首页   >  关于我们   >  新闻中心   >  李雨航@ISC TALK:网络信息安全人的职业生涯
返回
李雨航@ISC TALK:网络信息安全人的职业生涯
  • 2020.08.05
  • 3586

第八届互联网安全大会(ISC 2020)在今天正式拉开巨幕,本届ISC采用“万人在线”的云会议形式,突破圈层,打破壁垒,联结中、美、俄、韩、奥、新、以等多国顶级安全智囊、专家、学者及政要,聚焦“数字产业化,产业数字化”新形势下,网络安全领域的新对话、新探讨与新碰撞。将网络安全行业最前沿、最热议的技术、趋势与理念全景呈现,构建了永不闭幕的云上安全交流平台。

 

作为本届ISC大会的网络安全知识分享平台及国内安全行业 TED 演讲,ISC TALK融合各方前瞻简介,迸发全新产业智慧,邀请了网络安全领域的行业大咖、学术专家、实践者以“安全TED”形式为大家带来最前沿的网安新动态,为万千网络爱好者,打造了既权威又实用的的数字化时代下的“网络安全讲解指南”。

 

 

云安全联盟大中华区主席&联合国WSF数字经济研究院副院长李雨航受邀参加ISC TALK环节,与大家分享“网络安全职业”这一话题,李雨航主席提到全球网络安全岗位缺口达300万,中国约70万,产业人才需求逐年增加,且从行业需求、培养现状等多个维度对网络安全人才现状的整体形势进行全面分析。

 

以下是分享正文:

 

大家好,我这次想与大家分享的不是网络技术与标准,也不是网络安全产业与创业,而是网络安全职业,因为没有人才的支撑,其它的都是空中楼阁。

 

网络安全职业与其它各行各业的职业一样,不论你已经在做这行或想从事这个职业,无非就是看两点,一是这个行业有发展能挣到钱,二是工作本身有吸引力能得到满足。

 

网络安全这个职业在多年前是可以说是比较苦,早期从事这行的人多是凭兴趣,但今非昔比了。今年美国认证杂志对近1千个职业认证证书做了调查,发布了top 75证书薪酬排行榜,前十名赚钱最多的证书几乎都是与网络安全相关的,前两名是零信任公司okta的证书,第三名是云安全联盟CSA的CCSK证书。

 

网络安全最顶级专家的薪酬可以说是不封顶,前几年我在华为的时候想招聘几位知名安全专家,他们的期望年薪都在8位数以上。其实这不能算高,如果你对网络安全有兴趣有天赋,实际上有两个产业阵营你可以选择,一个是走网络安全职业道路,另一个是走黑产职业道路。做黑产的可以谋取更高的暴利,但网络安全法律越来越健全,你进监狱的风险越来越大,另外做过黑产你身上就有了污点,几乎不太可能被雇主雇用,特别是政府机构。前几年硅谷有个水平很高的安全专家被白宫录用,但背景调查中发现污点,所以没有通过又被辞退了。

 

网络安全产业对人才的需求越来越大,目前中国网络安全产业的职业化从业人员人数是十万,不包括业余白帽黑客社区的1百万,美国的网络安全职业从业人员数量是1百万,全球的网络安全岗位缺口达到3百万,包括中国约70万,所以这个职业的前景是非常好,不论你理解为前途的前还是钱币的钱。

 

自十几年前的金融危机结束后,美国网络安全职业的失业率几乎等于零了,中国现在的情况也一样。另外大部分网络安全岗位需要经验,你可以长期发展,不需要顾虑35岁后会被淘汰,比如华为有45岁可以退休一说,但以色列的一位高端安全专家60多岁仍被招了进来。

 

想进入网络安全行业的大概60%以上是90后年轻人,也有相当大部分80后,他们常问网络安全职业的工作岗位有哪些种类?哪些人做网络安全比较合适呢?职业生涯该怎么发展呢?在回答这些问题之前,首先大家对网络安全这个词汇要有一个认知,英文是叫做Cyber Security,Cyber 和Security之间有一个空格。英文还有一个词汇叫Network Security,中文也翻译成网络安全,这两者是不同的,Network Security关注的是具体传输网络的安全,网络层与数据层,应用层,系统层等的安全都是Cyber Security架构的子领域,我认为Network Security中文翻译成网络层安全应该更准确一些。

 

另外大家经常讲的信息安全和网络空间安全与网络安全也是有一些区别的,信息安全information security关注的范围一般是企业机构本身的数字资产,网络安全关注的范围还要涉及企业机构所有对外ICT信息通信产品、服务、客户。两者的范围可以有交叉或不同,但从职业这个角度来看,两者所需人才的技能是相通的,例如安全防御能力或渗透测试能力。

 

网络空间安全的英文也是Cybersecurity,但cyber与security连在一起中间没有空格,它关注的范围更广,包括整个网络空间Cyberspace。网络空间是在陆海空天四域之外的第五域,除了2B的数字资产主权和2C的个人信息主权外,还包含了2G的国家网络主权。所以上大学选择专业的学生们应该清楚,这几年设立的网络空间安全学院比传统的信息安全系或专业在范围和学位都要扩展一些,但基础知识是相通的。

 

网络安全的职业岗位在我国某些机构有六大类的说法,美国国家标准与技术局NIST则分为七大类,比如安全治理,安全防御,安全运维等。实际上网络安全职业与ICT信息通信领域的职业在技能上比较容易贯通,但最重要的不同是思维模式。ICT领域的思维是建设,要互联互通,网络安全领域的思维是逆向的,是拆毁,要隔离检查。所以从事网络安全职业的从业者具备这个思维最重要,这样才能在这个职业道路走的更远。

