信息安全职业类型分析 信息安全职业发展规划参考 职业类型: 信息安全咨询师,信息安全测评师,信息安全服务人员,信息安全运维人员,信息安全方案架构师,安全产品开发工程师,安全策略工程师、培训讲师、漏洞挖掘、攻防测试 咨询顾问一般需要以下技能: 熟悉各类安全标准--BS7799,ISO13335,CC,SSE-CMM,IATF,SP800…… 相关的知识领域—ITGovernance,ITIL/ITSM,MOF,COBIT,SOA,COSO…… 咨询体系--企业经营管理,流程管理,人力资源管理,信息战略,法律法规 基本技能--沟通表达、文档、项目管理 技术体系--Allabove(不要因为我说了这句话趋之若鹜哦) 分类: 市场销售类:销售员、营销人员 顾问咨询类:售前工程师、咨询顾问 管理类:内控审计师、信息安全管理 技术实现类:开发工程师、渗透测试 开发管理类:项目经理、技术总监 实施维护类:实施工程师、维护工程师 甲方 乙方:有技术、产品、有解决方案,更关注行业、技术等,保障企业利益 X方:标准制定机构,处于中立地位的机构,监管机构等 四类主体岗位群: 管理、技术、销售、运维 管理类职业群:行业监管标准的执行,合规标准;管理实践;系统方法进行指导 技术类职业群:技术开发类职业群,技术运维类职业群(核心是对业务的需求和理解) 开发:语言、工具、思路、需求理解 运维:系统分析、运维思想、操作技能、流程管理 营销类职业群:(通常在乙方,向人提供产品技术),在什么情景下使用什么技术解决什么问题。
传播、方案、场景、市场有技术基础,又有良好的表达能力 销售类职业群:关系+价值 信息安全管理岗位职业锚 甲方:以服务自己为主 1、安全体系管理员 大型企业,体系化的有时候配合乙方进行企业安全建设 职责:安全规划、需要多少钱多少人、制定相关安全制度,提出相应安全要求参照ISO27000级内控等还是比较难的) 督促实施,检查各项信息安全制度、体系文件和策略落实情况在企业内部地位还可以) 2、信息安全经理 大型企业,会设安全处,是处长级别不仅了解企业内部动态,设置规章制度而且要和监管机构、行业主管部门、上级进行沟通,了解他们对安全的要求对沟通能力,全局观有要求定期组织各个部门进行风险评估,针对问题制定相关措施对技术也要有所了解很多技术活都要去做实干型的在企业中承担重要职责的岗位) 3、CSO首席安全官 负责整个机构的安全运行状态,物理安全信息安全等在很多企业甚至是合伙人之一)互联网金融、银行等行业都非常重要,外企的信息安全官各个方面都要管甚至业务安全、反欺诈和隐 私保护等等,到犯罪的问题都要管 涉及到公共安全等问题,已经进入公司的决策层。
超脱技术,从更高的层次去理解本身是一个高级管理层甲方安全的最高位置) 金融安全:1道防线技术部门,2道防线安全风险部门,3道防线审计 乙方:以服务客户为主 安全咨询顾问 卖的是经验和脑子,帮客户发现问题解决问题要有整套的方法论 帮客户进行合规性工作,安全规划、等级保护、安全体系建设等安全解决方案设计对客户进行安全培训、售前交流等 要有一定中立性,不是一去了就卖产品帮客户以更少的投入解决问题要求很高,很高的工作背景,技术,表达能力等等30岁左右才能从事这个行业) IT审计师 业务依赖信息系统,系统一旦受损会影响公司执行IT风险评估和审计,对应用程序控制和安全控制审查等 应用逻辑设计不合理等等协助客户评估和改善应用西永的中IT安全和业务控制国内接近1万人) 行业安全专家(咨询顾问在很多年后沉淀下来成为行业专家)在某个行业数十年,最后沉淀行业安全需求调研,行业安全方案推广,行业项目支持,对行业发展把握比较准,能创新的提出发展策略能创新并了解发展趋势,带着客户走 国家的政策有时候会请行业专家来听听他们的意见。
专业能力要求 (一开始很难做,要有一定的技术,才能跳出来看,对安全有全局性的了解) 1、安全体系架构 安全管理标准:ISO27001 安全合规标准:等级保护 企业IT架构:TOGAF(对企业有整体的了解) IT内控体系:cobit 软件开发管理:CMMI(IT开发的) IT服务管理:ITIL(IT运维的) 2、行业安全 行业监管要求和标准:不同行业有不同的监管标准 行业主要业务与应用:了解这个行业的业务(了解银行的业务,他们是干什么的每个行业的架构都不一样 行业从业经验:在一个行业有经验,在银行或者其他进行沉淀,不要在行业之间随便跳 3、企业管理(CSO、行业专家) 治理、风险与合规 公司战略与业务管理(紧紧地贴到公司的业务上) 人力、财务、法律 (对细节更了解) 信息安全管理岗位的专业认证 安全:Security+(全球有几十万人,面向技术操作)、CISP【高】(国内安全方面顶级认证,国内1万人左右)、CISSP 【高】(国际顶尖的认证,全球有10万人左右) 【全面但不深入,比较适合管理岗位,什么都知道】 审计:CISA(信息系统审计师,中国不到1万人) 标准:ISO27001等级保护【含量高】 运维:ITIL(IT服务管理的最佳实践) 内控:Cobit5.0 项目:传统PMP,prince2(适合IT项目管理)、CMMI 信息安全管理岗位发展路径 信息安全技术岗位职业锚 信息安全技术岗位群 甲方: 安全运维工程师 运维层面的安全,对主机、网络、数据库、应用系统、数据等进行安全检查,策略配置等等。
