诸子笔会2022 | 陈圣:漫谈网络安全职业生涯之路
自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。
漫谈网络安全职业生涯之路
漫谈网络安全职业生涯之路
文 | 陈圣
陈圣
中通快递安全专家
近年来,随着网络安全领域的迅速发展,以及国家将整体网络安全、信息安全提到一个全新的高度,使对网络安全专业人员的需求达到顶峰。与大多数 IT 行业一样,很多企业正在努力填补这些网络安全技能缺口。
近日发布的《网络安全产业人才发展报告》指出,“十四五”时期,网络安全人才培养进入快车道,一方面,网络安全从业者面对的挑战和工作压力不断提升,需要与时俱进地吸收网络安全创新理念、技术和管理方法,另一方面,网络安全新生力量的培养需要进一步加强……工信部《网络安全产业高质量发展三年行动计划(2021-2023年)》提出,到2023年,网络安全产业规模超过2500亿元,年复合增长率超过15%。据测算,2027年我国网络安全从业人员需求数量300万人。
因此,国内当前对网络安全专业人员的需求很大。但是,进入网络安全职业的最佳途径是什么?
步入疫情的第三年,虽然越来越多的公司转向在线或居家办公,但对熟练软件开发人员和IT安全专家的需求却仍然在进一步增加。事实上,对于那些希望从事IT职业的人来说,安全方面现在是搜索最多的职业关键词之一,但要满足对IT安全专业人员的需求,候选人的总数也需要增加更多。
虽然这个职业表面上薪资很诱人,但对那些希望进入这一行的人来说,所需的技术熟练程度和经验却是一个巨大的阻碍。而对于那些已经开始从事网络安全职业的人来说,受到疫情和经济发展的影响,平均工资似乎并没有想象中那般高。当然笔者周围很多同行在大环境并不是最理想的情况下,通过不断地付出努力,很多都得到了升职和加薪。
我们有注意到,这个行业除了有吸引力的薪资前景外,还提供了与其他许多行业相媲美的工作机会——随着随时待命的线上或居家办公、更多更加灵活的在线会议,相比较传统行业与互联网行业等,越来越多的企业会真正意义上重视用户和员工的信息安全和隐私保护。此外,你会发现很多不同的职业道路可以专攻,如学数学的可以过渡到密码安全学,计算机管理专业转向渗透测试等。笔者周围就有很多程序员转向了安全开发,这样可以获取更好的薪资待遇。
在一次与律师团队的沟通会议上,好几个律师正在考虑考取CISP(国家注册信息安全专业人员)的国家资质证书,还有些合伙人的名片上已经印有DPO数据保护官(基于GDPR的隐私与数据保护发布的认证体系)的认证证明了,这应该可以算得上是网络安全信息行业内卷带动外卷的例子。
但在专攻网络安全途径之前,需要入门级的IT技能和经验,这是个毋庸置疑的事实,也是敲门砖,招聘网络安全专业人员的HR一直寻求的也是实践经验和技术能力相结合的人才。尽管担心经济衰退,但IT行业已经在过去证明了其对经济衰退的抵抗力。因此,想入行的人如果充满热情,那么现在仍然是开始从事此类工作的好时机。任何网络安全职业的基础是拥有强大的IT网络基础知识及IT和网络领域工作的经验,加上一些更专业的安全资格认证。
以下是笔者整理的网络安全较为常见的职业档案索引:
首席信息安全官
这是一个执行级别的职位,负责开发和监督公司的网络安全架构、政策/规划和执行。这个职位需要技术能力和管理敏锐度。
首席隐私官
首席隐私官是一个新的行政级别职位,在大公司、机构和组织(包括跨国机构和政府组织)中变得越来越普遍。创建这个新角色是为了确保保护关键数据,例如个人隐私信息和财务信息。
计算机取证专家(方向)
