★信息安全從業(yè)參考
你可以轉(zhuǎn)載本文,但請務(wù)必保留本文的完整性
Author:
趙彥,中聯(lián)綠盟信息技術(shù)(北京)有限公司
Homepage:www.ph4nt0m.org
Mailto: [email]ay4z3ro@hotmail.com[/email]
本版初稿只代表個(gè)人觀點(diǎn),僅供參考,對于迷信產(chǎn)生的后果,本人不承擔(dān)任何責(zé)任。
本文實(shí)際上并不能算是Career Planning,只是一些分類描述,唯一好處僅在于幫助你理解不同職位的技能要求,因?yàn)樽罱苊Γ疚囊策h(yuǎn)遠(yuǎn)達(dá)不到Body of Knowledge的詳細(xì)程度,計(jì)劃在空閑時(shí)再補(bǔ)一篇真正的Career Roadmap。
[漏洞挖掘/安全技術(shù)研究員]
研究對象:OS,網(wǎng)絡(luò),應(yīng)用,通訊媒介及協(xié)議的安全漏洞和防御方法,偏重于底層技術(shù),對技術(shù)要求最高,但不要求很全面,只需精通一兩種流行的平臺(tái)即可。其研究成果經(jīng)常為IDS/IPS/Vulnerability Scanner插件作分析等,最新的技術(shù)可能被轉(zhuǎn)化到產(chǎn)品中實(shí)現(xiàn)商業(yè)價(jià)值,或可能承擔(dān)技術(shù)最高的一部分專業(yè)安全服務(wù)。
主要技能:C\C++,ASM,OS kernel,調(diào)試器,反匯編、緩沖區(qū)溢出類,邏輯編程錯(cuò)誤等。
[安全產(chǎn)品開發(fā)]
和其他程序員一樣,只不過是面向安全產(chǎn)品,有核心引擎也有界面開發(fā),如何成為一個(gè)優(yōu)秀的程序員就不用我廢話了吧,網(wǎng)上的Proposal多的是。
[產(chǎn)品工程師]
作為廠商的技術(shù)人員,一般是對自有產(chǎn)品做售后技術(shù)支持,如FW,VPN,IDS/IPS,Scanner,AV,AAAA,CF,UTM,SOC,Terminal Management,Vulnerability/Patch Management,Anti-DOS,Anti-Spam……該職位對技術(shù)要求一般,有一定的系統(tǒng)、網(wǎng)絡(luò)基礎(chǔ),可以熟練部署產(chǎn)品即可,另外還有Testing和Troubleshooting的能力也是比較重要的。
[技術(shù)顧問/售前工程師]
作為廠商的售前,須對自有的產(chǎn)品和解決方案非常熟悉,售前偏重于架構(gòu)/方案設(shè)計(jì),Presentation,Documentation以及其他Presale Engineering的能力(如投標(biāo)、銷售推介技能),一般需要多年工作經(jīng)驗(yàn),有售后或者研發(fā)背景,對特定行業(yè)的理解-如曾在電信、金融或者SI的工作經(jīng)驗(yàn)?zāi)茉鰪?qiáng)競爭力,如能對專業(yè)安全技術(shù)服務(wù)及咨詢服務(wù)有所掌握,會(huì)使你的知識(shí)背景更強(qiáng)勢,項(xiàng)目管理技能也是必要的。
[安全服務(wù)工程師]
個(gè)人覺得在安全工程領(lǐng)域,產(chǎn)品選型和部署相對簡單,門檻較高的是專業(yè)安全服務(wù),先不論當(dāng)前行業(yè)內(nèi)的安全服務(wù)技術(shù)人員實(shí)際水平如何,我只是就我的理解談一下以下職位的技能需求。如滲透測試、安全加固、安全外包/安全監(jiān)控,應(yīng)急響應(yīng),高級安全技術(shù)培訓(xùn),風(fēng)險(xiǎn)評估等要求技術(shù)人員對主流的操作系統(tǒng)平臺(tái),網(wǎng)絡(luò)設(shè)備,數(shù)據(jù)庫,企業(yè)應(yīng)用有一定程度的掌握,并且需要融入對安全和攻防技術(shù)的理解,另外安全服務(wù)人員最好需要有信息安全管理和項(xiàng)目管理的知識(shí)。溝通表達(dá)以及文檔撰寫能力都是必須的。
[安全架構(gòu)師]
之前的售前工程師和安全服務(wù)工程師也要寫整體解決方案,但從專業(yè)程度來說,他們還達(dá)不到安全架構(gòu)師的技術(shù)高度,安全架構(gòu)師須熟悉IT基礎(chǔ)設(shè)施、容災(zāi)備份,大型企業(yè)級應(yīng)用,安全集成,網(wǎng)絡(luò)設(shè)計(jì)規(guī)劃,網(wǎng)絡(luò)安全產(chǎn)品典型部署,熟悉各種通信標(biāo)準(zhǔn)及協(xié)議,需要了解安全趨勢和客戶的整體安全需求,既有深度又有廣度,需要較多的經(jīng)驗(yàn)和技術(shù)。
[信息安全咨詢顧問]
信息安全既有技術(shù)也有管理的問題,如傳統(tǒng)的Strategy、HR、IT consulting一樣,Information Security Consulting也是專業(yè)服務(wù)中的主要業(yè)務(wù),如:Risk Assessment、ISMS building、SOX Compliance……
