【转】信息安全的职业生涯

  继《信息安全从业参考》，虽然只是我大脑里的残羹冷炙，不过我觉得没意思的东西或许对于别人来说有启发，为了避免某些人猜测我的作为，再补充一句，这些东西对我本人来说是毫无意义的。

 

假设你是一个刚毕业的学生，无非有两种方式，top-down和down-top的方式，但无论如何，此时你都不可能站在一个很高的视角上，因为你缺乏知识和经验。

down-top从安全公司做技术开始，由网络安全逐渐向信息安全过渡，top-down从四大或咨询公司开始，一开始就走咨询的模式。但我想大多数都是从做技术开始的。

假设把职业技能分级的话，我认为大致可以分为几类：

战略 - 管理 - 技术（技术管理）


技术的东西其实很容易学，操作系统、网络、数据库等无非就是依葫芦画瓢，学生时代花点力气自学即使不敢用精通（如果你的水平超过在职从业人员的平均水平，你就可以用精通，水平的高低完全不在于年龄的大小，也不在于从业时间的长短），熟悉还是可以的吧，计算机平台以外的信息技术可以到接触信息安全的时候再学业无所谓，毕竟信息安全的大头还是计算机网络通讯。如果你把这些想的很难，那你学起来一定很“艰辛”，如果你不把这些当成是什么，那么学起来自然很轻松。很多在外行人看来是大牛的角色，如果客观的用“知识容量”来衡量的话，就不会盲目崇拜了。

我个人认为CISSP的内容其实还不属于管理，更多的属于技术管理或技术的范畴。

如果进度比较快的话，技术基础学生时代即可完成，工作后主要是接触一些企业运营系统，了解各个行业中IT系统如何支撑业务运营，了解企业中的组织结构和角色、职能。

当试图向信息安全管理过渡的时候，首先必须切换自己的视角，不要时时处处都抱着技术的视角去看待并解决问题。那些国际安全标准和IT治理的最佳实践学起来一点都不难，难在如果你不懂企业管理、不了解企业运营、不了解行业的IT系统特性而硬要生搬硬套做咨询的话，就会发现一个知识大空洞。

很多人的职业生涯都“死”在视角切换不过去，不能站在更高的角度看问题。当然喜欢做技术倒也无可厚非。

从普通的技术人员向顾问过渡之后，即将面临职业生涯的第一个瓶颈，第一种选择是去甲方当CSO。

管理体系成熟的大公司可能会有以下职位：
首席风险官，CRO
首席安全官，CSO/CISO
首席保密官，CPO
内部审计总监

CRO，风险管理总监实际上主要是管理财务风险，IT风险只是其次，所以技术出身的人基本不可能胜任这个职位。
CSO，信息安全总监，出现频率最高，最有可能的职位。
另一方面，在国内单独设置风险/安全管理职位的企业并不多，一般是境外上市公司为了符合国外法规的治理合规性需求，或者是规模较大，对风险和信息控制比较敏感的企业。

如果你在企业组织架构中的位置远离最佳实践的治理水平，手脚施展不开，做不了事情，那就请联系猎头跳槽吧。

CSO不仅要精通信息安全技术，更要了解管理和商业，虽然总也有人试图对我表达一个精通技术的安全管理者是多么称职，但事实上，技术不是第一位的，包括如何借助国际标准建立ISMS的方法论等都是相对简单的事情，对CSO来说在组织中成功开展工作最重要的能力是EQ

一种职业发展是行业过渡，比如去甲方做CSO可以把自己换到任何一个行业，而另一种职业发展则是专业过渡，比如由纯粹的安全管理变成IT治理、风险管理，甚至变成财务风险管理，完全转变自己工作的性质内容和性质。

任何一个行业，任何一项职业发展都会有上限。一种“模式”必然伴随了一种“结果”。如果你选择了走某条道路，那么其结果也是八九不离十。大多数人工作多年后抱怨失去成长空间，其实就是没有规划，视野狭隘所致。实际上抱怨大可不必，因为这种阶段性的结果是完全可以提前预知的，每个人都必须为自己的选择承担结果。在你选择走这条路之前你就应该知道这条路通向何方！

虽然全球信息化趋势不可阻挡，这也造就了很多IT企业并向社会提供了大量的IT就业机会。但我并不看好那些狭义的IT职位。虽然常话说条条大路通罗马，但实际上不同的行业随着其资本积累速度和需求容量的不同，潜在的暗示着不同的行业仍有高低贵贱之分，就像CSO永远无法与CFO相提并论一样。如果你觉得行业的太容易走到“头”，那么尝试切换专业是必要的。对信息安全从业者来说比较明显的出路是找一家“面子”很大的咨询公司，自己尝试读MBA+自学补全财务，金融方面的知识，由IT风险管理转向真正的企业管理咨询或财务咨询，以后的出路才可能宽一些。这种模式可以再生出一棵很庞大的职业发展树，不过就此打住。

