信息安全职业发展之惑系列共16页.docx
《信息安全职业发展之惑系列共16页.docx》由会员分享,可在线阅读,更多相关《信息安全职业发展之惑系列共16页.docx(13页珍藏版)》请在冰豆网上搜索。
信息安全职业发展之惑系列共16页
职业发展之惑系列之一--要不要做信息安全
观察内容的选择,我本着先静后动,由近及远的原则,有目的、有计划的先安排与幼儿生活接近的,能理解的观察内容。
随机观察也是不可少的,是相当有趣的,如蜻蜓、蚯蚓、毛毛虫等,孩子一边观察,一边提问,兴趣很浓。
我提供的观察对象,注意形象逼真,色彩鲜明,大小适中,引导幼儿多角度多层面地进行观察,保证每个幼儿看得到,看得清。
看得清才能说得正确。
在观察过程中指导。
我注意帮助幼儿学习正确的观察方法,即按顺序观察和抓住事物的不同特征重点观察,观察与说话相结合,在观察中积累词汇,理解词汇,如一次我抓住时机,引导幼儿观察雷雨,雷雨前天空急剧变化,乌云密布,我问幼儿乌云是什么样子的,有的孩子说:
乌云像大海的波浪。
有的孩子说“乌云跑得飞快。
”我加以肯定说“这是乌云滚滚。
”当幼儿看到闪电时,我告诉他“这叫电光闪闪。
”接着幼儿听到雷声惊叫起来,我抓住时机说:
“这就是雷声隆隆。
”一会儿下起了大雨,我问:
“雨下得怎样?
”幼儿说大极了,我就舀一盆水往下一倒,作比较观察,让幼儿掌握“倾盆大雨”这个词。
雨后,我又带幼儿观察晴朗的天空,朗诵自编的一首儿歌:
“蓝天高,白云飘,鸟儿飞,树儿摇,太阳公公咪咪笑。
”这样抓住特征见景生情,幼儿不仅印象深刻,对雷雨前后气象变化的词语学得快,记得牢,而且会应用。
我还在观察的基础上,引导幼儿联想,让他们与以往学的词语、生活经验联系起来,在发展想象力中发展语言。
如啄木鸟的嘴是长长的,尖尖的,硬硬的,像医生用的手术刀―样,给大树开刀治病。
通过联想,幼儿能够生动形象地描述观察对象。
[写在前面]
文章写出来之后,引起大家对于信息安全职业的悲观,这是我所不愿意看到的。
从行业来说,随着大公司越来越看好安全这块蛋糕,独立的安全公司的生存的确受到一定的威胁。
但是作为个人的职业来说,信息安全的前景还是不错的,因为信息安全的重要性一定会随着IT应用的日益增加而增加,所以IT人员需要掌握信息安全知识肯定是一个必然的趋势。
只是从长远来说,我们从事信息安全的人员一定要拓宽自己的知识面,不要仅仅满足于了解防火墙、了解加密、了解安全管理,一定要能够用一个更加宽广的视野来思索自己的发展。
至于文中我提到劝一些人不要做信息安全,那其实只是针对一些志向远大同时又潜力十足的人来说。
毕竟,多少作IT的人中才能产生一个CIO,而多少人中才能产生一个CEO,从这个角度来说,我们做信息安全的人做到CISO的几率反而要大很多。
虽然也许我们会觉得目前大多数组织没有CISO这个职位,但是我相信,随着信息安全重要性的日益增加,一定会有越来越多的CISO出现。
另外,我把要不要做信息安全放在第一篇,并不是我自己没有信心,只是我想我们在解决后续的问题之前必须要先明白自己到底要什么?
