本文探讨了信息安全领域的职业发展方向,包括安全技术类与安全管理类工作,并分析了两类工作的具体职责及所需技能。此外,还讨论了在甲方(最终用户企业)与乙方(服务提供商)工作的区别,帮助读者更好地规划职业生涯。
问题三:我该选择怎样的职业发展道路
明白了自己应该具有怎样的心态,我们还是希望让自己能够在选择自己的职业发展道路的时候更加明白不同的工作是怎样一回事,各个不同的工作之间有什么不同。那么就让我们逐一来分析信息安全这个类别中可能的职位,当然,还是那句话,由于我个人经验、知识、能力等等因素的限制,分析肯定带有强烈的个人经验色彩,仅供参考。
1. 各类职位略解
信息安全的职位总体来说可以分为依靠具体的安全技术、产品来实施安全建设和运维的安全技术类工作和依靠策略、制度、流程来进行安全管理、监督和审计的安全/风险管理/审计类工作,我们在后面的讨论中就把其简称为安全技术工作和安全管理工作。真正的工作中这些东西可能互有交叉,各个组织内部由于部门设置、组织文化的不同而有所差别,我们只是讨论一些比较理想的状况。
[separator]
安全技术类工作由于和IT技术关系密切,我们可以先从整个IT看起。前面说过,整个IT从功能上来说主要包括基础架构、协同办公以及业务应用程序等几部分,从生命周期上来说可以分为项目建设和日常运维两个阶段。纵横切割之后,基本可以分为基础架构建设,基础架构运维,应用程序开发和建设,应用程序维护(可能有的公司会有专门的IT流程管理和IT审计部门,这个我们暂时不讨论)。我们来看看这中间有多少和安全相关的职位,传统网络安全的防火墙、VPN、IDS等设备基本上都可以放在基础架构建设和运维中,基础架构运维中负责主机部分的工程师一般要负责主机操作系统层面的安全,基础架构或者协同办公运维的工程师还要负责员工账号的管理,基础架构运维中的helpdesk分支基本上还要负责客户端防病毒等安全性的管理。应用程序开发和建设的工程师要保证开发出来应用程序的安全性,应用程序运维的工程师要管理应用程序中的员工账号和权限。在甲方来说,这些工作基本上都不属于专门的信息安全工作人员,而是IT工程师在安全方面应该承担的一部分安全的职责。
所以,在甲方工作的IT基础架构工程师如果能够掌握更多的网络安全的知识,那么就会在自己的领域内具有更好的竞争力,而如果我们只是单纯的了解一些网络安全的知识,而对整个系统没有全面地了解,就很难在甲方的基础架构部门立足。在乙方来说,相应安全产品的工程师其实和其他IT产品的工程师一样,负责支持自己熟悉的产品和技术领域。所以我们即便只是在某个特定的领域或者产品方面有自己的特长,我们也照样可以在安全产品的供应商中谋得一席之地。但是,如果我们的乙方是给客户提供综合的信息安全技术解决方案和服务,那么我们就需要在网络、主机、数据库、应用等各个领域以及相关的安全领域内都有所涉猎。
那么是不是我们在甲方的信息安全人员就没有位置了呢?也不是。从运维角度来说,随着SOC概念的兴起,有的组织已经把防火墙、IDS、SOC等等集中到一个团队来进行集中管理和响应,这个团队主要是负责安全设备的集中管理和安全事件的集中响应,同时有的还负责相应安全事件的后续调查。当然,对于这些人员的综合能力要求也会相对比较高一些,既要对IT的各个领域都有所涉猎,又要对于安全设备比较熟悉,同时还要有网络攻防这方面的知识。
从系统开发和建设的角度来说,有的组织会有专门的团队来进行应用程序上线前的安全性测试等等。这部分工作就需要技术人员对应用程序开发语言比较熟悉,能够熟练的运用各种渗透测试技术。这些工作和黑客工作有同工异曲之妙J 对于数据加密、终端管理等等这样的项目在甲方来说如果没有信息安全部的话,一般也会由负责基础架构项目建设的团队来完成。
其实在一些信息安全作的比较好的公司,技术方面可能还会有信息安全架构师的职位,主要是设计公司的总体信息安全技术架构,参与评估各种IT新项目中系统架构设计的安全性等等。
到这儿安全技术类的工作基本上可以告一段落,那么安全管理类的工作有哪些呢?一方面需要有人制定信息安全方面的策略,一方面需要人有管理这些策略的日常执行,一方面需要有人审计这些策略是否执行到位。这些工作可以定义为风险管理,也可以定义为信息安全管理,也有人定义为信息安全审计。但是不管是做什么,我们有一点很清楚,我们做的这些事十有八九还是和IT相关,做这些事的人十之八九还是需要有比较强的IT基础和信息安全技术基础。当然,在这之上,这些人还需要具有一些流程、管理等方面的知识和经验。
当然,具体到每个公司,可能有的会把安全管理类工作和安全技术类工作放在同一个部门,有的信息安全部可能只是负责安全管理类工作和安全技术类中项目建设的部分,具体的运维还是由各相应的IT运维部门负责。但是,作为从业人员,我们的专业技能基本上也就是这样几个方面。在工作中,我们可能根据自己的工作经历、兴趣、机会等各种因素有选择的发展。