那些专注于技术本身的从业者，出路都不会很大。创业虽然也有蓝海，但是蓝海的SIZE对于这个行业来说本质上都很小，红海更是已经被争夺的一塌糊涂，并且你的成长速度将决定是否能在仅存的蓝海中活下来。

到甲方的话，CSO就是尽头吗？也不尽然，CSO可以继续变成CIO，关键在于自己的能力积累和角色转变。如果CIO成为推动利润大幅增长的的变革者，潜在的承担CGO（G：Growth），那么成为COO甚至CEO都是可能的，如果不能成为变革者，或者CIO只承担有限责任地位不高，那么CIO的职业生涯将到此为止。


自己的成长和环境选择是内因，职业发展还依赖于另一个外因：你所拥有的社会资源以及你整合资源的能力。学无止尽，时刻充电提高自己的能力和视野都是必要的，你所学到的知识不会因为公司不重视而贬值，社会需求将决定你的价值。


对时间的利用犹如投资，必须考虑：机会成本，投资组合，收益回报和风险。你今天走了这条职业发展的路，就没有时间走另外一条。你是在走慢速通道还是高速公路，还是坐飞机？假如道路A失败，你将如何延续发展等……


本文举了一些例子，实际上暗示了任何行业、任何职业都有职业再造，二次发力的可能。战略性的职业规划，有计划的迁移自己的知识和能力的重心，超越职业禁锢，不墨守陈规，做自己感兴趣并且有挑战的事情。

路不是越走越宽就是越走越窄，很多人觉得没有回头路就是因为只走不想，或者是几年前为了捡眼前的芝麻而丢了西瓜。大多数人蜂拥而去的方向往往是空间狭窄的，聪明的人从来不随大流，站在十字路口应该静下来想一想，我到底要以多少速度走哪条路？

本文的目的不在于向你穷尽职业发展的所有的轨迹，你至少应该明白那些“常规模式”只是目光短浅者自己给自己下套而已。不受传统观念的束缚，你将看到更广阔的空间，不过话不能道尽，剩下的留给读者自己想吧。

-------------------------------------

★信息安全从业参考

你可以转载本文，但请务必保留本文的完整性

本文的进阶篇，《信息安全的职业生涯》
http://bbs.chinaunix.net/viewthr ... &extra=page%3D1
《CSO的生存艺术》
http://bbs.chinaunix.net/thread-1163970-1-1.html

Author：
赵彦，http://blog.sina.com.cn/u/1258699773
Homepage：www.ph4nt0m.org
Mailto: [email protected]
本版初稿只代表个人观点，仅供参考，对于迷信产生的后果，本人不承担任何责任
本文实际上并不能算是Career Planning，只是一些分类描述，唯一好处仅在于帮助你理解不同职位的技能要求，因为最近很忙，本文也远远达不到Body of  Knowledge的详细程度，计划在空闲时再补一篇真正的Career Roadmap

[漏洞挖掘/安全技术研究员]
研究对象：OS，网络，应用，通讯媒介及协议的安全漏洞和防御方法，偏重于底层技术，对技术要求最高，但不要求很全面，只需精通一两种流行的平台即可。其研究成果经常为IDS/IPS/Vulnerability Scanner插件作分析等，最新的技术可能被转化到产品中实现商业价值，或可能承担技术最高的一部分专业安全服务。

主要技能：C/C++,ASM,OS kernel，调试器，反汇编、缓冲区溢出类，逻辑编程错误等

[安全产品开发]
和其他程序员一样，只不过是面向安全产品，有核心引擎也有界面开发，如何成为一个优秀的程序员就不用我废话了吧，网上的Proposal多的是

[产品工程师]
作为厂商的技术人员，一般是对自有产品做售后技术支持，如FW，VPN，IDS/IPS，Scanner，AV，AAAA，CF，UTM，SOC，Terminal Management，Vulnerability/Patch Management，Anti-DOS，Anti-Spam……该职位对技术要求一般，有一定的系统、网络基础，可以熟练部署产品即可，另外还有Testing和Troubleshooting的能力也是比较重要的

[技术顾问/售前工程师]
作为厂商的售前，须对自有的产品和解决方案非常熟悉，售前偏重于架构/方案设计，Presentation,Documentation以及其他Presale Engineering的能力（如投标、销售推介技能），一般需要多年工作经验，有售后或者研发背景，对特定行业的理解-如曾在电信、金融或者SI的工作经验能增强竞争力，如能对专业安全技术服务及咨询服务有所掌握，会使你的知识背景更强势，项目管理技能也是必要的。

