来源:华章科技
网络安全行业热火朝天,但我们很少看到这个领域干系职业路线的方案,这一方面是由于这个行业还比较年轻,还没有完备建立职业路径,另一方面也是由于高端职位以前比较少,很少有人到达顶峰,以是难以总结。
但随着这个行业的爆发,这恰好是网络安全行业的“后浪们”最想理解的内容之一。我们通过与企业网络安全专家同盟(诸子云)互助,针对近30名企业网络安全卖力人及 CSO(首席安全官)进行了调研,剖析和总结了他们的职业发展路径、以及网络安全技能的学习路线(附书本推举和导图下载),给大家做一个参考。
本文导引:
01 网络安全技能学习路线(附书本推举)
02 网络安全的职业路线
03 对新人的网络安全从业建议
01 网络安全技能学习路线(附书本推举)公号图文有些压缩,如需下载导图,请关注“华章打算机”微信"大众年夜众号,在对话框回答安全导图,可下载原图。
02 网络安全的职业路线
网络安全行业紧张涉及两个方向、四类岗位。两个方向是甲方和乙方。所谓甲方是指企业内与IT干系的领域,所谓乙方是指安全厂商或做事商。四类岗位分别是安全产品研发、安全研究、安全管理、安全产品营销。在此,我们只解释前三类岗位的发展路线。
1. 研发路线
软件工程师是安全行业需求量最多的岗位,紧张卖力对产品的设计和实现。与其他行业的研发岗位类似,网络安全研发工程师紧张职责包括系统开拓、测试和文档编写,高等别工程师同时卖力把握系统架构和前沿技能。
研发又分为前端和后端,从全体行业来看,前端工程师比后端工程师更加缺少;当然,最受欢迎的是全栈工程师。根据不同的产品线,研发工程师须要对网络安全领域知识(即业务)有不同程度的理解,包括网络协议、网络攻防事理以及Linux内核等。(海内精良的C高等工程师太过稀缺,而C是网络安全的“官方措辞”。)
研发岗位的职业路线:低级工程师→中级工程师→高等工程师→架构师→首席架构师→CTO/CSO。《Linux网络安全精要》作者:威廉·罗斯韦尔 丹尼斯·金赛译者:王跃东 王云午推举语:本书强调了Linux的书本或课程里常常忽略掉的网络安全部分,从Linux根本讲起,涵盖了用户和用户组、文件和数据存储、自动化、网络、进程和日志管理、软件包管理、安全任务等内容。英文原版入选BookAuthority2019年评比的“学习Linux最适宜的10本新书”,并且涉及CompTIALinux+和LPIC-1考试的关键主题。
《网络安全与攻防策略》作者:尤里·迪奥赫内斯 埃达尔·奥兹卡译者:赵宏伟 王建国 韩春侠 姚领田 等推举语:本书涵盖了新的安全威胁和防御机制,包括对云安全态势管理(Cloud Security Posture Management,CSPM)的概述和对当前威胁形势的评估,其余还重点先容了新的物联网威胁和加密的干系内容。
《CSO进阶之路:从安全工程师到首席安全官》作者:张威 张耀疆 赵锐 等推举语:本书是一部面向各层次网络安全从业职员的职业晋升实战宝典。作者领悟自己丰富的工程实践履历,详细阐述了从安全工程师晋升到首席安全官所需的知识和技能。在网络安全日益受到国家和企业重视之际,本书将成为你职场进阶的秘籍。
2. 研究路线
安全研究侧重于对某一个或几个方向进行深入研究,如漏洞挖掘、操作系统安全等。研究岗位常日不放在研发团队中,而放在较为独立的“安全实验室”。
做安全研究是否须要有研发能力呢?大部分安全研究岗位对开拓技能有明确哀求,在公司或学校(作为学生)从事安全研究更准确的称谓是“Research engineer”(研究工程师),他们既精通安全(业务),又有较强研发能力。
研究岗位的职业路线:低级研究员→中级研究员→高等研究员→顾问→科学家→首席科学家/CSO。《互联网安全培植从0到1》作者:林鹏推举语:这是一本适宜从安全小白到企业安全卖力人阅读的安全书本,作者林鹏将自己多年丰富的安全履历融入此书,普通易懂,雅俗共赏,既可作为安全工程师的工具手册,办理各种常见安全问题,也可以辅导安全卖力人如何从0到1系统地培植企业安全体系,非常值得推举。
3. 管理路线
安全管理紧张环绕企业的信息资产开展持续的风险掌握事情,详细卖力ISMS培植、安全运维、IT审计等。
管理方向哀求从业者有全局视野,考虑得更多的是如何实现安全的木桶事理,在资源有限的情形下让所有木板达到相同的高度,须要有比较强的沟通和折衷能力,同时对企业的业务要有比较深刻的认识。资深的安全管理职员是企业中最稀缺的人才。
管理岗位的职业路线:安全员→内审员→审计师→合规专家→CSO。03 对新人的网络安全从业建议这里给准备进入网络安全方向的从业者提出几点建议。
自2017年6月《网络安全法》颁布后,国家对信息安全领域愈发重视。理解这个行业须要先理解网络安全干系的技能、产品和做事,下面我们大略看一下。
