Chinaunix

标题: ★信息安全从业参考 [打印本页]

作者: wxgghaha 时间: 2006-03-06 16:23
辛苦了，版主，来个沙发坐坐

作者: Tiger_cn 时间: 2006-03-06 20:26
有时候还是会想起你的样子

作者: fluty 时间: 2006-03-07 10:10
好啊，简直是内部资料了

作者: erylily 时间: 2006-03-07 10:19
不错，楼主辛苦了!
个人有一点想法,其实我一直认为信息安全和网络安全有着不同，信息安全是大的概念,涉及业务和管理方面，范围更广,网络安全只是一个分支而已.
做信息安全要比网络安全难的多，当然钱景也更广一些，做咨询顾问等都相当不错，不过,如果进一步拓展,从信息安全角度延伸到整个IT视角,那就会更好一些。包括Bearpoint,McKinsey,Accenture都设立了相关的部门.或者，去大企业做CIO也是发展方向之一,做安全一个优势就是,从一开始，就要比别眼看的更广一些,为以后做管理打下坚实的基础了~

作者: uuhs_hiei 时间: 2006-03-07 12:25
精华啊，建议每月来个补完

作者: Jambo 时间: 2006-03-07 16:25
全，真不错。

如果一个安全公司要更快的发展，需要这些部门之间充分共享、协作。

而协调的工作就是难上加难了。。

作者: macrodba 时间: 2006-03-07 17:56
友情顶铁

作者: ayazero 时间: 2006-03-07 19:22

原帖由 Jambo 于 2006-3-7 16:25 发表
全，真不错。

如果一个安全公司要更快的发展，需要这些部门之间充分共享、协作。

而协调的工作就是难上加难了。。

你说的协调其实是部门间流程

作者: sohusina 时间: 2006-03-07 20:21
少年轻狂，好！

作者: 爱国人士 时间: 2006-03-07 21:06
自己感觉好象每个行业每个工作都是这样乱七八糟的,自己每天干的不知道是什么工作,有很多好象和自己的工作根本就不相干,在别人眼里好象很风光,其实只有自己知道自己每天在干什么,做着那些所谓的技术,不过我还是想要去尝试一下

作者: Jambo 时间: 2006-03-07 22:54

原帖由 ayazero 于 2006-3-7 19:22 发表

你说的协调其实是部门间流程

正是此意，管理问题

作者: 南非蜘蛛 时间: 2006-03-08 09:52
写的不错，功力约来约深了
：）

作者: fnaps 时间: 2006-03-09 15:45
唉，哪天能走到高层呀？

作者: eboymcy 时间: 2006-03-09 16:44
信息安全至少还得有密码.
pki

作者: GunKing 时间: 2006-03-10 01:34
ＨＯＨＯ～～有见好东西．．．果然是超前５年呀：）　你都快成为我的偶像了，可我从来不搞个人葱白的，怎么办呢？？？

请教ＡＹＡ：　如果一个人既做售前支持，也做售后实施，那他会不会人格分裂呢？如果会，怎么样才可以避免这样的情况发生呢　？ＰＳ　：　小公司常见的情况

作者: ayazero 时间: 2006-03-10 20:04
当然不会，全能一点难道不好吗？

作者: GunKing 时间: 2006-03-11 03:10
常见的应该是有这样情况（估计有点普遍）
售前或者销售为了最后把握住客户，赢得单子，会事先给客户（很多时候就是用户）灌输（他们叫洗脑）不少很ＮＢ的东西，或者会答应用户提出的一些自己产品功能欠缺的，甚至是奇怪的产品不能达到的要求。
而售后实施的时候用户会很不满意，觉得这里他用起来不爽，那里用起来又不如他想象的那么好，甚至有些根本就做不到。

出现上面的情况，如果售前和售后不是同一个人，那就可以互相推诿一下，扯扯皮，耍耍赖，反正东西买了，合同签了，钱也付了一部分，而且，合同上也不会写清楚那些细节要求，一般只会写采购什么什么设备。基本就还是可以把客户给摆平了。。。

但如果售前售后一个人，售前支持的时候，很多东西ＳＡＬＥ其实是起主导地位，他说可以，你就不好说什么　
到实施的时候，就好像自己在打自己的耳刮子一样。。。这样下去。。我觉得可能会人格分裂耶。。。。　

作者: teczm 时间: 2006-03-13 15:23
好文！

作者: deeperpurple 时间: 2006-03-14 10:12

原帖由 南非蜘蛛 于 2006-3-8 09:52 发表
写的不错，功力约来约深了
：）

写得好,理解深刻

K,连蜘蛛也跑来了

作者: xuzhanxing 时间: 2006-03-17 16:15
标题: 千兆硬件防火墙
国产有真正的千兆硬件防火墙吗?