其实我真正希望这一系列文章的重点在后面部分,而不是第一篇所引起的疑惑。
当然,如果以前没有想清楚这个问题,趁着这个机会想清楚也不错,免得等你做到了CISO之后才后悔当初不应该做信息安全而导致自己没有机会做CIO、CEO。
但是,有一点我想很重要,就是看完第一篇后不管我们决定是不是要做信息安全,这个问题在很长的一段时间内都不要再进入我们的脑海。
如果我们每年思考要不要做信息安全这个问题的次数超过一次,那么不是我故作悲观,我们真的很难在这样一种状态下成功。
要练说,先练胆。
说话胆小是幼儿语言发展的障碍。
不少幼儿当众说话时显得胆怯:
有的结巴重复,面红耳赤;有的声音极低,自讲自听;有的低头不语,扯衣服,扭身子。
总之,说话时外部表现不自然。
我抓住练胆这个关键,面向全体,偏向差生。
一是和幼儿建立和谐的语言交流关系。
每当和幼儿讲话时,我总是笑脸相迎,声音亲切,动作亲昵,消除幼儿畏惧心理,让他能主动的、无拘无束地和我交谈。
二是注重培养幼儿敢于当众说话的习惯。
或在课堂教学中,改变过去老师讲学生听的传统的教学模式,取消了先举手后发言的约束,多采取自由讨论和谈话的形式,给每个幼儿较多的当众说话的机会,培养幼儿爱说话敢说话的兴趣,对一些说话有困难的幼儿,我总是认真地耐心地听,热情地帮助和鼓励他把话说完、说好,增强其说话的勇气和把话说好的信心。
三是要提明确的说话要求,在说话训练中不断提高,我要求每个幼儿在说话时要仪态大方,口齿清楚,声音响亮,学会用眼神。
对说得好的幼儿,即使是某一方面,我都抓住教育,提出表扬,并要其他幼儿模仿。
长期坚持,不断训练,幼儿说话胆量也在不断提高。
职业发展之惑系列小序
其实,任何一门学科都离不开死记硬背,关键是记忆有技巧,“死记”之后会“活用”。
不记住那些基础知识,怎么会向高层次进军?
尤其是语文学科涉猎的范围很广,要真正提高学生的写作水平,单靠分析文章的写作技巧是远远不够的,必须从基础知识抓起,每天挤一点时间让学生“死记”名篇佳句、名言警句,以及丰富的词语、新颖的材料等。
这样,就会在有限的时间、空间里给学生的脑海里注入无限的内容。
日积月累,积少成多,从而收到水滴石穿,绳锯木断的功效。
弹指间,在IT的路上已经走过了不少个年头,在信息安全的路上也是越陷越深,回首看来,这样的职业发展之路好还是不好?
真的很难回答。
不过为了解答自己的疑惑,也为了给他人提供一个参考,试着做出一些分析,希望能够让自己明白一点。
问题一:
我要不要做信息安全
要不要做取决于个人追求与外部环境的综合作用,个人追求因人而异,但是外部环境对大家来说却大致相同,在这里我就信息安全能够提供的舞台、信息安全发展的前景等一些外部因素略作分析。
[separator]
1.信息安全在组织内部的舞台
我们先来看看信息安全在一个公司内部所承担的职责。
信息安全含义很大,就是要保护组织所有信息的安全,保护信息的措施就是我们信息安全从业者的主要工作内容。
那么,企业内部的信息现在无非就是电子的和非电子的两种,对于非电子信息的保护方法基本上都是传统的方法,流程优化、人员管理和物理保护等,这些工作基本上都由传统的管理职能实现。
物理保护是行政管理部门或者专门的物理安全部门的工作,人员管理教育由人力资源部门,peoplemanager或者还包括法律部门来共同完成,流程则是由相应执行部门和人员来完成,这里面在Operation层面基本上没有信息安全部门什么事。
那么还有电子信息的保护方法,基本上就是IT技术和传统方法的结合,虽然传统方法中加入了一些IT的技术,但是实际的操作肯定还是可以由这些传统的管理部门来实现。
剩下的就是IT技术本身以及其管理,那么所谓的信息安全主要的工作肯定就要和这一部分联系起来。
那么在这些个IT技术及其管理中,信息安全到底可以做些什么呢?
