信息安全從業(yè)參考
[漏洞挖掘/安全技術(shù)研究員]
研究對象:OS����,網(wǎng)絡(luò),應(yīng)用���,通訊媒介及協(xié)議的安全漏洞和防御方法���,偏重于底層技術(shù),對技術(shù)要求最高���,但不要求很全面��,只需精通一兩種流行的平臺即可�。其研究成果經(jīng)常為IDS/IPS/Vulnerability Scanner插件作分析等�����,最新的技術(shù)可能被轉(zhuǎn)化到產(chǎn)品中實現(xiàn)商業(yè)價值�����,或可能承擔(dān)技術(shù)最高的一部分專業(yè)安全服務(wù)。
主要技能:C\C++,ASM,OS kernel�����,調(diào)試器����,反匯編�、緩沖區(qū)溢出類,邏輯編程錯誤等
[安全產(chǎn)品開發(fā)]
和其他程序員一樣�����,只不過是面向安全產(chǎn)品�����,有核心引擎也有界面開發(fā)����,如何成為一個優(yōu)秀的程序員就不用我廢話了吧,網(wǎng)上的Proposal多的是
[產(chǎn)品工程師]
作為廠商的技術(shù)人員����,一般是對自有產(chǎn)品做售后技術(shù)支持�,如FW��,VPN���,IDS/IPS����,Scanner�,AV,AAAA���,CF���,UTM,SOC�,Terminal Management,Vulnerability/Patch Management���,Anti-DOS����,Anti-Spam……該職位對技術(shù)要求一般�����,有一定的系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ)��,可以熟練部署產(chǎn)品即可�,另外還有Testing和Troubleshooting的能力也是比較重要的
[技術(shù)顧問/售前工程師]
作為廠商的售前,須對自有的產(chǎn)品和解決方案非常熟悉����,售前偏重于架構(gòu)/方案設(shè)計�,Presentation,Documentation以及其他Presale Engineering的能力(如投標(biāo)、銷售推介技能)����,一般需要多年工作經(jīng)驗,有售后或者研發(fā)背景�,對特定行業(yè)的理解-如曾在電信、金融或者SI的工作經(jīng)驗?zāi)茉鰪姼偁幜?����,如能對專業(yè)安全技術(shù)服務(wù)及咨詢服務(wù)有所掌握����,會使你的知識背景更強勢�����,項目管理技能也是必要的����。
[安全服務(wù)工程師]
個人覺得在安全工程領(lǐng)域����,產(chǎn)品選型和部署相對簡單,門檻較高的是專業(yè)安全服務(wù)����,先不論當(dāng)前行業(yè)內(nèi)的安全服務(wù)技術(shù)人員實際水平如何,我只是就我的理解談一下以下職位的技能需求����。如滲透測試、安全加固���、安全外包/安全監(jiān)控���,應(yīng)急響應(yīng),高級安全技術(shù)培訓(xùn)���,風(fēng)險評估等要求技術(shù)人員對主流的操作系統(tǒng)平臺���,網(wǎng)絡(luò)設(shè)備����,數(shù)據(jù)庫��,企業(yè)應(yīng)用有一定程度的掌握�����,并且需要融入對安全和攻防技術(shù)的理解�����,另外安全服務(wù)人員最好需要有信息安全管理和項目管理的知識��。溝通表達(dá)以及文檔撰寫能力都是必須的����。
[安全架構(gòu)師]
之前的售前工程師和安全服務(wù)工程師也要寫整體解決方案����,但從專業(yè)程度來說��,他們還達(dá)不到安全架構(gòu)師的技術(shù)高度�,安全架構(gòu)師須熟悉IT基礎(chǔ)設(shè)施���、容災(zāi)備份����,大型企業(yè)級應(yīng)用��,安全集成��,網(wǎng)絡(luò)設(shè)計規(guī)劃����,網(wǎng)絡(luò)安全產(chǎn)品典型部署,熟悉各種通信標(biāo)準(zhǔn)及協(xié)議�,需要了解安全趨勢和客戶的整體安全需求,既有深度又有廣度�����,需要較多的經(jīng)驗和技術(shù)����。
[信息安全咨詢顧問]
信息安全既有技術(shù)也有管理的問題�����,如傳統(tǒng)的Strategy�、HR�����、IT consulting一樣�,Information Security Consulting也是專業(yè)服務(wù)中的主要業(yè)務(wù),如:Risk Assessment��、ISMS building��、SOX Compliance……