技能:物理安全和运行安全技能、数据安全与内容安全技能、信息对抗技能。产品:防火墙产品、入侵检测与入侵防御产品、统一威胁管理产品、身份管理类产品、加密类产品、电子署名类产品、安全审计类产品以及终端安全管理产品等。做事:包括安全集成、风险评估、渗透测试、合规性咨询、安全巡检、应急保障等专业信息安全做事。《Kali Linux高等渗透测试(原书第3版)》作者:维杰·库马尔·维卢 罗伯特·贝格斯译者:祝清意 蒋溢 罗文俊 李琪推举语:原书第3版全新升级,Kali Linux渗透测试经典之作。本书从攻击者的角度来核阅网络框架,详细先容攻击者“杀链”采纳的详细步骤,包含大量实例,并供应源码。
《Python安全攻防:渗透测试实战指南》作者:吴涛 方嘉明 吴荣德 徐焱 编著推举语:在网络安全领域,是否具备编程能力是“脚本小子”和真正黑客的实质差异。本书环绕Python在网络安全渗透测试各个领域中的运用展开,通过大量图解,从实战攻防场景剖析代码,帮助初学者快速节制利用Python进行网络安全编程的方法,深入浅出地讲解如何在渗透测试中利用Python,使Python成为读者手中的神兵利器。MS08067安全实验室出品。
《C++反汇编与逆向剖析技能揭秘(第2版)》作者:钱林松,张延清推举语:这是一部系统讲解反汇编与逆向剖析技能事理、流程、方法和实用技巧的著作。本书第1版出版于2011年,10年来脱销不衰,成为反汇编与逆向工程领域的标志性著作,被数十万安全工程师和C++工程师奉为宝贝。在环球学术界和企业界都享有盛誉,故第2版得到了环球15位安全技能专家的倾力推举。第2版在技能、工具和案例等方面做了大量的更新和补充。
其余,对付就业前置条件,哀求专业根本踏实(本科知识十分根本,这既代表它并非与时俱进,同时也代表它十分主要,你的发展和进步完备依赖于你的根本是否稳定);英语至少要过四级,能作为事情措辞当然最好,就业面会更广;以上便是这个专业的硬实力和软实力的结合。
还有一点,无论将来从事什么技能方向,一定要有有代价的项目履历积累,这里的项目不一定是指学校统一组织的项目,而是真实的落地项目,HR看了那么多仿照项目,对付仿照项目是不感兴趣的!
哪怕你在校期间帮助老师管理过校园网或者大规模的机房等!再便是,如果有机会,在毕业前可以积累一些安全行业的人脉,理解到业内的信息,这对付将来就业或者发展都会有帮助。
首先,须要树立个人职业目标,建议不雅观察IT公司的各个职位职责,如产品经理、研发职员、售前工程师、售后工程师等。闭上眼睛想象一下自己往后想成为哪种人,哪种职业与自己的性情比较匹配。
找到自己的方向后,即可从自己的专业课里方案出重点要学习的内容,加入一些行业论坛,深入地理解要节制的技能内容,为自己往后的求职做铺垫。
作为希望进入网络安全行业的年轻人,有一定开拓根本并且网络干系知识踏实,这会让你的安全技能学习过程大略不少。你可以根据自身特点选择一个安全方向,如网络安全、移动安全、物联网安全、大数据安全等,在这些安全方向中,密码学都是必须节制的,其余还要节制Linux系统事理、攻防知识、逆向事理、漏洞剖析技能等。
《物联网安全(原书第2版)》作者:布莱恩·罗素 德鲁·范·杜伦译者:戴超 冷门 张兴超 刘江舟推举语:从物联网安全培植的角度全面阐释物联网面临的安全寻衅并供应有效办理方案 本书由资深的打算机安全专家撰写,全面阐释物联网面临的安全寻衅及有效办理方案,为构建安全的物联网天下供应了一个切实可行的安全指南。
再看可以选择的企业类型,常日可以将其分为甲方企业和乙方企业。甲方企业是指传统的生产制造、做事与快消等传统企业,如联合利华、宝洁、上海家化、美特斯邦威等(它们一样平常都会设置信息部,为了支持企业内部的信息化培植与运维,会有一些专业IT职员来做开拓与运维以及新的项目引进事情);乙方企业,即为甲方企业供应软件做事或集成做事的企业,如用友、金蝶、埃森哲、SAP、浪潮、海康威视、浙江大华等。
其余,考证要有目的性,不要白白摧残浪费蹂躏韶光和金钱。你可以花一些韶光去理解这些认证的得到条件、用度、考试大纲和往年的教材目录,再花一定韶光方案自己到底适宜哪个方向。由于你要在一个领域长远发展,必须要有兴趣的支撑。
接下来,便是选一个(决不能超过两个)去学习,乃至是看情形报培训班(有的是必须的)。
在安全方向的证书中有一定含金量的包括CISSP(注册信息系统安全专家,国际认可,须要有较长的安全事情履历)、CISP(注册信息安全专业职员,国家级的)、ISO27001,其他如CSSLP、CISAW、Security+、CISA,请记住考证是有目的性的,但不是目的,它也只是让你多了一个“拍门”工具,终极还是要通过自身的技能实力说话。
再提一点,近些年打算机软考中级也将信息安全单列出来进行认证,即“信息安全工程师”,可见国家对付信息安全的重视程度。
对付专业通路:助理工程师→中级工程师→高等工程师→专家,要熟习专业及其在企业中的职能运用,在全面理解和节制干系知识后,在行业、产品、职能等某个细分领域进行深耕和研究,十年磨一剑。对付管理通路:组长→主管→经理→总监→总经理,可以根据行业、企业的情形向职能管理领域发展,除了专业能力的哀求,还须要具备一定管理能力和沟通折衷能力。横向通路的详细方向可以有咨询、培训、人力资源、客户做事、售前咨询、市场营销等。
以上内容,部分选自《CSO 进阶之路:从安全工程师到首席安全官》3.2节,从网络安全新人到CSO的职业路径。