 

以色列为什么网络安全人才辈出水平很高,就是因为他们有敌我意识,逆向思维是基因。美国也是这样,网络安全从业人员的三分之一,几十万人都是军队退役或转行的军人,他们也是这种思维,在安全运维等岗位类别都发展的很好。我在微软时从美国国防部招聘了一位员工,他不仅在工作上,在生活各方面都体现出这种基因,比如我们去电梯走过一个闸机,看到进去的人要刷工卡,出来的人不用,他就自然而然的试一下能否用手臂从里向外滑动破解这个机制。

 

对于企业来讲,网络安全职业的类别一般有安全设计,安全测试,应急响应,安全运维等,像华为、微软及中美大公司每一类还有不同的岗位等级和任职资格与标准,学术界还有对论文和研究成果的要求。如果你是从事网络安全工作的,应该对自己岗位的类型、技能要求、发展方向,并对自己领域代表最高水平的大师有所了解。

 

对于网络安全这个职业来说,我们不谈创业和企业家,在战略与治理这个方向的工作有战略规划师,安全专家,高级管理者,项目经理等,岗位的顶峰就是首席安全官CSO或者首席信息安全官CISO。近年来不少中国公司也认识到CSO的重要性,设置了这个岗位,CSO可以汇报给董事长、CEO、CTO、COO等,CISO一般汇报给CIO,CSO的职责是制定与执行公司的网络安全战略,保障业务的安全,建设安全团队,负责安全预算,与董事会沟通业务与安全的平衡等等,所以CSO不仅要懂安全,还要了解业务战略,能够把网络安全的投入与价值向业务决策者们讲清楚。

 

CSO里首屈一指的代表性大师是美国Howard Schmidt施密特教授,他本来是一个警察,后来转行进入网络安全行业,基因发挥了作用,他在ebay做到了CSO,然后进入微软从战略专家做到CSO,之后被布什与奥巴马两任总统聘为网络安全顾问与白宫网络安全协调官,相当于美国国家CSO,被业界称为网络沙皇,是网络安全职业成长的最成功案例。后来美国还设立了联邦CISO负责国家网络安全计划并掌管190亿美院年度预算,这次参加ISC Talk演讲的朋友杜跃进博士就是360集团的CSO。

 

在网络安全学术研究领域,一般需要网络安全博士学位,成长路径是助教、讲师、教授或研究员,最成功的大师级科学家有多位,像获得图灵奖的密码学宗师迪菲教授、RSA算法的三位共同发明人,还有中国的何德全、沈昌祥等一批安全院士,每次与他们讨论技术问题都使我受益匪浅。

 

在安全设计领域,从业人员一般是有研发背景,顶级专家和架构师一般在大型企业,比如微软Azure云的CTO Mark Russinovich 博士就是最好的安全架构师,接替了视窗之父David Cutler的衣钵,微软花了近亿美元聘请,年薪也在千万美元级别。 

 

在漏洞挖掘和攻防测试领域,从业人员一般有非常不同的背景,学位和专业都不重要,需要的是突破能力,CTF竞赛经常获胜的同学们可以在这个方向发展。这个领域的世界第一人是Kevin Mitnick,本来是一位真正的黑客,从监狱里出来后改邪归正了,如果做不到第一从事黑产职业的基本上是没有机会被业界认可的/。还有病毒之父Fred Cohen很厉害,微软原来的头号白帽子Dan Kaminsky名气比较大曾在黑幕大会揭幕主旨演讲,欧洲也有几个。中国的白帽子水平很高,华为老鹰,腾讯吴石和TK都是顶级的,360公司的安全专家最近在微软漏洞奖励计划Top 100和一些比赛夺冠也表现出了世界级攻击水平。

 

运维管理等领域也都有各自的大师级专家,比如零信任之父John  Kindervag,SDP之父Bob Flores,微隔离之父Tony Scott等等。

 

要在各自领域成长,一般从三个地方学习吸取能力,第一是工作经验,在项目实践中学习,大概占70%左右,第二是参加培训,通过课程获取知识,比如CSA目前提供CCSK云安全基础知识,下一步会推出白队安全运维管理实战教程,蓝队安全防御设计实战教程,红队安全攻击渗透实战教程,每类都有数百小时授课与实验时间。第三就是找Mentor导师,在海外微软是一个黄埔军校为业界培养输送了不少人才,微软就有正式的师徒计划。在中国,绿盟科技和启明星辰早年也是两所网络安全职业的黄埔军校,能够在本公司或联盟与社会向高手拜师或学习也非常有助成长。不少安全会议也是学习的好机会,比如中国的ISC互联网安全大会,美国的RSA大会,黑帽大会,云安全联盟安全九月大会等等。

 

我从业网络安全二十多年,在甲方乙方都作过,担任过各类岗位,如CSO/CISO,教授/科学家,架构师,战略专家,技术专家等,与安全界所有的顶级专家们都有交往,以后将安排一些海外专家来中国给大家分享网络安全实践经验。最后,希望今天的内容对大家有些启示,各位如有问题,欢迎到云安全联盟与我和大中华区专家们交流。谢谢!

 

 

CSA Summit@BCS 8月10日举办,欢迎报名参加

本网站使用Cookies以使您获得最佳的体验。为了继续浏览本网站,您需同意我们对Cookies的使用。想要了解更多有关于Cookies的信息,或不希望当您使用网站时出现cookies,请阅读我们的Cookies声明隐私声明
全 部 接 受
拒 绝