信息安全不可能脫離企業(yè)自身的業(yè)務(wù)和實際需求�,否則便成了空中樓閣,信息安全管理應(yīng)該是以企業(yè)管理為上層引導(dǎo)��,信息安全管理為中間支柱��,下層以計算機(jī)及通信技術(shù)為基礎(chǔ)依托的三層結(jié)構(gòu)����,當(dāng)然出售的最終產(chǎn)物是三層融合的整體解決方案,咨詢顧問一般需要以下技能:
熟悉各類安全標(biāo)準(zhǔn)--BS7799,ISO13335,CC,SSE-CMM,IATF,SP800……
相關(guān)的知識領(lǐng)域—IT Governance,ITIL/ITSM,MOF,COBIT,SOA,COSO……
咨詢體系--企業(yè)經(jīng)營管理�����,流程管理�����,人力資源管理�����,信息戰(zhàn)略��,法律法規(guī)
基本技能--溝通表達(dá)、文檔、項目管理
技術(shù)體系--All above(不要因為我說了這句話趨之若鶩哦)
[CHO]
這里并不是指人力資源總監(jiān)��,而是傳說中的Chief Hacker Officer--首席黑客官�����,在國外某些公司設(shè)有此類職位�����,是更加純技術(shù)的職位����,從名字就可以看出他的技術(shù)偏向哪里,實際上應(yīng)該是安全教科書中的Whitehat���,從Know your enemy的角度講��,反黑的的能力也確實強
[CSO/CISO]
一般只有較大的組織機(jī)構(gòu)才單獨設(shè)有首席安全官或首席信息安全官���,在沒有獨立設(shè)置CSO職位的情況下,信息安全通常屬于CIO/CTO/COO考慮的范疇��,實際上也由他們扮演CSO的角色�,因此換個角度—信息安全管理咨詢應(yīng)該是in CXO’s perspective,實際上高級咨詢顧問到甲方即可成為CSO
通用且有一定競爭力的認(rèn)證:
CISSP,CISM,CISA,BS7799LA
可供職的廠商:
國內(nèi)專業(yè)安全公司:綠盟科技�、啟明星辰、天融信����、聯(lián)想網(wǎng)御、安氏
國外安全公司:ISS����、Mcafee����、Symantec��、Checkpoint����、TrendMirco
各大IT公司:Microsoft�����、HP����、IBM、Cisco����、Juniper、F5����、Various vendors
會計事務(wù)所:PWC、E&Y���、KPMG�、DTT……
咨詢公司:Accenture
甲方:如電信移動、金融��、各大門戶��、電子商務(wù)以及IT系統(tǒng)對內(nèi)部運營起到關(guān)鍵作用的企業(yè)
薪酬:
職位當(dāng)然是影響Salary的重要因素�����,除此之外���,審計師/咨詢顧問���、安全架構(gòu)師和研究員的工資較高,外企的工資一般比國內(nèi)企業(yè)高�,在甲方的工資不一定有乙方高,主要看所在行業(yè)���、企業(yè)盈利程度和對信息安全的重視程度����,但乙方高薪職位通常來說比甲方更忙碌����,其實質(zhì)也是用時間換工資�,從行為經(jīng)濟(jì)學(xué)看未必很實惠�。
職業(yè)發(fā)展路線
研究員-高級安全研究員
開發(fā)程序員-項目經(jīng)理
產(chǎn)品工程師-安全服務(wù)工程師-售前技術(shù)顧問
產(chǎn)品工程師-安全服務(wù)工程師-安全服務(wù)項目經(jīng)理
產(chǎn)品工程師�、安全服務(wù)工程師、技術(shù)顧問有兩個發(fā)展方向:
1. 偏技術(shù)方向—安全架構(gòu)師
2. 偏管理方向—咨詢顧問
甲方和乙方的角色切換���,如果對當(dāng)前的視角失去了興趣��,不妨換個角度��,如果結(jié)婚了尋求安定不想出差可以去甲方
當(dāng)然以上只是理論公式�,現(xiàn)實生活中的“天花板”在哪里有機(jī)會可以自己去體驗一下
知識體系結(jié)構(gòu)
大體分為技術(shù)體系和管理體系吧
技術(shù)體系:
對攻防技術(shù)的理解
OS��、Network����、Application、Data protection and related
TCP/IP protocol suits
研究偏重底層技術(shù)�,架構(gòu)偏重網(wǎng)絡(luò)
安全管理體系:
各種信息安全技術(shù)/管理標(biāo)準(zhǔn),審計及內(nèi)部控制標(biāo)準(zhǔn)
傳統(tǒng)管理學(xué)大集合
咨詢及審計
其他:
對客戶業(yè)務(wù)的理解
表達(dá)溝通�,文檔,演講��,項目管理和銷售技能
Thank Adam���、Why and Yhl who did effect and improve my career objective