笔者总是认为这些专家是侦探,在数据、网络或安全漏洞发生后与公司官员或执法部门合作,描绘计算机或计算机系统如何受到损害的情况。是不是像数字世界的侦探?通常,他们的任务是弄清楚安全事件后发生了什么,并能够对黑客和攻击进行逆向工程。随着数字攻击面的数量不断增长,对具有数字取证技能的专业人员的需求也在增加。
应急响应专家(方向)
这项工作的职责与职位本身非常一致。如果检测到数据泄露或黑客攻击,事件响应者通常是组织或公司内的第一个吹哨人。该角色需要记录攻击并制定响应。
密码分析专家(方向)
类似于今天的密码破译员、密码分析员,使用数学、计算机科学和工程学来分析隐藏数据的不同方法。这个职业名称有时被用来表示密码学家,但在行业内是有区别的。
密码学家 从事网络安全工作的密码学家是对一门古老学科的现代演绎。密码学家使用算法和计算机代码来创建(和破译)加密软件和相关服务。另外,前提你拥有很好的数学和逻辑基础。
网络犯罪调查专家(方向)
数字犯罪的独特之处在于它们是远程进行的,或者它们可以在虚拟领域发生,或者需要在许多节点或集线器之间进行复杂的协调。网络犯罪调查员充当数字侦探,帮助在黑客或网络攻击后将网络犯罪分子绳之以法。
数据保护官 (DPO)
是一个相对较新的职位,旨在满足欧洲通用数据保护条例 (GDPR) 的要求。由于该法规影响在欧洲开展业务的所有公司,因此DPO有助于在公司或组织内制定和实施数据隐私策略。
道德黑客(白帽子)
也称为渗透测试专家,其任务是试图发现计算机系统或网络中的漏洞。目标是在网络犯罪分子或黑帽黑客能够利用系统之前找到这些漏洞并提出修复或防御建议。还有恶意软件测评方面的专家,网络安全层次结构中一个重要且快速增长的角色是恶意软件(测评)分析师。部分安全工程师、数字取证专家和程序员,他们的关键功能是在网络安全事件后提供深入的情报。渗透测试员或渗透测试员,或道德黑客(白帽子),是网络安全领域的当下最最热门的工作。每年的网络攻防演练,很多企业公司都会组织聘请渗透测试人员在其他攻击方发起模拟攻击之前寻找安全问题和漏洞。
说起网络安全,在这里我们不能忘记风险管理,这是企业经营最为关键的一部分。对于当下很多数字化转型期间的企业而言,了解和减轻网络安全风险变得越来越重要。今天的风险管理人员需要具备多样化的专业背景,包括对网络安全的理解。
安全管理员通常是 IT主导角色,可以专注于或过渡到与安全相关的工作职能。
安全分析师,他们负责监控安全程序并确保实施和遵循最佳实践。安全分析师的角色可能会因雇主公司的规模和行业而有很大差异,但该职业肯定会在所有行业中变得越来越受欢迎。
安全架构师——设计计算网络和其他基础设施时着眼于安全性和维护整体完整性是安全架构师的工作。这项工作通常利用来自各种背景的技能和经验,并且在创建安全和有弹性的网络时被认为是一项基础功能。
安全代码审计员也称为安全审计员、源代码审计员或安全审计员。作为敏感安全代码的编辑者,这项工作需要广泛的技能,包括编程、对网络和系统基础设施的理解以及对渗透测试和底层安全协议的熟悉。
安全顾问通常具有丰富的经验和知识,当公司或组织试图处理或消除紧迫的安全问题或问题时,他们会被聘用。
安全工程师——负责构建和维护安全代码和系统,以保护数据和基础设施。
安全软件开发人员则是获取公司或组织可能为其业务或运营编写的软件,然后在该软件之上添加安全层,以便从攻击的角度对其进行加固。在某些方面,这个角色跨越了传统商业软件开发的世界和新兴的信息安全世界。
安全专家是对策略和最佳实践有深刻理解的人,可以根据公司或组织的规模和范围承担许多特定的安全导向角色。
信息安全经理保护组织的计算机网络和系统免受未经授权的访问、使用或披露。这可以包括从安装防火墙到制定事件响应计划再到制定策略以确保数据机密性、完整性和可用性的任何事情。这些安全经理还可以监督和管理处理日常信息安全任务的员工。