2. 道路选择中的几个矛盾
a. 安全技术VS安全管理
在工作的时候,我们可能会面临一些疑惑,到底是从安全技术方面做起还是从安全管理、审计、流程制度等方面做起?其实我觉得都没有关系,如果想能够在这条道路上走的更远,两方面的知识和经验都会对你有所帮助。问题的关键在于,在工作的过程中,一方面积累自己的专业知识,另一方面要积累对于业务需求的理解。为什么这么说?回到问题的本质,我们做信息安全的目的是为了保护组织的信息,同时信息对于组织有价值是因为它能够促进组织的业务。所以我们一定要理解组织的业务模式,理解信息对于组织的作用和价值,理解信息安全在中间的作用和工作机理。因为这对于我们和其他业务部门打交道,对于我们和老板打交道,更是对我们的职业生涯的发展有非常重要的意义。
b. 甲方VS乙方
我们经常会困惑于甲方还是乙方的选择,其实很简单。甲方的主要工作是日常运维(甲方专门的项目建设部门除外),乙方的主要工作是负责IT项目建设(Managed Service除外),我们在这两个阶段需要的能力和获得的能力都不太一样。日常运维来说,需要的能力比较全面,因为一,多数情况下我们要负责维护多个不同的系统,二,我们要解决日常碰到的可能各种各样的问题。这样,通过不断的解决问题你就会对所负责领域的知识有更加深入地了解,同时由于运维工作很多时候比较贴近用户所以能够获得对于组织业务和流程的更好的理解。
项目建设来说,又分为多种不同的角色,售前和售后是两个基本的分类,售后工程师的基本要求相对低,只要能够对你负责的领域内的产品比较熟悉,基本上就可以胜任。在工作的过程中可以不断积累对于该领域和产品的知识和经验。售后实施中如果是大项目的话,项目经理的角色就非常重要,综合要求比较高,但是实施过程中获得的经验也往往非常宝贵。说一句题外话,像终端管理、文件加密等等和用户关系密切的项目,一般都需要比较好的项目管理,不然,项目的客户满意度就很难保证。售前要求的综合素质比较高,但是我们除了可以提高自己的沟通能力、presentation能力之外很难在专业方面有所收获,那些厂商工程师的经验积累多半是在售后支持的时候获得的。
明白了各个不同的职位需要什么样的能力,自己能够获得什么样的收获,我相信每个人都可以得出自己的判断
明白了自己应该具有怎样的心态,我们还是希望让自己能够在选择自己的职业发展道路的时候更加明白不同的工作是怎样一回事,各个不同的工作之间有什么不同。那么就让我们逐一来分析信息安全这个类别中可能的职位,当然,还是那句话,由于我个人经验、知识、能力等等因素的限制,分析肯定带有强烈的个人经验色彩,仅供参考。
1. 各类职位略解
信息安全的职位总体来说可以分为依靠具体的安全技术、产品来实施安全建设和运维的安全技术类工作和依靠策略、制度、流程来进行安全管理、监督和审计的安全/风险管理/审计类工作,我们在后面的讨论中就把其简称为安全技术工作和安全管理工作。真正的工作中这些东西可能互有交叉,各个组织内部由于部门设置、组织文化的不同而有所差别,我们只是讨论一些比较理想的状况。
[separator]
安全技术类工作由于和IT技术关系密切,我们可以先从整个IT看起。前面说过,整个IT从功能上来说主要包括基础架构、协同办公以及业务应用程序等几部分,从生命周期上来说可以分为项目建设和日常运维两个阶段。纵横切割之后,基本可以分为基础架构建设,基础架构运维,应用程序开发和建设,应用程序维护(可能有的公司会有专门的IT流程管理和IT审计部门,这个我们暂时不讨论)。我们来看看这中间有多少和安全相关的职位,传统网络安全的防火墙、VPN、IDS等设备基本上都可以放在基础架构建设和运维中,基础架构运维中负责主机部分的工程师一般要负责主机操作系统层面的安全,基础架构或者协同办公运维的工程师还要负责员工账号的管理,基础架构运维中的helpdesk分支基本上还要负责客户端防病毒等安全性的管理。应用程序开发和建设的工程师要保证开发出来应用程序的安全性,应用程序运维的工程师要管理应用程序中的员工账号和权限。在甲方来说,这些工作基本上都不属于专门的信息安全工作人员,而是IT工程师在安全方面应该承担的一部分安全的职责。
所以,在甲方工作的IT基础架构工程师如果能够掌握更多的网络安全的知识,那么就会在自己的领域内具有更好的竞争力,而如果我们只是单纯的了解一些网络安全的知识,而对整个系统没有全面地了解,就很难在甲方的基础架构部门立足。在乙方来说,相应安全产品的工程师其实和其他IT产品的工程师一样,负责支持自己熟悉的产品和技术领域。所以我们即便只是在某个特定的领域或者产品方面有自己的特长,我们也照样可以在安全产品的供应商中谋得一席之地。但是,如果我们的乙方是给客户提供综合的信息安全技术解决方案和服务,那么我们就需要在网络、主机、数据库、应用等各个领域以及相关的安全领域内都有所涉猎。
