忘记密码   免费注册 查看新帖 | 论坛精华区

ChinaUnix.net

  平台 论坛 博客 认证专区 大话IT 视频 徽章 文库 沙龙 自测 下载 频道自动化运维 虚拟化 储存备份 C/C++ PHP MySQL 嵌入式 Linux系统
最近访问板块 发新帖
查看: 160901 | 回复: 160

★信息安全从业参考 [复制链接]

论坛徽章:
0
发表于 2006-03-06 14:18 |显示全部楼层
本帖最后由 ayazero 于 2014-11-06 16:35 编辑

★信息安全从业参考

你可以转载本文,但请务必保留本文的完整性

本文的进阶篇,《信息安全的职业生涯》
http://bbs.chinaunix.net/viewthr ... &extra=page%3D1
《CSO的生存艺术》
http://bbs.chinaunix.net/thread-1163970-1-1.html
最新的update 2.0版-《信息安全行业从业指南2.0》
http://weibo.com/1659354181/BsJw ... me&type=comment


Author:
赵彦,http://blog.sina.com.cn/u/1258699773
Homepage:weibo.com/ayaz3ro
Mailto: ay4z3ro@hotmail.com
本版初稿只代表个人观点,仅供参考,对于迷信产生的后果,本人不承担任何责任
本文实际上并不能算是Career Planning,只是一些分类描述,唯一好处仅在于帮助你理解不同职位的技能要求,因为最近很忙,本文也远远达不到Body of  Knowledge的详细程度,计划在空闲时再补一篇真正的Career Roadmap

[漏洞挖掘/安全技术研究员]
研究对象:OS,网络,应用,通讯媒介及协议的安全漏洞和防御方法,偏重于底层技术,对技术要求最高,但不要求很全面,只需精通一两种流行的平台即可。其研究成果经常为IDS/IPS/Vulnerability Scanner插件作分析等,最新的技术可能被转化到产品中实现商业价值,或可能承担技术最高的一部分专业安全服务。

主要技能:C\C++,ASM,OS kernel,调试器,反汇编、缓冲区溢出类,逻辑编程错误等

[安全产品开发]
和其他程序员一样,只不过是面向安全产品,有核心引擎也有界面开发,如何成为一个优秀的程序员就不用我废话了吧,网上的Proposal多的是

[产品工程师]
作为厂商的技术人员,一般是对自有产品做售后技术支持,如FW,VPN,IDS/IPS,Scanner,AV,AAAA,CF,UTM,SOC,Terminal Management,Vulnerability/Patch Management,Anti-DOS,Anti-Spam……该职位对技术要求一般,有一定的系统、网络基础,可以熟练部署产品即可,另外还有Testing和Troubleshooting的能力也是比较重要的

[技术顾问/售前工程师]
作为厂商的售前,须对自有的产品和解决方案非常熟悉,售前偏重于架构/方案设计,Presentation,Documentation以及其他Presale Engineering的能力(如投标、销售推介技能),一般需要多年工作经验,有售后或者研发背景,对特定行业的理解-如曾在电信、金融或者SI的工作经验能增强竞争力,如能对专业安全技术服务及咨询服务有所掌握,会使你的知识背景更强势,项目管理技能也是必要的。

[安全服务工程师]
个人觉得在安全工程领域,产品选型和部署相对简单,门槛较高的是专业安全服务,先不论当前行业内的安全服务技术人员实际水平如何,我只是就我的理解谈一下以下职位的技能需求。如渗透测试、安全加固、安全外包/安全监控,应急响应,高级安全技术培训,风险评估等要求技术人员对主流的操作系统平台,网络设备,数据库,企业应用有一定程度的掌握,并且需要融入对安全和攻防技术的理解,另外安全服务人员最好需要有信息安全管理和项目管理的知识。沟通表达以及文档撰写能力都是必须的。

[安全架构师]
之前的售前工程师和安全服务工程师也要写整体解决方案,但从专业程度来说,他们还达不到安全架构师的技术高度,安全架构师须熟悉IT基础设施、容灾备份,大型企业级应用,安全集成,网络设计规划,网络安全产品典型部署,熟悉各种通信标准及协议,需要了解安全趋势和客户的整体安全需求,既有深度又有广度,需要较多的经验和技术。

[信息安全咨询顾问]
信息安全既有技术也有管理的问题,如传统的Strategy、HR、IT consulting一样,Information Security Consulting也是专业服务中的主要业务,如:Risk Assessment、ISMS building、SOX Compliance……
信息安全不可能脱离企业自身的业务和实际需求,否则便成了空中楼阁,信息安全管理应该是以企业管理为上层引导,信息安全管理为中间支柱,下层以计算机及通信技术为基础依托的三层结构,当然出售的最终产物是三层融合的整体解决方案,咨询顾问一般需要以下技能:
熟悉各类安全标准--BS7799,ISO13335,CC,SSE-CMM,IATF,SP800……
相关的知识领域—IT Governance,ITIL/ITSM,MOF,COBIT,SOA,COSO……
咨询体系--企业经营管理,流程管理,人力资源管理,信息战略,法律法规
基本技能--沟通表达、文档、项目管理
技术体系--All above(不要因为我说了这句话趋之若鹜哦)

[CHO]
这里并不是指人力资源总监,而是传说中的Chief Hacker Officer--首席黑客官,在国外某些公司设有此类职位,是更加纯技术的职位,从名字就可以看出他的技术偏向哪里,实际上应该是安全教科书中的Whitehat,从Know your enemy的角度讲,反黑的的能力也确实强

