編者按:網絡安全,也稱為計算機安全或 IT 安全,是保護計算機系統免受盜竊和破壞其硬件、軟件、信息及服務的中斷或誤導。網絡安全包括控制對硬件的物理訪問,以及防止可能通過網絡訪問,數據和代碼註入引起的危害。由於越來越多的智能設備(手機、電視和其他設備)依賴計算機系統和互聯網、無線網絡(如藍牙和 Wi-Fi)和物聯網。現在,網絡安全事件頻發、網絡安全也成為人們越來越熟知並且重視的領域。本文編譯自 Marc Chapple Linkedin 的原題為 "Exploring a Career in Cybersecurity? Check out this Q&A with Mike Chapple" 的文章。
網絡安全問題已經成為人們時常關註的焦點,每天你都可能看到相關的新聞報道。這個行業最近也對熟練的專業人員出現大量的需求。根據《網絡安全風險投資公司 2017 年職業報告》的數據,網絡安全行業目前的失業率為 0%,網絡犯罪方面的就業人數在未來五年將增加兩倍以上。
如果你正琢磨著在自己的職業發展,想進入網絡安全領域,那麼現在就是黃金時機。雖然機會大好,前景光明,但你可能覺得很棘手,不知怎麼著手準備,怎麼進入這個行業。別擔心,業內資深人士 Marc Chapple 已經在信息安全領域從業 20 年,目前是美國聖母大學信息技術服務交付的高級主管。他負責監督信息技術辦公室的信息安全,IT 架構,項目管理,戰略規劃和 IT 合規性功能。麥克還擔任大學計算機應用系的助理教授,教授信息安全本科的課程。他將為你解答一些最常見的問題,包括他怎麼看待專業證書,以及 IT 行業技術背景的必要性。
問:你是如何走上網絡安全的職業道路的?
Mike Chapple:我在讀計算機專業本科生的時候,就開始自己的職業生涯瞭。當時我讀瞭《Unix 和 Internet 安全實踐指南》(Practical Unix & Internet Security)這本書,作者是 Gene Spafford 和 Simson Garfinkel. 。那時是 20 世紀 90 年代初,網絡安全是一個非常讓人覺得晦澀生僻的領域,但我被深深吸引,非常著迷,於是我繼續讀瞭研究生,並在這個新興的領域開始我的事業。我在國傢安監局做瞭幾年信息安全研究員,又在私營企業工作瞭一段時間,之後,在過去十二年裡一直在學術界。
有 25 萬的 Unix 系統管理員和用戶認為這本經典書的早期版本是幫助他們保護其系統免受外部和內部攻擊的不可缺少的參考書。
問:你已經這個領域有整整 20 年的實戰經驗瞭。在這段時間裡,你看到的最大的變化是什麼?
MC:最明顯的變化是,這個晦澀的領域已經傢喻戶曉瞭。我剛開始工作的時候," 正常人 " 不知道網絡安全是什麼,對這個詞完全沒概念。現在網絡安全事件常常登上報紙頭條,一般公眾比十年前的人們要更有安全意識。這對網絡安全專業人士來說是一件好事,因為我們的工作更容易開展。我們不再需要絞盡腦汁地說服人們,說明保障網絡安全對企業的重要性、迫切性。我們隻需要讓他們瞭解如何保持自己和企業的安全。
問:我們來談談專業認證。獲得信息安全從業者認證在網絡安全領域重要嗎?
MC:拿到證書、獲得專業認證,對於發展自己的職業生涯是很重要的。原因有很多。首先,他們通常是許多工作的 " 門檻 ",也就是基本要求。很難想象哪個首席信息安全官(CISO)會沒有 CISSP 證書。基本上是這個領域高級職位的鋪路石,一張 " 入場券 "。還有很多政府工作崗位,也需要一系列網絡安全專業的專業認證。第二,即使雇主在專業認證方面沒有明確的要求,如果你有認證,就向潛在雇主發出一個信號,表明你對自己的職業態度是認真的,並會努力加入到世界網絡安全的建設中來。這個專業需要承諾和奉獻,需要付出努力才能得到認證,需要學習的內容也超出正常工作所需的范圍。獲得專業認證,證明你對自己職業生涯的態度是認真的。
問:現在哪些證書最重要?你覺得哪些專業認證會成為基本的要求?