那么是不是我们在甲方的信息安全人员就没有位置了呢?也不是。从运维角度来说,随着SOC概念的兴起,有的组织已经把防火墙、IDS、SOC等等集中到一个团队来进行集中管理和响应,这个团队主要是负责安全设备的集中管理和安全事件的集中响应,同时有的还负责相应安全事件的后续调查。当然,对于这些人员的综合能力要求也会相对比较高一些,既要对IT的各个领域都有所涉猎,又要对于安全设备比较熟悉,同时还要有网络攻防这方面的知识。
从系统开发和建设的角度来说,有的组织会有专门的团队来进行应用程序上线前的安全性测试等等。这部分工作就需要技术人员对应用程序开发语言比较熟悉,能够熟练的运用各种渗透测试技术。这些工作和黑客工作有同工异曲之妙J 对于数据加密、终端管理等等这样的项目在甲方来说如果没有信息安全部的话,一般也会由负责基础架构项目建设的团队来完成。
其实在一些信息安全作的比较好的公司,技术方面可能还会有信息安全架构师的职位,主要是设计公司的总体信息安全技术架构,参与评估各种IT新项目中系统架构设计的安全性等等。
到这儿安全技术类的工作基本上可以告一段落,那么安全管理类的工作有哪些呢?一方面需要有人制定信息安全方面的策略,一方面需要人有管理这些策略的日常执行,一方面需要有人审计这些策略是否执行到位。这些工作可以定义为风险管理,也可以定义为信息安全管理,也有人定义为信息安全审计。但是不管是做什么,我们有一点很清楚,我们做的这些事十有八九还是和IT相关,做这些事的人十之八九还是需要有比较强的IT基础和信息安全技术基础。当然,在这之上,这些人还需要具有一些流程、管理等方面的知识和经验。
当然,具体到每个公司,可能有的会把安全管理类工作和安全技术类工作放在同一个部门,有的信息安全部可能只是负责安全管理类工作和安全技术类中项目建设的部分,具体的运维还是由各相应的IT运维部门负责。但是,作为从业人员,我们的专业技能基本上也就是这样几个方面。在工作中,我们可能根据自己的工作经历、兴趣、机会等各种因素有选择的发展。
2. 道路选择中的几个矛盾
a. 安全技术VS安全管理
在工作的时候,我们可能会面临一些疑惑,到底是从安全技术方面做起还是从安全管理、审计、流程制度等方面做起?其实我觉得都没有关系,如果想能够在这条道路上走的更远,两方面的知识和经验都会对你有所帮助。问题的关键在于,在工作的过程中,一方面积累自己的专业知识,另一方面要积累对于业务需求的理解。为什么这么说?回到问题的本质,我们做信息安全的目的是为了保护组织的信息,同时信息对于组织有价值是因为它能够促进组织的业务。所以我们一定要理解组织的业务模式,理解信息对于组织的作用和价值,理解信息安全在中间的作用和工作机理。因为这对于我们和其他业务部门打交道,对于我们和老板打交道,更是对我们的职业生涯的发展有非常重要的意义。
b. 甲方VS乙方
我们经常会困惑于甲方还是乙方的选择,其实很简单。甲方的主要工作是日常运维(甲方专门的项目建设部门除外),乙方的主要工作是负责IT项目建设(Managed Service除外),我们在这两个阶段需要的能力和获得的能力都不太一样。日常运维来说,需要的能力比较全面,因为一,多数情况下我们要负责维护多个不同的系统,二,我们要解决日常碰到的可能各种各样的问题。这样,通过不断的解决问题你就会对所负责领域的知识有更加深入地了解,同时由于运维工作很多时候比较贴近用户所以能够获得对于组织业务和流程的更好的理解。
项目建设来说,又分为多种不同的角色,售前和售后是两个基本的分类,售后工程师的基本要求相对低,只要能够对你负责的领域内的产品比较熟悉,基本上就可以胜任。在工作的过程中可以不断积累对于该领域和产品的知识和经验。售后实施中如果是大项目的话,项目经理的角色就非常重要,综合要求比较高,但是实施过程中获得的经验也往往非常宝贵。说一句题外话,像终端管理、文件加密等等和用户关系密切的项目,一般都需要比较好的项目管理,不然,项目的客户满意度就很难保证。售前要求的综合素质比较高,但是我们除了可以提高自己的沟通能力、presentation能力之外很难在专业方面有所收获,那些厂商工程师的经验积累多半是在售后支持的时候获得的。
明白了各个不同的职位需要什么样的能力,自己能够获得什么样的收获,我相信每个人都可以得出自己的判断
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