信息安全不可能脫離企業(yè)自身的業(yè)務(wù)和實(shí)際需求,否則便成了空中樓閣,信息安全管理應(yīng)該是以企業(yè)管理為上層引導(dǎo),信息安全管理為中間支柱,下層以計(jì)算機(jī)及通信技術(shù)為基礎(chǔ)依托的三層結(jié)構(gòu),當(dāng)然出售的最終產(chǎn)物是三層融合的整體解決方案,咨詢顧問一般需要以下技能:
熟悉各類安全標(biāo)準(zhǔn)--BS7799,ISO13335,CC,SSE-CMM,IATF,SP800……
相關(guān)的知識(shí)領(lǐng)域—IT Governance,ITIL/ITSM,MOF,COBIT,SOA,COSO……
咨詢體系--企業(yè)經(jīng)營管理,流程管理,人力資源管理,信息戰(zhàn)略,法律法規(guī)。
基本技能--溝通表達(dá)、文檔、項(xiàng)目管理
技術(shù)體系--All above(不要因?yàn)槲艺f了這句話趨之若鶩哦)
[CHO]
這里并不是指人力資源總監(jiān),而是傳說中的Chief Hacker Officer--首席黑客官,在國外某些公司設(shè)有此類職位,是更加純技術(shù)的職位,從名字就可以看出他的技術(shù)偏向哪里,實(shí)際上應(yīng)該是安全教科書中的Whitehat,從Know your enemy的角度講,反黑的的能力也確實(shí)強(qiáng)。
[CSO/CISO]
一般只有較大的組織機(jī)構(gòu)才單獨(dú)設(shè)有首席安全官或首席信息安全官,在沒有獨(dú)立設(shè)置CSO職位的情況下,信息安全通常屬于CIO/CTO/COO考慮的范疇,實(shí)際上也由他們扮演CSO的角色,因此換個(gè)角度—信息安全管理咨詢應(yīng)該是in CXO’s perspective,實(shí)際上高級咨詢顧問到甲方即可成為CSO。
通用且有一定競爭力的認(rèn)證:
CISSP,CISM,CISA,BS7799LA
可供職的廠商:
國內(nèi)專業(yè)安全公司:綠盟科技、啟明星辰、天融信、聯(lián)想網(wǎng)御、安氏
國外安全公司:ISS、Mcafee、Symantec、Checkpoint、TrendMirco
各大IT公司:Microsoft、HP、IBM、Cisco、Juniper、F5、Various vendors
會(huì)計(jì)事務(wù)所:PWC、E&Y、KPMG、DTT……
咨詢公司:Accenture
甲方:如電信移動(dòng)、金融、各大門戶、電子商務(wù)以及IT系統(tǒng)對內(nèi)部運(yùn)營起到關(guān)鍵作用的企業(yè)。
薪酬:
職位當(dāng)然是影響Salary的重要因素,除此之外,審計(jì)師/咨詢顧問、安全架構(gòu)師和研究員的工資較高,外企的工資一般比國內(nèi)企業(yè)高,在甲方的工資不一定有乙方高,主要看所在行業(yè)、企業(yè)盈利程度和對信息安全的重視程度,但乙方高薪職位通常來說比甲方更忙碌,其實(shí)質(zhì)也是用時(shí)間換工資,從行為經(jīng)濟(jì)學(xué)看未必很實(shí)惠。
職業(yè)發(fā)展路線
研究員-高級安全研究員
開發(fā)程序員-項(xiàng)目經(jīng)理
產(chǎn)品工程師-安全服務(wù)工程師-售前技術(shù)顧問
產(chǎn)品工程師-安全服務(wù)工程師-安全服務(wù)項(xiàng)目經(jīng)理
產(chǎn)品工程師、安全服務(wù)工程師、技術(shù)顧問有兩個(gè)
發(fā)展方向:
1. 偏技術(shù)方向—安全架構(gòu)師
2. 偏管理方向—咨詢顧問
甲方和乙方的角色切換,如果對當(dāng)前的視角失去了興趣,不妨換個(gè)角度,如果結(jié)婚了尋求安定不想出差可以去甲方。
當(dāng)然以上只是理論公式,現(xiàn)實(shí)生活中的“天花板”在哪里有機(jī)會(huì)可以自己去體驗(yàn)一下。
知識(shí)體系結(jié)構(gòu)
大體分為技術(shù)體系和管理體系吧。
技術(shù)體系:
對攻防技術(shù)的理解。
OS、Network、Application、Data protection and related
TCP/IP protocol suits
研究偏重底層技術(shù),架構(gòu)偏重網(wǎng)絡(luò)。
安全管理體系:
各種信息安全技術(shù)/管理標(biāo)準(zhǔn),審計(jì)及內(nèi)部控制標(biāo)準(zhǔn)。
傳統(tǒng)管理學(xué)大集合。
咨詢及審計(jì)。
其他:
對客戶業(yè)務(wù)的理解。
表達(dá)溝通,文檔,演講,項(xiàng)目管理和銷售技能。
Thank Adam、Why and Yhl who did effect and improve my career objective