诸子笔会2022 | 王忠惠:网安新人的从业与晋级技能
自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。
网安新人的从业与晋级技能
网安新人的从业与晋级技能
文 | 王忠惠
王忠惠
上海千寻位置网络有限公司 安全专家
信息安全专业硕士,10年以上网络攻防经历;曾多次规划组织部级前沿网络攻防项目;现带领团队围绕服务、应用和IoT,建设软件安全能力和网络防护能力所需的产品、技术和平台。
毕业求职是一件既重要复杂又影响深远的终身大事,尤其在当前经济形式持续低迷,整个社会就业形势不容乐观的情况下,选择追求稳定,如考公、考编和国企的比比皆是,而选择在其他行业求职,尤其民营为主的互联网行业,相比以往就谨慎很多。
然而,相比其他传统行业,过去二十多年,成为我国创新引擎的互联网行业却是蓬勃发展,不仅在业务规模上持续2位数增长,更在过去的2021年,我国规模以上互联网和相关服务企业已完成业务收入15500亿元,整个数字经济规模突破30万亿。在这个过程中,不仅是互联网行业渗透至社会的多个领域,而且催生和发展了电子商务、O2O服务、自媒体和网络直播等产品形态,更是滋养着如今的网络安全行业。
笔者在信息安全专业学习,至今在信息安全行业已从业十多年,明显感觉到信息安全行业规模一如既往的不够大,最为显著的增长也是来自于Web 2.0和移动互联网兴起后,网络安全攻防的成熟带动信息安全就业基本盘(需求和薪酬)的快速增强。当然,相同时期内,互联网行业的研发岗位的容量需求就更大,岗位薪酬也更高。
虽然信息安全行业的市场规模不大,差不多几百亿人民币,但人才缺口却一直很大。保守估计,我国2019年时网络安全专业人才缺口预估在50万以上,而当年网络安全相关专业的高校毕业生规模仅2万余人。网络安全行业至2021年仍然有100万人才的缺口,2021年上半年增幅高达39.87%,随着网络安全在各行业渗透比例逐渐提升,近3年网络安全人才市场需求也将高速增长。
由此可见,从业信息安全是择业就业的好去处,也是一个可以长期发展的职业赛道。不过由于信息安全岗位众多,所需的基本专业知识和素质条件也各不相同,网安新人选择具体做什么也是要费一番功夫去考虑的。
目前市场对网络安全方面最紧缺的岗位主要包括:安全研究、安全审计、风险评估、应急响应、安全态势分析等,其中甲方企业偏重体系建设和安全管理,乙方安全厂商更加注重安全技术实操和服务客户需求。由于甲方涉及的具体业务和行业较多,相当数量的乙方同学在干满3-5年后也会考虑换道甲方谋求更多的机会。本文也更多将从甲方视角去谈谈不同安全岗位对于网络安全从业新人的技能可能性。
数据合规。随着近两年安全领域法律法规的持续完善,数据安全和个人隐私对于企业业务连续性越发重要。数据合规岗位不仅需要了解国家政策和监管要求,也需要实现各类安全监管技术补齐业务发展不足。
体系建设。信息安全结构性要求既有技术的,也有管理的;既有攻击,又有防御;既有单点防御,也有整体弹性。体系建设岗需要掌握网络安全产品的应用方案,也需要改进各项安全防御对策。
应用安全。信息系统的安全问题最终是通过技术改进和软硬件研发来完成的,管理方式不是终极状态。应用安全岗通过熟知安全编码技术和漏洞防护技巧,在研发流程中更好地落地安全技术应用。
运营分析。网络安全事件分类繁多,处置流程复杂。通过总结各类事件的趋势规律,可以更好地消解安全风险。运营分析岗需要具备良好的数据挖掘分析能力,总结攻防规律和数据泄露特征,更好地改进安全流程。