作者: cnadl 时间: 2006-03-17 17:16

原帖由 GunKing 于 2006-3-11 03:10 发表
常见的应该是有这样情况（估计有点普遍）
售前或者销售为了最后把握住客户，赢得单子，会事先给客户（很多时候就是用户）灌输（他们叫洗脑）不少很ＮＢ的东西，或者会答应用户提出的一些自己产品功能欠缺的，甚至 ...

基本来说只要脸皮够厚能把说的圆了还是没问题的。

因为很多时候作高难度实施的时候对其的维护也是高难度的，让客户明白这一点就行了。

当然做售前的时候吹得太没谱了那是你自己的问题。

总之，客户的心理预期还是得控制一下，不能盲目膨胀。

作者: samuelz 时间: 2006-03-21 22:55
受教了。
不过不太清楚这些会计事务所PWC、E&Y、KPMG、DTT中的安全部门主要是干啥的？

作者: cnadl 时间: 2006-03-22 12:37
四大也有做咨询啊。

作者: t920 时间: 2006-03-22 17:12

原帖由 samuelz 于 2006-3-21 22:55 发表
受教了。
不过不太清楚这些会计事务所PWC、E&Y、KPMG、DTT中的安全部门主要是干啥的？

IT审计只是财务审计的一部分，虽然现在是越来越重要的一部分，但有时也可有可无。

作者: linttt 时间: 2006-03-22 18:04
还是停留在一个很低的层次上.

作者: 我爱臭豆腐 时间: 2006-03-23 08:47
写的好啊.值得思考

作者: ilovesecurity 时间: 2006-03-24 13:19
"产品工程师-安全服务工程师-安全服务项目经理",嘿嘿,俺的目标

作者: liuxingyuv 时间: 2006-03-31 14:47
标题: 回复 31楼 ilovesecurity 的帖子
这一切如同“空中楼阁”，我们只是在玩儿时过家家的游戏罢了，你摆个积木，他摆个积木，真正是否能成为一个高楼呢，谁又晓得！

作者: yudi2006 时间: 2006-04-02 20:45
收敬了...

作者: sexypig 时间: 2006-04-11 14:54
好帖子，首次有了这么清晰的认识

作者: robertecarlos 时间: 2006-04-13 17:29
标题: 呵呵
不错，请楼主以后多来些好文章

作者: panguizhong 时间: 2006-04-21 22:31
标题: 不会吧！
这个也太难了吧！
不过有玩的！
越难的越有意思！

作者: fei-tian 时间: 2006-05-11 00:07
这么多东西吗？////？？

作者: owenlin717 时间: 2006-05-14 21:38

大大受益。楼主，辛苦了！

作者: jacky_yang 时间: 2006-05-18 18:15
走过路过,别忘了回帖
回帖是一种美德哦

作者: holland_1 时间: 2006-05-20 17:58
好贴!

作者: sinory 时间: 2006-05-24 20:35
我就这个专业郁闷中

作者: lyuanhao007 时间: 2006-05-24 22:03
好啊大家顶啊

作者: Novarg 时间: 2006-05-26 18:52
very professional

作者: hiaw 时间: 2006-06-03 10:11
支持呀.

作者: linuxlqh 时间: 2006-06-22 14:11
路过！

作者: 适兕 时间: 2006-07-19 11:47
需要更加的努力学习！感谢前辈！

作者: sanvy 时间: 2006-07-27 13:44
请问网络安全现状如何

作者: net_robber 时间: 2006-08-08 09:30
两个字，没看懂

作者: yyy790601 时间: 2006-08-22 16:32
楼上，我很严肃的告诉你，“没看懂”是三个字。

作者: xiaoyao4005 时间: 2006-08-23 12:49
还行，对即将从业的学生们很有帮助！

作者: yuquan_32 时间: 2006-08-30 20:54
建议加精

作者: jldsecurity 时间: 2006-09-14 22:34
标题: 知名信息安全公司招聘安全咨询服务顾问，欢迎有志于做前端顾问咨询的兄弟
Alert ! No advertisement !