[安全服务工程师]
个人觉得在安全工程领域，产品选型和部署相对简单，门槛较高的是专业安全服务，先不论当前行业内的安全服务技术人员实际水平如何，我只是就我的理解谈一下以下职位的技能需求。如渗透测试、安全加固、安全外包/安全监控，应急响应，高级安全技术培训，风险评估等要求技术人员对主流的操作系统平台，网络设备，数据库，企业应用有一定程度的掌握，并且需要融入对安全和攻防技术的理解，另外安全服务人员最好需要有信息安全管理和项目管理的知识。沟通表达以及文档撰写能力都是必须的。

[安全架构师]
之前的售前工程师和安全服务工程师也要写整体解决方案，但从专业程度来说，他们还达不到安全架构师的技术高度，安全架构师须熟悉IT基础设施、容灾备份，大型企业级应用，安全集成，网络设计规划，网络安全产品典型部署，熟悉各种通信标准及协议，需要了解安全趋势和客户的整体安全需求，既有深度又有广度，需要较多的经验和技术。

[信息安全咨询顾问]
信息安全既有技术也有管理的问题，如传统的Strategy、HR、IT consulting一样，Information Security Consulting也是专业服务中的主要业务，如：Risk Assessment、ISMS building、SOX Compliance……
信息安全不可能脱离企业自身的业务和实际需求，否则便成了空中楼阁，信息安全管理应该是以企业管理为上层引导，信息安全管理为中间支柱，下层以计算机及通信技术为基础依托的三层结构，当然出售的最终产物是三层融合的整体解决方案，咨询顾问一般需要以下技能：
熟悉各类安全标准--BS7799,ISO13335,CC,SSE-CMM,IATF,SP800……
相关的知识领域—IT Governance,ITIL/ITSM,MOF,COBIT,SOA,COSO……
咨询体系--企业经营管理，流程管理，人力资源管理，信息战略，法律法规
基本技能--沟通表达、文档、项目管理
技术体系--All above（不要因为我说了这句话趋之若鹜哦）

[CHO]
这里并不是指人力资源总监，而是传说中的Chief Hacker Officer--首席黑客官，在国外某些公司设有此类职位，是更加纯技术的职位，从名字就可以看出他的技术偏向哪里，实际上应该是安全教科书中的Whitehat，从Know your enemy的角度讲，反黑的的能力也确实强

[CSO/CISO]
一般只有较大的组织机构才单独设有首席安全官或首席信息安全官，在没有独立设置CSO职位的情况下，信息安全通常属于CIO/CTO/COO考虑的范畴，实际上也由他们扮演CSO的角色，因此换个角度—信息安全管理咨询应该是in CXO’s perspective，实际上高级咨询顾问到甲方即可成为CSO

通用且有一定竞争力的认证：
CISSP,CISM,CISA,BS7799LA

可供职的厂商：
国内专业安全公司：绿盟科技、启明星辰、天融信、联想网御、安氏
国外安全公司：ISS、Mcafee、Symantec、Checkpoint、TrendMirco
各大IT公司：Microsoft、HP、IBM、Cisco、Juniper、F5、Various vendors
会计事务所：PWC、E&Y、KPMG、DTT……
咨询公司：Accenture
甲方：如电信移动、金融、各大门户、电子商务以及IT系统对内部运营起到关键作用的企业

薪酬：
职位当然是影响Salary的重要因素，除此之外，审计师/咨询顾问、安全架构师和研究员的工资较高，外企的工资一般比国内企业高，在甲方的工资不一定有乙方高，主要看所在行业、企业盈利程度和对信息安全的重视程度，但乙方高薪职位通常来说比甲方更忙碌，其实质也是用时间换工资，从行为经济学看未必很实惠。

职业发展路线
研究员-高级安全研究员
开发程序员-项目经理
产品工程师-安全服务工程师-售前技术顾问
产品工程师-安全服务工程师-安全服务项目经理
产品工程师、安全服务工程师、技术顾问有两个发展方向：
1.        偏技术方向—安全架构师
2.        偏管理方向—咨询顾问
甲方和乙方的角色切换，如果对当前的视角失去了兴趣，不妨换个角度，如果结婚了寻求安定不想出差可以去甲方
当然以上只是理论公式，现实生活中的“天花板”在哪里有机会可以自己去体验一下


知识体系结构
大体分为技术体系和管理体系吧
技术体系：
对攻防技术的理解
OS、Network、Application、Data protection and related
TCP/IP protocol suits
研究偏重底层技术，架构偏重网络

安全管理体系：
各种信息安全技术/管理标准，审计及内部控制标准
传统管理学大集合
咨询及审计

其他：
对客户业务的理解
表达沟通，文档，演讲，项目管理和销售技能