[CSO/CISO]
一般只有较大的组织机构才单独设有首席安全官或首席信息安全官,在没有独立设置CSO职位的情况下,信息安全通常属于CIO/CTO/COO考虑的范畴,实际上也由他们扮演CSO的角色,因此换个角度—信息安全管理咨询应该是in CXO’s perspective,实际上高级咨询顾问到甲方即可成为CSO

通用且有一定竞争力的认证:
CISSP,CISM,CISA,BS7799LA

可供职的厂商:
国内专业安全公司:绿盟科技、启明星辰、天融信、联想网御、安氏
国外安全公司:ISS、Mcafee、Symantec、Checkpoint、TrendMirco
各大IT公司:Microsoft、HP、IBM、Cisco、Juniper、F5、Various vendors
会计事务所:PWC、E&Y、KPMG、DTT……
咨询公司:Accenture
甲方:如电信移动、金融、各大门户、电子商务以及IT系统对内部运营起到关键作用的企业

薪酬:
职位当然是影响Salary的重要因素,除此之外,审计师/咨询顾问、安全架构师和研究员的工资较高,外企的工资一般比国内企业高,在甲方的工资不一定有乙方高,主要看所在行业、企业盈利程度和对信息安全的**程度,但乙方高薪职位通常来说比甲方更忙碌,其实质也是用时间换工资,从行为经济学看未必很实惠。

职业发展路线
研究员-高级安全研究员
开发程序员-项目经理
产品工程师-安全服务工程师-售前技术顾问
产品工程师-安全服务工程师-安全服务项目经理
产品工程师、安全服务工程师、技术顾问有两个发展方向:
1.        偏技术方向—安全架构师
2.        偏管理方向—咨询顾问
甲方和乙方的角色切换,如果对当前的视角失去了兴趣,不妨换个角度,如果结婚了寻求安定不想出差可以去甲方
当然以上只是理论公式,现实生活中的“天花板”在哪里有机会可以自己去体验一下


知识体系结构
大体分为技术体系和管理体系吧
技术体系:
对攻防技术的理解
OS、Network、Application、Data protection and related
TCP/IP protocol suits
研究偏重底层技术,架构偏重网络

安全管理体系:
各种信息安全技术/管理标准,审计及内部控制标准
传统管理学大集合
咨询及审计

其他:
对客户业务的理解
表达沟通,文档,演讲,项目管理和销售技能

Thank Adam、Why and Yhl  who did effect and improve my career objective

[ 本帖最后由 ayazero 于 2008-6-18 16:52 编辑 ]

论坛徽章:
0
发表于 2006-03-06 16:23 |显示全部楼层
辛苦了,版主,来个沙发坐坐

论坛徽章:
0
发表于 2006-03-06 20:26 |显示全部楼层
有时候还是会想起你的样子

论坛徽章:
0
发表于 2006-03-07 10:10 |显示全部楼层
好啊,简直是内部资料了

论坛徽章:
0
发表于 2006-03-07 10:19 |显示全部楼层
不错,楼主辛苦了!
个人有一点想法,其实我一直认为信息安全和网络安全有着不同,信息安全是大的概念,涉及业务和管理方面,范围更广,网络安全只是一个分支而已.
做信息安全要比网络安全难的多,当然钱景也更广一些,做咨询顾问等都相当不错,不过,如果进一步拓展,从信息安全角度延伸到整个IT视角,那就会更好一些。包括Bearpoint,McKinsey,Accenture都设立了相关的部门.或者,去大企业做CIO也是发展方向之一,做安全一个优势就是,从一开始,就要比别眼看的更广一些,为以后做管理打下坚实的基础了~

论坛徽章:
0
发表于 2006-03-07 12:25 |显示全部楼层
精华啊,建议每月来个补完

论坛徽章:
0
发表于 2006-03-07 16:25 |显示全部楼层
全,真不错。

如果一个安全公司要更快的发展,需要这些部门之间充分共享、协作。

而协调的工作就是难上加难了。。

论坛徽章:
0
发表于 2006-03-07 17:56 |显示全部楼层
友情顶铁

论坛徽章:
0
发表于 2006-03-07 19:22 |显示全部楼层
原帖由 Jambo 于 2006-3-7 16:25 发表
全,真不错。

如果一个安全公司要更快的发展,需要这些部门之间充分共享、协作。

而协调的工作就是难上加难了。。



你说的协调其实是部门间流程

论坛徽章:
1
2015年辞旧岁徽章
日期:2015-03-03 16:54:15
发表于 2006-03-07 20:21 |显示全部楼层
少年轻狂,好!
您需要登录后才可以回帖 登录 | 注册

本版积分规则

【有奖调查】AI时代如何迎接未知挑战?

人工智能一直在医疗行业扮演着重要角色,最早的专家系统和后来的基因诊断都是人工智能技术在医疗的行业探索。近年来,随着深度学习等技术的进步,人工智能在医疗行业的应用领域不断扩展,医学影像智能诊断、语音电子病历、癌症智能诊断等均已逐渐成为热门发展方向。
而作为人工智能重要推动力的深度学习技术的快速发展却亟需认知系统的强力支撑。
----------------------------------------
活动时间:2017年5月15日-6月5日

调查入口>>
  

北京皓辰网域网络信息技术有限公司. 版权所有 京ICP证:060528号 北京市公安局海淀分局网监中心备案编号:1101082001
广播电视节目制作经营许可证(京) 字第1234号 中国互联网协会会员  联系我们:
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP