編者按:網絡安全,也稱爲計算機安全或IT安全,是保護計算機系統免受盜竊和破壞其硬件、軟件、信息及服務的中(zhōng)斷或誤導。網絡安全包括控制對硬件的物(wù)理訪問,以及防止可能通過網絡訪問,數據和代碼注入引起的危害。由于越來越多的智能設備(手機、電(diàn)視和其他設備)依賴計算機系統和互聯網、無線網絡(如藍(lán)牙和Wi-Fi)和物(wù)聯網。現在,網絡安全事件頻(pín)發、網絡安全也成爲人們越來越熟知(zhī)并且重視的領域。本文編譯自Marc Chapple Linkedin的原題爲“Exploring a Career in Cybersecurity? Check out this Q&A with Mike Chapple”的文章。
網絡安全問題已經成爲人們時常關注的焦點,每天你都可能看到相關的新聞報道。這個行業最近也對熟練的專業人員(yuán)出現大(dà)量的需求。根據《網絡安全風險投資(zī)公司2017年職業報告》的數據,網絡安全行業目前的失業率爲0%,網絡犯罪方面的就業人數在未來五年将增加兩倍以上。
如果你正琢磨着在自己的職業發展,想進入網絡安全領域,那麽現在就是黃金時機。雖然機會大(dà)好,前景光明,但你可能覺得很棘手,不知(zhī)怎麽着手準備,怎麽進入這個行業。别擔心,業内資(zī)深人士Marc Chapple已經在信息安全領域從業20年,目前是美國聖母大(dà)學信息技術服務交付的高級主管。他負責監督信息技術辦公室的信息安全,IT架構,項目管理,戰略規劃和IT合規性功能。麥克還擔任大(dà)學計算機應用系的助理教授,教授信息安全本科的課程。他将爲你解答一(yī)些最常見的問題,包括他怎麽看待專業證書(shū),以及IT行業技術背景的必要性。
問:你是如何走上網絡安全的職業道路的?
Mike Chapple:我(wǒ)在讀計算機專業本科生(shēng)的時候,就開(kāi)始自己的職業生(shēng)涯了。當時我(wǒ)讀了《Unix和Internet安全實踐指南(nán)》(Practical Unix & Internet Security)這本書(shū),作者是Gene Spafford和Simson Garfinkel. 。那時是20世紀90年代初,網絡安全是一(yī)個非常讓人覺得晦澀生(shēng)僻的領域,但我(wǒ)被深深吸引,非常着迷,于是我(wǒ)繼續讀了研究生(shēng),并在這個新興的領域開(kāi)始我(wǒ)的事業。我(wǒ)在國家安監局做了幾年信息安全研究員(yuán),又(yòu)在私營企業工(gōng)作了一(yī)段時間,之後,在過去(qù)十二年裏一(yī)直在學術界。
有25萬的Unix系統管理員(yuán)和用戶認爲這本經典書(shū)的早期版本是幫助他們保護其系統免受外(wài)部和内部攻擊的不可缺少的參考書(shū)。
問:你已經這個領域有整整20年的實戰經驗了。在這段時間裏,你看到的最大(dà)的變化是什麽?
MC:最明顯的變化是,這個晦澀的領域已經家喻戶曉了。我(wǒ)剛開(kāi)始工(gōng)作的時候,“正常人”不知(zhī)道網絡安全是什麽,對這個詞完全沒概念。現在網絡安全事件常常登上報紙(zhǐ)頭條,一(yī)般公衆比十年前的人們要更有安全意識。這對網絡安全專業人士來說是一(yī)件好事,因爲我(wǒ)們的工(gōng)作更容易開(kāi)展。我(wǒ)們不再需要絞盡腦汁地說服人們,說明保障網絡安全對企業的重要性、迫切性。我(wǒ)們隻需要讓他們了解如何保持自己和企業的安全。
問:我(wǒ)們來談談專業認證。獲得信息安全從業者認證在網絡安全領域重要嗎(ma)?
MC:拿到證書(shū)、獲得專業認證,對于發展自己的職業生(shēng)涯是很重要的。原因有很多。首先,他們通常是許多工(gōng)作的“門檻”,也就是基本要求。很難想象哪個首席信息安全官(CISO)會沒有CISSP證書(shū)。基本上是這個領域高級職位的鋪路石,一(yī)張“入場券”。還有很多政府工(gōng)作崗位,也需要一(yī)系列網絡安全專業的專業認證。第二,即使雇主在專業認證方面沒有明确的要求,如果你有認證,就向潛在雇主發出一(yī)個信号,表明你對自己的職業态度是認真的,并會努力加入到世界網絡安全的建設中(zhōng)來。這個專業需要承諾和奉獻,需要付出努力才能得到認證,需要學習的内容也超出正常工(gōng)作所需的範圍。獲得專業認證,證明你對自己職業生(shēng)涯的态度是認真的。
問:現在哪些證書(shū)最重要?你覺得哪些專業認證會成爲基本的要求?