[ 本帖最后由 ayazero 于 2006-9-16 23:38 编辑 ]

作者: tanlei 时间: 2006-09-15 11:24
提示: 作者被禁止或删除内容自动屏蔽

作者: Quakertlisk 时间: 2006-09-15 13:47
支持支持

作者: untrust 时间: 2006-09-16 17:45
就国内的大部分的企业情况来说,还不适合作什么所谓的信息安全,如果企业网络安全能作作好,我觉得已经很不错了!
我对攻防与黑客技术了解不多,但觉得所以黑客攻防技术与企业网络安全基本上相差比较远..过于盲目的认为黑客攻击技术就是安全焦点,而国内大部分安全公司作安全服务器,经常演示所谓的入侵攻防技术..好像在炫耀他们公司的黑客起家的背景,他们那几招最多适合主机安全...

个人在isp呆了四年多要五年了,作网络管理这块..偶尔在外面作电信与移动的网络与安全项目
最近给多家国内所谓的著名的安全公司作服务...一肚子火..呵呵.

不并怀疑他们骨干技术人员的力量,但其它的我就不好说了..

作者: ayazero 时间: 2006-09-16 23:32
攻防技术是给“做技术”的看的；

组织、战略这些是对真正的CTO、CIO讲的；

而那些所谓的技术经理，跟他们讲到流程管理的层面已经“够”了

乙方顾问的尴尬往往是，你讲技术别人觉得你无聊，你讲管理别人觉得你在忽悠，

如果自己两者皆通，有一定的销售技巧，懂得倾听，准确把握客户需求，有能力看“人”说“话”，就不会有那样的感觉了，当然看人说话是需要自己有“相当”内功的，如果不能站在≧对方的高度描述问题，西装领带再“像”顾问也没用

在国内的企业，受限于当前的管理水平，不容易深入“组织”，跨过“人”，超越“公司政治”，去做真正的信息安全的确是一种现状，但是，信息安全是一种趋势，信息安全在2005、2006中国CIO最关心的问题中均列居榜首

对安全厂商而言，做网络安全还是信息安全，是需要根据具体情况，对客户进行分级分类的，不能一概而论

作者: untrust 时间: 2006-09-17 10:06
乙方顾问的尴尬往往是，你讲技术别人觉得你无聊，你讲管理别人觉得你在忽悠，

---并不这样子觉得,首先甲方肯定是有一个针对性的安全问题,才会主动邀请各个安全厂商过来详谈..而且他们心里有个底..乙方顾问的尴尬的原因是因为大部分的乙方顾问出身于产品工程师或者系统集成这块的技术,而且大部分技术考虑的思路是如何部署,而不是拥有很强的企业网络经验再加上有悟性的安全技术思路,同时结合现有安全与网络技术体系进行整体规划同时避免产品重复建设与浪费的问题....加强产品推广的我不反对,但要合适..(但又有几个厂商会考虑避免重复建设,并使用现在技术环境进行最优考虑?)

网络安全是一种技术体系,而信息安全是一种组织体系..网络安全是信息安全的基础.

[ 本帖最后由 untrust 于 2006-9-17 10:20 编辑 ]

作者: ayazero 时间: 2006-09-17 16:03
我说的尴尬是受限于他本人的知识面，因为通常情况下你大多能见到的就是两种人：

技术型，考虑问题比较微观，绝大多数如你所说做产品或集成出身，对安全没太深的理解
纵使有些技术比较强一点的，可能比较年轻，爱钻技术，但还是缺乏经验，大多能提供措施而不能提供解决方案