我们就从IT在企业内部的构成来进行分析,看看信息安全到底可以做些什么。
一般来说企业内部的IT从功能上来说可以分为基础架构、协同办公以及业务应用程序等几部分,从生命周期上来说可以分为项目建设和日常运维两个阶段。
基础架构主要包括网络、客户端、服务器硬件甚至操作系统层面,在这个层面的信息安全的主要目的是保护一个完整、可用并不易被攻击的网络环境,传统意义上的网络安全也主要是针对这一层面来设计的,防火墙、防病毒、漏洞扫描、入侵检测、甚至是日志分析、SOC等等。
这部分内容基本上就是ITSecurityOperation团队所负责的主要内容。
协同办公、业务应用程序就千差万别了,各式各样的邮件系统、工作流软件,企业门户、web2.0的推广更是把信息的传播推上了一个全新的高度,制造、流通、公用事业的ERP系统各不相同,金融、电信中的业务系统自成体系,产品研发、制造的产品管理系统更有一套专门的系统,甚至更多的信息都是以office或者专用格式文件的形式存储在我们的客户端或者服务器上。
这些信息基本上可以分为两大类,一类是有集中的信息存储地,通过专用的客户端或者是web登陆去访问、使用这些信息,应用系统有自己的帐号、权限管理体系。
另一类就是以电子文档的形式存储在客户端或者服务器,文件的访问和控制依赖于操作系统的访问控制功能。
那么我们可以看到,保护这些信息的措施最主要的还是依赖于各种各样的访问控制或者数据加密手段,如果我们把终端端口管理也归类于访问控制的话。
访问控制和授权的日常管理的最佳人选肯定是业务部门的人员或者是应用系统的管理员,而不是所谓的信息安全人员。
数据加密、端口管理以及访问控制中所需的身份管理、甚至是PKI等,我们基本上可以认为它也是为企业的IT应用提供一种公共的服务,而按照惯例,公共服务基本上我们可以把它归于基础设施,这部分IT技术管理也可以是ITsecurityoperation团队来负责或者直接由业务应用系统管理的团队来负责。
在这中间还有一个安全的领域越来越重要,那就是业务应用系统中反映出的业务逻辑、授权等的安全。
但是这个部分不是我们这些所谓的信息安全人士的强项,要在这方面有所作为,必须要对业务逻辑等非常熟悉,而这些人就是咨询公司的业务、功能顾问或者是最早被称为系统分析员的那些人。
到目前为止,我们看到的工作基本上都是由传统管理功能和一个主要由网络安全技术人员组成的ITsecurityoperation团队来完成的,我们所谓的信息安全管理方面的人士还没有抛头露面呢。
不要担心,他们也不是完全没有事情可做,刚才我们讲的很多其实都是Operation层面的工作,那么非Operation层面呢?
当然还是有不少工作可做的,这些管理流程的制定,流程风险的评估、日常监督和审核等等,为了体现独立性,这些工作最好是由独立的团队来完成,这个团队就可以由所谓的信息安全管理人员来完成。
其实,这个团队的主要工作可以被认为是组织的IT风险管理,而由于其不用承担日常Operation的工作,所以规模也不会很大。
当然,不能忘了BCP和DRP,BCP其实更是一个组织内部所有部门都需要参与的一个总体工作,而DRP其实最主要的工作还是在IT内部完成。
总结下来,目前的情况来说,组织内部需要的信息安全专业人员包括两大类,一类是网络安全的技术专家组成,负责网络安全基础设施的建设和运维,他们承担了大多数信息安全相关的operation工作,有的公司可能把这部分职责直接包括在IT的运维团队中,有的可能是包括在新成立的信息安全团队中,还有的可能是专门的一个ITSecurityOperation的部门。
另外一类就是主要负责信息安全相关策略、流程的制定和优化,同时对策略、流程的执行情况进行审计和监督。
这可能是一个独立的信息安全部,汇报给CIO或者是CEO,也可能是IT部门中的一个团队,不过从理想的角度来看,这应该是一个独立于IT的团队。
所以信息安全在公司内部的发展无外乎就是这两个方向,SecurityOperation的目标是提供安全的网络基础设施和环境,信息安全管理部门的目标是管理组织的IT风险。
什么是基础设施,办公设备、电力供应都是基础设施,信息安全虽然包含很多高新技术,但也不过是高技术的基础设施而已。
风险管理对公司来说很重要,但是只有在保证公司的主营业务能够顺畅运行的情况下,风险管理才对公司来说有意义。
所以,信息安全在公司内部的功能肯定是比较局限,只能是一个相对较小的团队和舞台。
最高的职位也就是公司的CISO或者ITsecurity团队的总监,带领最多几十人的团队(这其实已经挺奢侈了)。
如果你想成为公司的CIO,带领数百上千人的团队,主导公司内部IT,成为老板甚至是董事会眼中的热门人物,那么还是不要选择信息安全,如果你的终极目标是公司的CEO,那么也请尽早的离开信息安全,去做公司的主营业务。
