安全技術研究員]
研究對象:OS,網絡,應用,通訊媒介及協議的安全漏洞和防禦方法,偏重於底層技術,對技術要求最高,但不要求很全面,只需精通一兩種流行的平臺即可。其研究成果經常爲IDS/IPS/Vulnerability Scanner插件作分析等,最新的技術可能被轉化到產品中實現商業價值,或可能承擔技術最高的一部分專業安全服務。
主要技能:C\C++,ASM,OS kernel,調試器,反彙編、緩衝區溢出類,邏輯編程錯誤等
[安全產品開發]
和其他程序員一樣,只不過是面向安全產品,有核心引擎也有界面開發,如何成爲一個優秀的程序員就不用我廢話了吧,網上的Proposal多的是
[產品/售後工程師]
作爲廠商的技術人員,一般是對自有產品做售後技術支持,如FW,***,IDS/IPS,Scanner,AV,AAAA,CF,UTM,SOC,Terminal Management,Vulnerability/Patch Management,Anti-DOS,Anti-Spam……該職位對技術要求一般,有一定的系統、網絡基礎,可以熟練部署產品即可,另外還有Testing和Troubleshooting的能力也是比較重要的
[技術顧問/售前工程師]
作爲廠商的售前,須對自有的產品和解決方案非常熟悉,售前偏重於架構/方案設計,Presentation,Documentation以及其他Presale Engineering的能力(如投標、銷售推介技能),一般需要多年工作經驗,有售後或者研發背景,對特定行業的理解-如曾在電信、金融或者SI的工作經驗能增強競爭力,如能對專業安全技術服務及諮詢服務有所掌握,會使你的知識背景更強勢,項目管理技能也是必要的。
[安全服務工程師]
個人覺得在安全工程領域,產品選型和部署相對簡單,門檻較高的是專業安全服務,先不論當前行業內的安全服務技術人員實際水平如何,我只是就我的理解談一下以下職位的技能需求。如***測試、安全加固、安全外包/安全監控,應急響應,高級安全技術培訓,風險評估等要求技術人員對主流的操作系統平臺,網絡設備,數據庫,企業應用有一定程度的掌握,並且需要融入對安全和***技術的理解,另外安全服務人員最好需要有信息安全管理和項目管理的知識。溝通表達以及文檔撰寫能力都是必須的。
[安全架構師]
之前的售前工程師和安全服務工程師也要寫整體解決方案,但從專業程度來說,他們還達不到安全架構師的技術高度,安全架構師須熟悉IT基礎設施、容災備份,大型企業級應用,安全集成,網絡設計規劃,網絡安全產品典型部署,熟悉各種通信標準及協議,需要了解安全趨勢和客戶的整體安全需求,既有深度又有廣度,需要較多的經驗和技術。
[信息安全諮詢顧問]
信息安全既有技術也有管理的問題,如傳統的Strategy、HR、IT consulting一樣,Information Security Consulting也是專業服務中的主要業務,如:Risk Assessment、ISMS building、SOX Compliance……
信息安全不可能脫離企業自身的業務和實際需求,否則便成了空中樓閣,信息安全管理應該是以企業管理爲上層引導,信息安全管理爲中間支柱,下層以計算機及通信技術爲基礎依託的三層結構,當然出售的最終產物是三層融合的整體解決方案,諮詢顧問一般需要以下技能:
熟悉各類安全標準--BS7799,ISO13335,CC,SSE-CMM,IATF,SP800……
相關的知識領域—IT Governance,ITIL/ITSM,MOF,COBIT,SOA,COSO……
諮詢體系--企業經營管理,流程管理,人力資源管理,信息戰略,法律法規
基本技能--溝通表達、文檔、項目管理
技術體系--All above(不要因爲我說了這句話趨之若鶩哦)
[CHO]
這裏並不是指人力資源總監,而是傳說中的Chief Hacker Officer--首席***官,在國外某些公司設有此類職位,是更加純技術的職位,從名字就可以看出他的技術偏向哪裏,實際上應該是安全教科書中的Whitehat,從Know your enemy的角度講,反黑的的能力也確實強
[CSO/CISO]
一般只有較大的組織機構才單獨設有首席安全官或首席信息安全官,在沒有獨立設置CSO職位的情況下,信息安全通常屬於CIO/CTO/COO考慮的範疇,實際上也由他們扮演CSO的角色,因此換個角度—信息安全管理諮詢應該是in CXO’s perspective,實際上高級諮詢顧問到甲方即可成爲CSO
通用且有一定競爭力的認證:
CISSP,CISM,CISA,ISO27001 LA/foundation
可供職的廠商:
國內專業安全公司:綠盟科技、啓明星辰、天融信、聯想網禦、安氏、深信服
國外安全公司:ISS、Mcafee、Symantec、Checkpoint、TrendMirco
各大IT公司:Microsoft、HP、IBM、Cisco、Juniper、F5、Various vendors
會計事務所:PWC、E&Y、KPMG、DTT……
諮詢公司:Accenture
甲方:如電信移動、金融、各大門戶、電子商務以及IT系統對內部運營起到關鍵作用的企業
乙方:各信息安全服務提供企業(多爲系統集成商轉型),亦有專門提供此類服務的企業,就目前而言,國家大力倡導。
薪酬:
職位當然是影響Salary的重要因素,除此之外,審計師/諮詢顧問、安全架構師和研究員的工資較高,外企的工資一般比國內企業高,在甲方的工資不一定有乙方高,主要看所在行業、企業盈利程度和對信息安全的**程度,但乙方高薪職位通常來說比甲方更忙碌,其實質也是用時間換工資,從行爲經濟學看未必很實惠。
職業發展路線
研究員-高級安全研究員
開發程序員-項目經理
產品工程師-安全服務工程師-售前技術顧問
產品工程師-安全服務工程師-安全服務項目經理
產品工程師、安全服務工程師、技術顧問有兩個發展方向:
1. 偏技術方向—安全架構師
2. 偏管理方向—諮詢顧問
甲方和乙方的角色切換,如果對當前的視角失去了興趣,不妨換個角度,如果結婚了尋求安定不想出差可以去甲方
當然以上只是理論公式,現實生活中的“天花板”在哪裏有機會可以自己去體驗一下
知識體系結構
大體分爲技術體系和管理體系吧
技術體系:
對***技術的理解
OS、Network、Application、Data protection and related
TCP/IP protocol suits
研究偏重底層技術,架構偏重網絡
安全管理體系:
各種信息安全技術/管理標準,審計及內部控制標準
傳統管理學大集合
諮詢及審計
其他:
對客戶業務的理解
表達溝通,文檔,演講,項目管理和銷售技能