第二种，理论型，懂一些安全标准，没什么技术功底，遇上懂一点的甲方，估计也说不清个所以然，

而你所说的那些真正的合格的人，因为国内安全人才显著供小于求，那些人往往也不会满足于一个小小的售前或是工程师，所以见不到也正常

作者: marlbor 时间: 2006-09-18 22:20
好东西，这种经验可是我们最需要的。

看来售前，我是要做定了

作者: 220hcy 时间: 2006-09-26 20:04
很详细

作者: net_robber 时间: 2006-10-24 22:53
今天再来看看这篇文章，校正一下自己的方向。但愿自己不要偏离了！！

作者: ppzipo 时间: 2006-11-10 23:45
不错值得参考

作者: xingshi83 时间: 2006-11-22 14:04
多谢楼主,现在有了自己的方向

作者: linux_lionet 时间: 2006-11-24 02:16
标题: 回复 1楼 ayazero 的帖子
非常感谢，让我对以后的路有一个大概的了解

作者: qqblue 时间: 2006-12-06 23:04
我都不知道下一步如何走了，在安全行业2年半，只能当个副的PM，出头之日离我还有多远？

作者: ayazero 时间: 2006-12-08 16:44
顺便说一句，CSO并不是执行官，就算是，也顶多是“旁系”的

作者: conannb 时间: 2006-12-19 20:12
说得挺好的!

作者: gscyjh 时间: 2006-12-31 01:38
绿盟的安全确实还做的可以,经常和他们交流.公司里也有些牛人.

作者: ayazero 时间: 2006-12-31 10:07
我曾在NSFOCUS北京的专业服务部供职过，那里的人不错

作者: RunOut 时间: 2007-01-10 21:56
嗯。不错。
漏洞挖掘/安全技术研究员现在应该挺吃香。

作者: 独步天下 时间: 2007-01-18 15:29
如果现在学安全
怎么下手计较好　

作者: mcumsigscr 时间: 2007-01-24 15:04
不错啊。支持斑竹。

作者: liuxingyuv 时间: 2007-01-26 13:29
标题: 回复 2楼 wxgghaha 的帖子
哪个方向都很好！就看自己了！

作者: liuxingyuv 时间: 2007-01-30 23:26
标题: 回复 1楼 ayazero 的帖子
真是文化人呀！各抒己见！

作者: SkyBelieve 时间: 2007-02-10 19:33
好文

作者: jiecsen 时间: 2007-02-24 11:26
今天长见识了!谢谢楼主!

作者: laura82 时间: 2007-03-21 09:39
标题: 猎头招聘-Security & Authorization Director
Sample Text
主要职责：

· 设计、开发符合业界标准的应用系统安全策略、访问机制和操作规范；
· 规划应用系统内部审计标准并监督实施；
· 分析、评估业务应用系统安全风险；
· 负责团队的建设、管理和激励；

职位要求：

· 管理技能:
具有跨国公司/外企相关IT应用系统安全领域2年以上管理经验，具有内部安全审计工作经验；具有团队管理经验，至少5年以上相关IT领域管理经验；

· 专业技能 :
了解基本的制造业行业特点，
丰富的应用系统、操作系统、数据库等相关领域的安全管理及控制工作经验。
了解SAP安全审计；
具有至少1年应用系统内部审计工作经验

· 沟通技能 & 影响力:
做事坚持原则
具有较高水平的沟通技巧，能够敏锐领会对方的潜在意图，善于引导对方观点并采取不同策略说服/影响持怀疑态度或持不接受态度的他人；
英语听说读写流利，能够运用英语进行复杂文件的阅读和复杂报告的撰写，能够流利进行日常业务沟通；

优先考虑条件：

· 熟悉SAP ERP产品功能、海外工作经验优先，有CISSP或CISA、CISM认证优先

如有意者请发cv 至：laura.bai@consultcareer.com.cn
或直接与laura 联系： 010 58793883

作者: erpxp 时间: 2007-04-08 11:53
学习了

作者: l0pht 时间: 2007-05-31 21:57

原帖由 ayazero 于 2006-9-16 23:32 发表
攻防技术是给“做技术”的看的；

组织、战略这些是对真正的CTO、CIO讲的；

而那些所谓的技术经理，跟他们讲到流程管理的层面已经“够”了

乙方顾问的尴尬往往是，你讲技术别人觉得你无聊，你讲管理别人觉 ...