但是,有多大的舞台并不意味着你就一定有多大的成就,舞台只是提供了你一种可能。
2.信息安全在乙方
信息安全在组织内部有多大的发挥空间也就意味着在乙方你多大的想象空间,相对来说,乙方的任务更多的集中于IT设施的建设阶段,我们就来看一下在这中间信息安全供应商的发挥空间有多少。
从ITSecurity来说,几乎所有传统网络安全的项目现在已经变成网络构建所必需的一部分组件,防火墙、VPN、防病毒、IDS等等,而掌握这些技术,已经几乎成为系统集成工程师的必修课。
终端管理、防垃圾邮件、防DDOS等等也许迟早有一天会变成相应系统工程师的技能。
还有一些相对专门的领域,日志分析/SOC,数据加密软件、PKI等等,也许会有一段时间留给这些专门从事信息安全系统集成的工程师和公司。
我们也许还能想起来,有一大块是针对应用系统的安全,包括访问控制、身份管理以及相应的审计等等。
可是这部分工作我实在不看好我们传统的网络安全厂商能够在其中做些什么,先说目前稍有升温的IDM产品来说,基本上推出产品的公司都是以作企业应用见长的公司,Oracle,Novel,IBM,SUN等等。
也很容易理解,企业身份管理现在大家最关注的是企业员工在日益增多的企业应用,像ERP、WebPortal中的认证和授权管理,而和业务关联如此紧密地内容绝非传统安全厂商所长。
而具体实施这些产品的工程师,也肯定需要对企业的业务比较熟悉,而这,又恰恰是信息安全专家的软肋。
与此类似,我也蛮看好的企业应用审计和欺骗检查(FraudDectection)也应该有类似的发展趋势。
当然,随着web应用大行其道,web安全自然也会成为大家关注的焦点,但是从术业有专攻的角度来说,我更加倾向于从事Web程序开发的人员能够在这方面做得更好。
前面这是技术的部分,基本上应对于组织内部ITsecurity部分的工作,接下来针对信息安全风险管理、BCP等等部分,这些基本上都是一些纯粹咨询或者是像27001那样一些应景的工作。
这种工作只有在客户本身已经比较成熟,已经有这样的一些思想的时候才能够顺利的推动下去。
所以比起在甲方,乙方的工作更加不容易,系统集成工程师和业务/功能顾问、应用开发工程师从两头夹击,信息安全技术的专业领域越来越窄,或者是偏移到一些新的领域。
而信息安全管理咨询或是IT风险管理咨询面临的又是一片不成熟的市场,客户本身的成熟度还不能够去接受这样一些概念。
3.信息安全的前景
从总体来看,信息安全的前景应该还是不错,但是到底这个前景以什么样的形式出现,真的还很难预测。
为什么这么说呢?
首先看总体前景不错的说法,近些年来,IT应用已经越来越渗透到组织运转的各个方面,从邮件、Web到ERP到BI,从员工到客户到供应商。
而眼下,Web2.0,SOA等新技术也正以雨后春笋之势在各个公司内部蔓延开来。
IT技术应用越广泛,信息的传播渠道也就越多,信息保护的难度也就越大。
所以信息安全也肯定会越来越被受到重视。
但是深入想一下,我们就会发现这也许是一个美丽的肥皂泡。
因为,虽然总体前景不错,但是对于我们个人而言,在里面的机会其实也许并没有多少。
如前面所说,系统集成工程师和业务/功能顾问、应用开发工程师从两头夹击,必须要由信息安全专业来做的事情越来越少。
也许,信息安全会美好的前景就在于,它越来越成为IT专业人员必备的技术而不是成就一些专门的信息安全人员。
所以我们的信息安全专业也许可以让我们在IT的其他方面更具有竞争力而不是让我们成为一个专门的信息安全专家。
做出了这样一个分析,我们是会依然全身心的投入信息安全这个专业,还是毅然决然的放弃,或者犹豫着不知道该做出怎样的选择。
其实,怎样的选择都没有关系,关键是做出选择的时候至少要知道两点。
第一,你要的是什么?
这个问题只有你自己能够回答。
第二,还是那句话,舞台只是提供给你一种可能,但并不是舞台越大你的成就越高,能够有多高的成就很大程度上还取决于你的努力。
职业发展之惑系列之二---怎样的心态才有助于职业发展
问题二:
怎样的心态才有助于职业发展
当我们经过了仔细的分析,已经确定要做信息安全的时候,这时候摆在我们面前问题是,信息安全内部也有很多分支,职业发展的道路也有很多条。
面临如此纷繁复杂的可能性,我们是不是也会感觉的有些手足无措,其实越是年轻,这种感觉也就会越强烈,因为你还是有无限的可能。
但是,事情的发展并不是总是能够朝着我们所希望的方向发展下去,在这中间你会经历挫折、面临困难和诱惑以及还有自我挣扎的彷徨时刻。
这时候,一颗积极向上的心,一个踏实成熟的态度等等性格方面的因素肯定是对我们职业发展的道路起到一个良好的促进作用。
所以,在分析职业发展道路之前,我们可以先看一下自己应该培养怎样的心态。
[separator]
走出校门,我们遇到的第一个挫折就是可能找不到你最理想的工作机会,这种情况十之七八。
这个时候怎么办?
