★信息安全從業參考
你可以轉載本文,但請務必保留本文的完整性
Author:
趙彥,中聯綠盟信息技術(北京)有限公司
Homepage:www.ph4nt0m.org
Mailto: [email]ay4z3ro@hotmail.com[/email]
本版初稿只代表個人觀點,僅供參考,對于迷信產生的后果,本人不承擔任何責任。
本文實際上并不能算是Career Planning,只是一些分類描述,唯一好處僅在于幫助你理解不同職位的技能要求,因為最近很忙,本文也遠遠達不到Body of Knowledge的詳細程度,計劃在空閑時再補一篇真正的Career Roadmap。
[漏洞挖掘/安全技術研究員]
研究對象:OS,網絡,應用,通訊媒介及協議的安全漏洞和防御方法,偏重于底層技術,對技術要求最高,但不要求很全面,只需精通一兩種流行的平臺即可。其研究成果經常為IDS/IPS/Vulnerability Scanner插件作分析等,最新的技術可能被轉化到產品中實現商業價值,或可能承擔技術最高的一部分專業安全服務。
主要技能:C\C++,ASM,OS kernel,調試器,反匯編、緩沖區溢出類,邏輯編程錯誤等。
[安全產品開發]
和其他程序員一樣,只不過是面向安全產品,有核心引擎也有界面開發,如何成為一個優秀的程序員就不用我廢話了吧,網上的Proposal多的是。
[產品工程師]
作為廠商的技術人員,一般是對自有產品做售后技術支持,如FW,VPN,IDS/IPS,Scanner,AV,AAAA,CF,UTM,SOC,Terminal Management,Vulnerability/Patch Management,Anti-DOS,Anti-Spam……該職位對技術要求一般,有一定的系統、網絡基礎,可以熟練部署產品即可,另外還有Testing和Troubleshooting的能力也是比較重要的。
[技術顧問/售前工程師]
作為廠商的售前,須對自有的產品和解決方案非常熟悉,售前偏重于架構/方案設計,Presentation,Documentation以及其他Presale Engineering的能力(如投標、銷售推介技能),一般需要多年工作經驗,有售后或者研發背景,對特定行業的理解-如曾在電信、金融或者SI的工作經驗能增強競爭力,如能對專業安全技術服務及咨詢服務有所掌握,會使你的知識背景更強勢,項目管理技能也是必要的。
[安全服務工程師]
個人覺得在安全工程領域,產品選型和部署相對簡單,門檻較高的是專業安全服務,先不論當前行業內的安全服務技術人員實際水平如何,我只是就我的理解談一下以下職位的技能需求。如滲透測試、安全加固、安全外包/安全監控,應急響應,高級安全技術培訓,風險評估等要求技術人員對主流的操作系統平臺,網絡設備,數據庫,企業應用有一定程度的掌握,并且需要融入對安全和攻防技術的理解,另外安全服務人員最好需要有信息安全管理和項目管理的知識。溝通表達以及文檔撰寫能力都是必須的。
[安全架構師]
之前的售前工程師和安全服務工程師也要寫整體解決方案,但從專業程度來說,他們還達不到安全架構師的技術高度,安全架構師須熟悉IT基礎設施、容災備份,大型企業級應用,安全集成,網絡設計規劃,網絡安全產品典型部署,熟悉各種通信標準及協議,需要了解安全趨勢和客戶的整體安全需求,既有深度又有廣度,需要較多的經驗和技術。
[信息安全咨詢顧問]
信息安全既有技術也有管理的問題,如傳統的Strategy、HR、IT consulting一樣,Information Security Consulting也是專業服務中的主要業務,如:Risk Assessment、ISMS building、SOX Compliance……
信息安全不可能脫離企業自身的業務和實際需求,否則便成了空中樓閣,信息安全管理應該是以企業管理為上層引導,信息安全管理為中間支柱,下層以計算機及通信技術為基礎依托的三層結構,當然出售的最終產物是三層融合的整體解決方案,咨詢顧問一般需要以下技能:
熟悉各類安全標準--BS7799,ISO13335,CC,SSE-CMM,IATF,SP800……
相關的知識領域—IT Governance,ITIL/ITSM,MOF,COBIT,SOA,COSO……
咨詢體系--企業經營管理,流程管理,人力資源管理,信息戰略,法律法規。
基本技能--溝通表達、文檔、項目管理
技術體系--All above(不要因為我說了這句話趨之若鶩哦)
[CHO]
這里并不是指人力資源總監,而是傳說中的Chief Hacker Officer--首席黑客官,在國外某些公司設有此類職位,是更加純技術的職位,從名字就可以看出他的技術偏向哪里,實際上應該是安全教科書中的Whitehat,從Know your enemy的角度講,反黑的的能力也確實強。
[CSO/CISO]
一般只有較大的組織機構才單獨設有首席安全官或首席信息安全官,在沒有獨立設置CSO職位的情況下,信息安全通常屬于CIO/CTO/COO考慮的范疇,實際上也由他們扮演CSO的角色,因此換個角度—信息安全管理咨詢應該是in CXO’s perspective,實際上高級咨詢顧問到甲方即可成為CSO。
通用且有一定競爭力的認證:
CISSP,CISM,CISA,BS7799LA
可供職的廠商:
國內專業安全公司:綠盟科技、啟明星辰、天融信、聯想網御、安氏
國外安全公司:ISS、Mcafee、Symantec、Checkpoint、TrendMirco
各大IT公司:Microsoft、HP、IBM、Cisco、Juniper、F5、Various vendors
會計事務所:PWC、E&Y、KPMG、DTT……
咨詢公司:Accenture
甲方:如電信移動、金融、各大門戶、電子商務以及IT系統對內部運營起到關鍵作用的企業。
薪酬:
職位當然是影響Salary的重要因素,除此之外,審計師/咨詢顧問、安全架構師和研究員的工資較高,外企的工資一般比國內企業高,在甲方的工資不一定有乙方高,主要看所在行業、企業盈利程度和對信息安全的重視程度,但乙方高薪職位通常來說比甲方更忙碌,其實質也是用時間換工資,從行為經濟學看未必很實惠。
職業發展路線
研究員-高級安全研究員
開發程序員-項目經理
產品工程師-安全服務工程師-售前技術顧問
產品工程師-安全服務工程師-安全服務項目經理
產品工程師、安全服務工程師、技術顧問有兩個
發展方向:
1. 偏技術方向—安全架構師
2. 偏管理方向—咨詢顧問
甲方和乙方的角色切換,如果對當前的視角失去了興趣,不妨換個角度,如果結婚了尋求安定不想出差可以去甲方。
當然以上只是理論公式,現實生活中的“天花板”在哪里有機會可以自己去體驗一下。
知識體系結構
大體分為技術體系和管理體系吧。
技術體系:
對攻防技術的理解。
OS、Network、Application、Data protection and related
TCP/IP protocol suits
研究偏重底層技術,架構偏重網絡。
安全管理體系:
各種信息安全技術/管理標準,審計及內部控制標準。
傳統管理學大集合。
咨詢及審計。
其他:
對客戶業務的理解。
表達溝通,文檔,演講,項目管理和銷售技能。
Thank Adam、Why and Yhl who did effect and improve my career objective