成为一名全面的网络安全专业人士需要拥有较为完备的经验。不断学习和积累经验是初期网络安全职业生涯的关键组成部分,并且随着职业发展和想要成为高级网络安全领导者的初心,我相信你会变得更有价值(更值钱)。更重要的是,学习和积累可以让你了解你想从事的网络安全领域,然后你可以将你的职业道路更多地集中在这些领域。在将网络安全领域作为职业道路之前,可以尝试接触不同的领域,这样你的眼界会比普通人更为开阔。
许多人注意到这是一个高薪、高潜力和迫切需要人才的行业,然而他们发现差距在于具有专业知识的经验和丰富的问题应对能力。网络安全行业已证明自己具有令人难以置信的适应性,笔者毫不怀疑该行业将创造出更多的工作角色。一些新人可以从以下三个方面入手:
1、做一些基础性的研究。网络安全是大多数企业的基本要求,但其中有大量不同的工作角色。这些角色并不总是相似的,虽然可以在整个职业生涯中跨学科移动,但当开始时,就需要了解你所希望定位的领域。大多数人认为网络安全中的角色是渗透测试员或白帽子,找到漏洞或者善意地闯入计算机系统证明自己的能力,但是有些人的作用与此相反,比如建立强大的防御能力而不是试图找到漏洞。分析威胁、编写策略、提供培训甚至审核现有系统流程的人员也扮演着不同的角色。
2、与一些行业资深的人沟通学习。记住,很多成功的人都是乐于分享的,一旦你对你的目标工作有了一个想法,就找一个可以和你交谈的前辈或者行业领军人,这可以像在社交媒体上找到具有该职位的人并询问他们是否愿意与您交谈一样简单,也许还可以找到可以给你职业生涯给到很好建议的大咖。问问这些人,他们的一天是怎样度过的?找出他们面临的挑战。考虑一下他们所走的职业道路以及是否能够效仿?有了这些初步的答案,就可能会更好地了解这是否真的适合自己。不仅如此,还可以深入了解可能需要哪些技能、认证资质,甚至好的初创公司或正需要网络安全岗位的公司有哪些职位是适合自己的。
3、仅在必须或想要时才获得认证。认证是否越多越好呢?网络安全行业有很多认证证书,但是“没有任何认证可以保证你有一份工作。”“没有一项认证与所有职业角色都有关系。”有一些角色,比如渗透测试,认证是高度相关的;而其他的,比如威胁情报,拥有的认证则要少得多,通常不像经验那样必须或被重视。兴趣使然,并保证你真正能学习到你想要的知识,就请参加你所感兴趣的课程或认证,利用各种学习的机会,因为学习会让你兴奋,当然请务必确保在你的预算之内。
最后,每个人的职业生涯都是不一样的,找一个引路人或者导师,在网络安全领域可以给到你宝贵的职业经验,也可以帮助你应对可能存在的技术挑战。随着你不断地成长,成为其他人的教练或者说导师时,尽可能多地推动参与力所能及的网络安全类项目,不要惧怕和规避挑战,保持学习的劲头。特别是职业生涯的早期阶段,可以试错,但是要清晰你的目标,在网络安全领域建立成功的职业生涯是你自己给自己的一个长期的承诺。
不断促使自己成为一个贡献者、分享者,而不是只是会使用社交媒体或会议或课程来吸收知识;不断地转化自己所学,一步一个脚印地建立自己的影响力,充分相信自己,一定可以!
【11月主题:考场,战场与职场】
【10月主题:过与不及】
【9月主题:查漏补缺】
【8月主题:红与蓝】
刘志诚 张永宏 王忠惠 孙琦
肖文棣 孙瑜 杨文斌 陈圣 回顾
【7月主题:误区与陷阱】
刘志诚 张永宏 孙瑜 王忠惠 肖文棣
朱文义 杨文斌 孙琦 陈圣 回顾
【6月主题:远程办公与安全】
王忠惠 于闽东 刘志诚 孙琦 朱文义
张增斌 肖文棣 杨文斌 张永宏 孙瑜 陈圣 回顾
【5月主题:安全之变】
王忠惠 张永宏 朱文义 于闽东 刘志诚 杨文斌
孙琦 孙瑜 半藏咸鱼 肖文棣 王振东 陈圣 回顾
2021首届诸子笔会
齐心抗疫 与你同在