MC:有兩個不同的認證類别。有比較廣泛的網絡安全專業證書(shū),如Security+和CISSP(國際注冊信息系統安全專家)認證,這兩者證明了從業人員(yuán)對該領域有廣泛的了解。就像會計師的注冊會計師認證那樣。還有一(yī)類是更專業的技術認證,如CompTIA CSA+和CEH(道德黑客)的認證。這些證書(shū)展示了從業人員(yuán)的技術深度和專業化程度。我(wǒ)認爲,随着網絡安全領域不斷發展,我(wǒ)們會看到對從業人員(yuán)這兩個類别的證書(shū)有越來越多的要求。(文末有介紹)
問:我(wǒ)們大(dà)家都知(zhī)道,網絡安全領域有許多崗位虛位以待,崗位要求和從業者的技能差距預計将持續到2021年。怎樣才能填補技能差距的鴻溝呢?
MC:崗位要求和從業者的技能差距是真實存在的。盡管全國大(dà)部分(fēn)地區就業狀況不樂觀,但據美國勞工(gōng)統計局的數據,在信息安全領域工(gōng)作崗位數量一(yī)直在增長,增長率達到18%,預計會持續到2024年。這比一(yī)般的計算機專業工(gōng)作崗位數量的增長高出50%,也達到所有其他領域的就業增長率兩倍以上。如果我(wǒ)們要滿足這個領域對人才的需求,就需要在未來幾年裏,讓更多的人進入網絡安全專業。這也意味着我(wǒ)們需要在培訓和專業發展方面進行大(dà)量投資(zī)。
問:我(wǒ)們也會看到,多學科背景或非技術背景的人才進入網絡安全領域。這種現象對網絡安全領域的發展有哪些優點和缺點?
MC:網絡安全領域吸引了許多不同背景的人才,在我(wǒ)看來,擁有全面背景的人往往會取得成功。特别是在IT領域具有豐富經驗的人才,他們知(zhī)識面廣,專業化程度深,這對于他們在安全領域的成功至關重要。網絡安全認證證書(shū)的範圍很”寬泛“,各種證書(shū)都有。要在這個領域取得成功,從業人員(yuán)需要對整個領域都有一(yī)定的了解:需要了解網絡,Web應用程序,數據庫,操作系統,加密技術以及許多其他技術。
關于網絡安全專業的證書(shū)*
CompTIA(美國計算機行業協會)有2個安全相關的認證,一(yī)個是偏重技術與操作層面的Security+(信息安全技術專業能力的國際認證),包括系統、主機、應用程序、數據和網絡等基礎性的安全問題,基本的加密方法和評估審計知(zhī)識。另一(yī)個是基于Security+(但并不強制要求)的CASP認證,培訓内容延展到企業所有的安全問題,并增加了風險管理以及把安全與計算機通信、業務通信和業務需求與整合在一(yī)起。随着雲計算的發展,即便是那些把IT服務外(wài)包到雲提供商(shāng)的企業,也非常需要重視相關的安全問題。因此,安全認證領域也會是一(yī)個長久的需求。
CompTIA Cybersecurity Analyst (CSA+),網絡安全分(fēn)析專家認證,通過網絡行爲分(fēn)析全面提高系統信息安全防護水平。CSA+認證驗證了證書(shū)擁有者的網絡安全知(zhī)識和網絡行爲分(fēn)析能力,包括配置和使用威脅檢測工(gōng)具,執行數據分(fēn)析、漏洞分(fēn)析、威脅和系統風險管理,以及企業級應用程序和系統的安全與防護。
(ISC)2的CISSP認證也是一(yī)個安全認證,而且是被公認爲最具影響力的安全認證之一(yī),隸屬于廠商(shāng)中(zhōng)立的非營利國際安全認證組織(ISC)2。該組織成立于1988年,1994年開(kāi)始CISSP認證。許多國家的機構和政府都需要其人員(yuán)具備這個認證,因而受到業内從業人員(yuán)的追捧。由于CISSP較傾向于安全管理,因此申請人員(yuán)需要具備4到5年的安全從業經驗。
CEH(Certificated Ethical Hacker)是由國際電(diàn)子商(shāng)務顧問委員(yuán)會(EC-Council)提供的網絡安全認證。被業界稱之爲道德駭客(正派黑客)認證。
上一(yī)篇:九成網民認爲網絡環境安全 但黑客威脅仍需提防
下(xià)一(yī)篇:塑造适應大(dà)數據和物(wù)聯網發展的數據中(zhōng)心