对思科路由器、防火墙设备、操作系统等等,各种安全产品的维护等等)安全监控、日志分析、应急响应处理压力也比较大,岗位需求比较大) 安全开发 安全应用系统开发,对全生命周期的支持,不仅懂安全还要懂开发,要懂测试,会编写软件1个人负责几百个人的安全开发,要使用自动化工具),开发安全防护组件供其直接调用 渗透测试 大型的企业,会设置专门的测试部门定期对基础设施和应用系统进行安全扫描和渗透测试,对漏洞的整改进行跟踪和支持等等直接承担任务,不用去上班白帽子加加班就能挣钱全国有 几千人 业务安全 贴近业务的工程师,懂业务还懂安全产品的设计有没有问题,用户体验有没有问题要深入到某一具体产品中去 乙方: 安全服务工程师 实施信息安全风险评估、渗透测试、安全加固、漏洞扫描、基线检查、安全巡检等负责客户安全事件的应急响应支持安全培训,讲解安全服务安全事件之后,调用安全服务工程师到现场甚至驻场到甲方同安全运营类似做安全服务一般知识面比较宽 售前工程师 核心目标,把公司产品卖出去了解客户安全需求,使用公司产品去解决问题。
配合销售人员参与投标项目,完成整个投标过程;跟用户进行现场交流工作量比较大,技术和沟通能力要强,现场反应能要求高对产品要熟悉技术能力基本不需要,更多的是沟通能力,演讲能力,理解能力可以转成安全顾问 实施工程师 产品实施工程师,技能要求比较低,懂原理安装培训就可以了一般工作年限刚毕业一两年比较辛苦,常在机房泡着,入行的时候会选择之后转成售前、安全服务、安全顾问)选择产品线长的,大的厂商薪资也不是很高1个售前要有5个实施岗位需求大点 研究工程师(漏洞挖掘等) 大型厂商有安全研究队伍跟踪国内外最新安全技术,对漏洞形成规则库,负责各种网络系统应用和设备的安全攻击和防御技术研究,负责安全漏洞挖掘与分析相关技术研究及工具开发人数不多,但要精大厂商能够承担国家级课题待遇高,要求高,岗位需求低) 信息安全技术岗位专业能力要求 基础设施安全:(会配置起码) 数据库安全 系统安全 网络安全 应用安全:(编程能力) web应用安全 移动应用安全 业务应用安全 安全产品:(动手能力,全方位了解产品) 边界防护类:防火墙、防毒、入情监测、VPN等(两三年来了解,从产品一个一个学) 内网防护类:终端安全、账户安全、数据安全等 安全攻防类:漏洞扫描、日志审计、SIEM事件分析等 攻防能力:(几年时间不断地实践,能深刻理解黑客是怎么回事)渗透测试 逆向工程 取证分析 信息安全技术认证 网络:思科认证 系统:RHCE、UNIX、Windows 数据库:OCP 攻防:CEH道德黑客(对英文要求比较高,没有中文考试) 安全:Security+、CISP、CISSP 具体职业岗位 漏洞挖掘/安全技术研究人员:漏洞挖掘、安全技术研究将结果转化为商业价值 安全产品开发:能开发安全的软件的程序员 产品工程师,厂商的技术人员一般对自有产品做售后支持,对技术要求一般,有一定的系统、网络基础,熟练部署产品即可,测试和问题解决能力比较重要 技术顾问/售前工程师,了解自己的产品和解决方案非常熟悉,偏重于架构/方案设计。
表达能力、文档能力、售前工程能力(投标、销售推介等),有多年工作经验,有售后或研发背景,对特定的行业了解能增强竞争力,如能对专业安全技术服务及咨询服务有所掌握,会使你的知识背景更强势,项目管理技能也是必要的 安全服务工程师,产品选型和部署是相对简单的,专业的安全服务对技术理解并且有管理和项目知识沟通、表达能力也是必须的 安全架构师,售前和服务工程师都是要写整体的解决方案的,但没有架构师的技术高度,需要了解安全趋势和客户的整体安全需求,既有深度又有广度,需要较多的经验和技术 信息安全咨询顾问, 熟悉各类安全标准 --BS7799,ISO13335,CC,SSE-CMM,IATF,SP800…… 相关的知识领域—ITGovernance,ITIL/ITSM,MOF,COBIT,SOA,COSO…… 咨询体系--企业经营管理,流程管理,人力资源管理,信息战略,法律法规 基本技能--沟通表达、文档、项目管理 技术体系--Allabove(不要因为我说了这句话趋之若鹜哦)CHO,首席黑客官,反黑客能力也非常强 CSO,首席信息安全观,较大的组织才会有。
高级咨询顾问到了甲方也可是CSO 知识体系 技术体系:对攻防的理解、操作系统、网络、应。