我要一直等到我想要的工作出现还是先从手中的机会挑一个,边做边寻找机会。
我想大多数人的建议是先工作在寻找机会,这是有道理的。
很多时候你都不能找到你的最优选择,找工作这样,找老婆也类似,买房子也差不多。
。
。
人生大致都是如此。
至于怎么挑选机会,这个取决于很多因素,整个行业情况,公司的情况,个人的兴趣和喜好等等。
很多人在这个时候会举棋不定,思前想后,犹豫不决。
虽然说选择就意味着失去,失去其他的可能,但是这就是游戏规则,以后的日子里我们还会面临很多这样的时刻,而当机立断应该也是成功人士的一个必备条件。
在忐忑不安中,我们选择了人生的第一个机会,这可能是自己喜欢的,更大的可能是自己不怎么喜欢的甚至是不喜欢的。
这就是我们面临的第二个考验,如何在这种困难的局面下前进。
怨天尤人可能是大多数人的第一反应,但是这不是成熟的人应该有的。
在这种情况下有的人可能会把手上的工作应付了事,而把大多数的精力投入到自己喜欢的事情上去,慢慢的积蓄力量和寻找合适的机会。
有的人可能会努力的着手把现在的工作做好,在工作中积极的学习知识和汲取经验,并从中发现自己的兴趣。
两种做法各有道理,也许各自适应不同的情况。
但是无论怎样,在困难面前我们都不应该消极,而是努力以对,寻找自己的兴趣和机会。
积极学习,努力工作,慢慢的,我们自我感觉在自己的领域内小有成就或者小有名气,或者主动或者被动,我们得到了一些新的工作机会。
面临成长中的诱惑该如何以对,这是我们面临的又一个考验。
这时的我们已经不是刚出校门的青涩模样,隐约中踌躇满志,隐约中雄心万丈。
眼前的机会如何选择,如何去把握,是走是留,要不要转换领域。
这个是非常考验智慧的事情,个人的建议是这时候的选择要着眼长远,不要太在乎眼前的利益,能够有个平台让你向着你希望的方向进发,这是这个时候最重要的。
做决定时眼光放远一点,做事情时眼光放低一点。
决定一旦作出,就不要总是后悔,总是再评估,因为个人感觉跳槽次数越多,越不利于形成一个良好、积极的做事情的心态。
当然,后面的老板也不大会喜欢一个Job-hoper。
随着知识、经验、能力的增长,我们也许已经在职位上有了提升,也许已经成为领域内资深的专家。
但是,我们也许慢慢的发现自己前进的脚步已经不像几年前那样,技术知识的增加速度已经明显放缓,解决问题的经验也只是在原地踏步中增加次数,管理别人也不像自己冲锋陷阵那么简单…这些可能都在折磨着你那颗曾经好胜的心。
度过了快速上升期,当你的职业发展进入一个相对平稳的阶段,传说中的玻璃天花板过早的来到了你的头上的时候,你可能就会在思索着,在彷徨着,也许还在小心翼翼的寻找着新的突破口。
这时候,也许是我们在职业生涯发展的过程中必须迈过的一道门槛,怎么样积累能量,怎么样实现新的跨越。
这时候,积极务实的态度也许又能够帮助我们度过这个难关,在积极的工作中积累经验,在经验积累中找到新的突破。
毕竟,不是每天都是激情四射的创业时刻。
在这个过程中,积极向上的心态是摆在第一位的。
每个事物,从不同的侧面会得出不同的结论,如果我们能够总是从积极的一面去看待我们面临的机遇、困难和挑战,我们也许就会得到积极的论断。
眼光放长远,脚步放踏实。
做出一些重大的决定时一定要放眼未来,不能只盯着眼前的蝇头小利。
而决定一旦作出,具体做事情时又要保持踏实、务实的态度,不要再总是患得患失。
比如我第一篇里面提到的要不要做信息安全这件事,基本上来说,想这件事的频率不要超过两年一次,越少越好。
一旦你评估了之后决定要做信息安全,那就把这个问题放在一边,不要每天吃过了饭都来想一遍。
从个人的经验来说,还有一件事非常重要,虽然我目前还不能做到。
那就是要保持一颗平和的心态,不要得陇望蜀。
因为除了物质层次的追求,我们还有精神的层面。