哈，楼主没见过真正专业的技术人员吧。本人做过一些数百亿资产的大客户，最有意思的是最近一次数千亿资产的大客户的案例，发现的漏洞成果完全是本人一人通过一根adsl拨号黑盒2周内挖掘出的，却可以严重影响所有的、所有的最主要的最最核心的业务！一但被敌方利用那我们整个国家都受严重影响了，在场见过无数世面的cto都看傻了，其他有些人则看的满脸通红激动不止，而我很平静，早习惯了这样的场面。

[ 本帖最后由 l0pht 于 2007-5-31 21:58 编辑 ]

作者: FuryMythos 时间: 2007-06-06 21:40
谢谢楼主分离

作者: ayazero 时间: 2007-06-08 15:38

原帖由 l0pht 于 2007-5-31 21:57 发表

哈，楼主没见过真正专业的技术人员吧。本人做过一些数百亿资产的大客户，最有意思的是最近一次数千亿资产的大客户的案例，发现的漏洞成果完全是本人一人通过一根adsl拨号黑盒2周内挖掘出的，却可以严重影响所 ...

这位技术大拿，您的言下之意是scz、w3、yuange、san、star、hume……他们都算不上技术人员，此话是否有点偏激了呢？

既然注入、挂马、客户端技术、社会工程学都可以算是技术，难道缓冲区溢出、ring0 rookit之类就不能算是技术了吗，这是否有点不妥？

作者: 楚国布衣 时间: 2007-06-28 11:16
请教下，作为一个中小企业的网络管理员，在这一块能做些什么呢？大家有好的建议可以说说。
因为中心企业从人力成本的方面考虑不可能设置一个专门的人员在做这一块。请赐教。

[ 本帖最后由楚国布衣于 2007-6-28 11:18 编辑 ]

作者: greattiny 时间: 2007-07-02 00:13
up

作者: puluto 时间: 2007-07-13 11:02
学习了，谢谢～给我们这些菜菜指明方向

作者: yhb7805 时间: 2007-07-16 11:22
我觉得l0pht说的就是解决沟通的一个很好方法。并不是说其他人不懂技术。能够马上抓住对方的注意力，获取对方的认可（不是对本人的认可）。很多技术人员出身的人，都有些学院派的作风。

作者: ayazero 时间: 2007-07-16 12:24

原帖由 yhb7805 于 2007-7-16 11:22 发表
我觉得l0pht说的就是解决沟通的一个很好方法。并不是说其他人不懂技术。能够马上抓住对方的注意力，获取对方的认可（不是对本人的认可）。很多技术人员出身的人，都有些学院派的作风。

你还不太了解这个人，我只是不把那张纸捅穿罢了，我那样说已经很留余地了

作者: 小手勿动 时间: 2007-07-23 16:35
提示: 作者被禁止或删除内容自动屏蔽

作者: joinbaijun 时间: 2007-07-27 16:31
说的很好啊

作者: 猪崽3 时间: 2007-08-05 10:43
收好了哈哈谢谢

作者: zc8091626 时间: 2007-08-07 21:10
支持！！！！！！！！！！！

作者: jsy107 时间: 2007-08-07 22:29
赞

作者: dakam 时间: 2007-08-16 14:55
好好学习,天天向上

作者: 83223253 时间: 2007-08-21 17:21
辛苦了，版主，

作者: 亮剑007 时间: 2007-08-22 17:25
请问一楼楼主在哪高就呀？

能不能把你学习IT技术的经历给我们说一下~！

作者: marsoo 时间: 2007-08-30 15:11
on additional , position of "Security Administrator" is come into use in more and more large-mid enterprise .

作者: vatico512 时间: 2007-09-04 19:43
好文，不过好像都有一定高度！

作者: xordan 时间: 2007-09-10 13:24
谢谢楼主，思考中。。。

作者: huangchun 时间: 2007-09-18 17:42
标题: 谢谢了
还不错阿
版主辛苦了

作者: hlj12308 时间: 2007-10-17 19:22
标题: SO GOOD
这些职位概念一直分不清....顶一下呀...

作者: ~wind~ 时间: 2007-11-01 13:02
做网闸有前途么?

作者: kelzz 时间: 2007-11-13 16:57
提示: 作者被禁止或删除内容自动屏蔽

作者: 痛苦1234 时间: 2008-01-10 09:06
是吗？好无了啊！！

作者: yingfengstart 时间: 2008-01-13 01:03
标题: 暗暗
好啊
对我来说难啊

作者: sensen_CN 时间: 2008-01-26 21:17
现在开始study

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)