业务风控。业务面对的风险除了漏洞攻击和数据泄露,也面对占便宜、薅羊毛等问题。此中问题,不仅包括单纯的拦截处置,也包括如何挖掘对业务的有利面。业务风控岗通过业务防御与技术应用来降低各类资损的发生。
产品研发。安全问题本身也是系统性问题,通过系统性工程和产品研发提供各类安全工具,提高了安全效率。产品研发岗位所需的技能除了编程开发,也需要具备安全技术的应用能力。
当然,具备必要的安全岗位技能只是开展一段职业工作的开始,而要更深入地发展自己的兴趣和事业,就像游戏的冲关晋级,需要点亮更多的综合技能。
以下是笔者梳理的一些与网络安全相关的非技术性技能。
理解公司的业务。围绕公司的业务发展需求开展网络安全工作,更容易获得业务部门和研发部门的支持。传统的结构式网络防御更多建立在网络攻防对抗和系统功能缺失的基础之上,进行网络能力和应用功能的补充。然而,Web应用、移动应用和后端技术的不足会在技术创新周期内随着技术应用的技术不断革新,新的攻击向量出现,旧的攻击向量也会消解。一层不变的防护技术难以满足新技术的应用,尤其新业务的持续创新和需求迭代,已有的网络安全会落后于新技术在业务中的应用。如云计算和容器等热点技术加快了业务迭代,也明显凸显传统数据中心安全应用的不足,新的网络安全应用需要更早地与公司业务结合。
满足复杂性需求。不同类型的业务通常具有不同的复杂度需求。单纯的终端安全防护在办公终端、服务器、移动终端以及物联网设备面对的系统环境、设备功耗和功能需求是完全不同的。同样是数据防泄漏,办公网会更多面对即时通讯工具和邮件系统的数据外发泄露,然而服务器却要面对木马隐蔽通信和跨网络安全域下的代理自动绕过等数据传输问题,其他设备场景下的数据泄露就更为复杂。同一类安全问题具象表现也需要因地制宜地寻找不同的安全解决方案。
学习一些商业模式。掌握常见的商业模型,能够更好地理解业务价值。企业提供什么样的产品和服务,如何实现客户的价值。既包括业务系统、关键资源能力,也包括盈利模式和现金流接口。对应于业务流程的风险识别、关键业务识别,以及对信息流、资金流的安全保护。理解企业价值,能否挖掘安全应用的必要场景。
获得技术红利。科技进步是非常重要的创新因素。长期以管控为主的安全理念已经无法满足数据安全流通的需求,然而轻管控又会带来不可预见的风险。类似对于安全事件的处置,在人力长期缺少、公司成本削减和网络风险增加的情形下,如何满足应急响应和妥善处置,需要更多的投入。随着业务规模和网络应用的持续扩大,人工智能、物联网和隐私计算的持续创新和成熟,网络安全领域通过应用这些新技术,也将能够解决数据安全计算和威胁自动处置等网络安全的创新应用。
从从业到晋级,网络安全从业人员需要经历的过程漫长得多,虽然CSO、CISO等角色被反复提及,但真正让安全成为产品和服务的业务属性,既与从业者能否坚持将安全融入到公司的发展和价值成就中,更与互联网行业发展尤其相关。互联网对于各项业务的变革仍在继续,懂业务,坚持安全业务属性化,未来也将大有可为。
【11月主题:考场,战场与职场】
【10月主题:过与不及】
【9月主题:查漏补缺】
【8月主题:红与蓝】
刘志诚 张永宏 王忠惠 孙琦
肖文棣 孙瑜 杨文斌 陈圣 回顾
【7月主题:误区与陷阱】
刘志诚 张永宏 孙瑜 王忠惠 肖文棣
朱文义 杨文斌 孙琦 陈圣 回顾
【6月主题:远程办公与安全】
王忠惠 于闽东 刘志诚 孙琦 朱文义
张增斌 肖文棣 杨文斌 张永宏 孙瑜 陈圣 回顾
【5月主题:安全之变】
王忠惠 张永宏 朱文义 于闽东 刘志诚 杨文斌
孙琦 孙瑜 半藏咸鱼 肖文棣 王振东 陈圣 回顾
2021首届诸子笔会
齐心抗疫 与你同在