我愿意相信当物质生活达到一定的程度之后,快乐或者幸福指数很大程度上取决于精神生活。
所以,在追求工作的时候不要忘记了享受生活。
其实,我非常愿意相信只要我们努力,我们就可以拥有更好的工作,更重要的是可以创造更好的生活。
职业发展之惑系列三--我该选择怎样的职业发展道路
问题三:
我该选择怎样的职业发展道路
明白了自己应该具有怎样的心态,我们还是希望让自己能够在选择自己的职业发展道路的时候更加明白不同的工作是怎样一回事,各个不同的工作之间有什么不同。
那么就让我们逐一来分析信息安全这个类别中可能的职位,当然,还是那句话,由于我个人经验、知识、能力等等因素的限制,分析肯定带有强烈的个人经验色彩,仅供参考。
1.各类职位略解
信息安全的职位总体来说可以分为依靠具体的安全技术、产品来实施安全建设和运维的安全技术类工作和依靠策略、制度、流程来进行安全管理、监督和审计的安全/风险管理/审计类工作,我们在后面的讨论中就把其简称为安全技术工作和安全管理工作。
真正的工作中这些东西可能互有交叉,各个组织内部由于部门设置、组织文化的不同而有所差别,我们只是讨论一些比较理想的状况。
[separator]
安全技术类工作由于和IT技术关系密切,我们可以先从整个IT看起。
前面说过,整个IT从功能上来说主要包括基础架构、协同办公以及业务应用程序等几部分,从生命周期上来说可以分为项目建设和日常运维两个阶段。
纵横切割之后,基本可以分为基础架构建设,基础架构运维,应用程序开发和建设,应用程序维护(可能有的公司会有专门的IT流程管理和IT审计部门,这个我们暂时不讨论)。
我们来看看这中间有多少和安全相关的职位,传统网络安全的防火墙、VPN、IDS等设备基本上都可以放在基础架构建设和运维中,基础架构运维中负责主机部分的工程师一般要负责主机操作系统层面的安全,基础架构或者协同办公运维的工程师还要负责员工账号的管理,基础架构运维中的helpdesk分支基本上还要负责客户端防病毒等安全性的管理。
应用程序开发和建设的工程师要保证开发出来应用程序的安全性,应用程序运维的工程师要管理应用程序中的员工账号和权限。
在甲方来说,这些工作基本上都不属于专门的信息安全工作人员,而是IT工程师在安全方面应该承担的一部分安全的职责。
所以,在甲方工作的IT基础架构工程师如果能够掌握更多的网络安全的知识,那么就会在自己的领域内具有更好的竞争力,而如果我们只是单纯的了解一些网络安全的知识,而对整个系统没有全面地了解,就很难在甲方的基础架构部门立足。
在乙方来说,相应安全产品的工程师其实和其他IT产品的工程师一样,负责支持自己熟悉的产品和技术领域。
所以我们即便只是在某个特定的领域或者产品方面有自己的特长,我们也照样可以在安全产品的供应商中谋得一席之地。
但是,如果我们的乙方是给客户提供综合的信息安全技术解决方案和服务,那么我们就需要在网络、主机、数据库、应用等各个领域以及相关的安全领域内都有所涉猎。
那么是不是我们在甲方的信息安全人员就没有位置了呢?
也不是。
从运维角度来说,随着SOC概念的兴起,有的组织已经把防火墙、IDS、SOC等等集中到一个团队来进行集中管理和响应,这个团队主要是负责安全设备的集中管理和安全事件的集中响应,同时有的还负责相应安全事件的后续调查。
当然,对于这些人员的综合能力要求也会相对比较高一些,既要对IT的各个领域都有所涉猎,又要对于安全设备比较熟悉,同时还要有网络攻防这方面的知识。
从系统开发和建设的角度来说,有的组织会有专门的团队来进行应用程序上线前的安全性测试等等。
这部分工作就需要技术人员对应用程序开发语言比较熟悉,能够熟练的运用各种渗透测试技术。
这些工作和黑客工作有同工异曲之妙J对于数据加密
升级会员 