MC:有兩個不同的認證類別。有比較廣泛的網絡安全專業證書,如 Security+ 和 CISSP(國際註冊信息系統安全專傢)認證,這兩者證明瞭從業人員對該領域有廣泛的瞭解。就像會計師的註冊會計師認證那樣。還有一類是更專業的技術認證,如CompTIA CSA+和 CEH(道德黑客)的認證。這些證書展示瞭從業人員的技術深度和專業化程度。我認為,隨著網絡安全領域不斷發展,我們會看到對從業人員這兩個類別的證書有越來越多的要求。(文末有介紹)
問:我們大傢都知道,網絡安全領域有許多崗位虛位以待,崗位要求和從業者的技能差距預計將持續到 2021 年。怎樣才能填補技能差距的鴻溝呢?
MC:崗位要求和從業者的技能差距是真實存在的。盡管全國大部分地區就業狀況不樂觀,但據美國勞工統計局的數據,在信息安全領域工作崗位數量一直在增長,增長率達到 18%,預計會持續到 2024 年。這比一般的計算機專業工作崗位數量的增長高出 50%,也達到所有其他領域的就業增長率兩倍以上。如果我們要滿足這個領域對人才的需求,就需要在未來幾年裡,讓更多的人進入網絡安全專業。這也意味著我們需要在培訓和專業發展方面進行大量投資。
問:我們也會看到,多學科背景或非技術背景的人才進入網絡安全領域。這種現象對網絡安全領域的發展有哪些優點和缺點?
MC:網絡安全領域吸引瞭許多不同背景的人才,在我看來,擁有全面背景的人往往會取得成功。特別是在 IT 領域具有豐富經驗的人才,他們知識面廣,專業化程度深,這對於他們在安全領域的成功至關重要。網絡安全認證證書的范圍很 " 寬泛 ",各種證書都有。要在這個領域取得成功,從業人員需要對整個領域都有一定的瞭解:需要瞭解網絡,Web 應用程序,數據庫,操作系統,加密技術以及許多其他技術。
關於網絡安全專業的證書 *
CompTIA(美國計算機行業協會)有 2 個安全相關的認證,一個是偏重技術與操作層面的 Security+(信息安全技術專業能力的國際認證),包括系統、主機、應用程序、數據和網絡等基礎性的安全問題,基本的加密方法和評估審計知識。另一個是基於 Security+(但並不強制要求)的 CASP 認證,培訓內容延展到企業所有的安全問題,並增加瞭風險管理以及把安全與計算機通信、業務通信和業務需求與整合在一起。隨著雲計算的發展,即便是那些把 IT 服務外包到雲提供商的企業,也非常需要重視相關的安全問題。因此,安全認證領域也會是一個長久的需求。
CompTIA Cybersecurity Analyst ( CSA+ ) ,網絡安全分析專傢認證,通過網絡行為分析全面提高系統信息安全防護水平。CSA+ 認證驗證瞭證書擁有者的網絡安全知識和網絡行為分析能力,包括配置和使用威脅檢測工具,執行數據分析、漏洞分析、威脅和系統風險管理,以及企業級應用程序和系統的安全與防護。
( ISC ) ²的CISSP認證也是一個安全認證,而且是被公認為最具影響力的安全認證之一,隸屬於廠商中立的非營利國際安全認證組織 ( ISC ) ²。該組織成立於 1988 年,1994 年開始 CISSP 認證。許多國傢的機構和政府都需要其人員具備這個認證,因而受到業內從業人員的追捧。由於 CISSP 較傾向於安全管理,因此申請人員需要具備 4 到 5 年的安全從業經驗。
CEH(Certificated Ethical Hacker)是由國際電子商務顧問委員會(EC-Council)提供的網絡安全認證。被業界稱之為道德駭客(正派黑客)認證。
