信息安全顧問：專業(yè)不相關？同樣有機會！

楊玄章

隨著近些年互聯(lián)網(wǎng)的爆發(fā)性發(fā)展，把信息安全的瓶頸一下子推到了風口浪尖。在近日舉行的安全學科專業(yè)建設與人才培養(yǎng)研討會上透露，我國目前已培養(yǎng)的信息安全專業(yè)人才總量不足10萬，離目前需要的70萬差距巨大。目前我國所有所設置信息安全相關專業(yè)105高校，每年培養(yǎng)本科生和研究生只有約1萬人、大專生約2萬人。

巨大的市場前景和人才需求，與相對滯后的科班人才培養(yǎng)能力形成了強烈反差，這給我們每個大學畢業(yè)生都帶來了好機會。

雖然這個領域的很多方向是需要IT專業(yè)背景和良好的IT技能和基礎，但是其中的一個很有前景的方向卻是對所有同學敞開大門的。這個方向就是：信息安全（Cyber Security）。

需要IT技術，但不全是IT技術

“神馬？你不是在忽悠我吧？”看到上面一段話，很多同學的第一反應也許是這樣的。這個方向掛著“信息”兩字，非計算機相關專業(yè)的同學們真的有很大的機會么？

曾經(jīng)從美國流傳著一個很有名的諷刺漫畫：拳擊臺上正在上演一場特殊的拳賽“Cyber Security”。開場前，裁判宣布對戰(zhàn)的雙方。在拳臺的一角云集著眾多的“IT高手”。它們分別是：防火墻、殺毒軟件、安全協(xié)議、加密算法、主機安全、脆弱性掃描、入侵檢測……在拳臺的另一端只有一個胡子咔嚓大腹便便的“宅男”，一看就是個沒啥戰(zhàn)斗力的人。他的胸前寫著自己的角色：人為錯誤（Human Error）。表面上一邊倒的拳賽開始后卻來了個180度大轉彎，“人為錯誤”君一上來就使出幾個不起眼的“大招”，將眾多高手一并打倒。

這則漫畫雖然諷刺意義十足，但是一點都不夸張，在現(xiàn)實中漫畫中的“宅男”也許比大家想象得都要強大。不信的話，大家可以自行搜索以下一些最吸引眼球的信息安全事件，看看“宅男”們是怎么“翻江倒海”的。

內(nèi)部消息泄露是特朗普政府的真正威脅

止不住的內(nèi)部消息泄露將可能成為真正威脅特朗普政府的變量。這些泄露不僅來自FBI和司法部，也來自白宮內(nèi)部，這反映出內(nèi)部人士對特朗普的不信任。

畫外音：別看你是美國總統(tǒng)，隨便動動手指頭，透露點兒消息出去，就夠你手忙腳亂一段。

特朗普向俄泄露“國際機密”引發(fā)軒然大波到底說了啥？

白宮當天晚些時候出面“滅火”，否認相關報道，并搬出國務卿雷克斯·蒂勒森和另兩名當時在場的總統(tǒng)助理作證人，表示“確實沒這回事”。

畫外音：別看你是美國總統(tǒng)，只要把信息泄露這頂帽子扣上，你有口難辯。如何評價斯諾登以及泄密事件？

IoI，這是小人物的大勝利。任憑你安全防范多么密不透風，仍然是有的漏洞。

畫外音：小諾要是在剛剛那個拳臺上，擊敗的可不止是一堆“高科技”。

誠然，IT技術及相關產(chǎn)品是支撐這個領域發(fā)展的基礎。但是，IT只是工具或者平臺，復雜的安全形勢客觀上要求有更加專業(yè)的安全人才跳出IT這個“圈圈”，應用專業(yè)科學的管理流程和框架來進行安全調(diào)查和管控。這就催生了一個跨界的職業(yè)：信息安全顧問。

網(wǎng)上對于這個職業(yè)的定義有很多種，大多數(shù)的說法把它劃到了管理科學的范疇。其主要職責更多是針對有關的安全管理問題提供獨立的建議和幫助。具體包括：風險評估、流程評估、安全體系建立和評估、安全價值實現(xiàn)等等。從這一點上可以看出，信息安全顧問首先應該是個管理咨詢師，具備敏銳的安全嗅覺且熟悉完備的安全管理體系。

信息安全這個領域的前景是毋庸置疑的。2017年初，我國工信部印發(fā)《軟件和信息技術服務業(yè)發(fā)展規(guī)劃（2016-2020年）》。在這個規(guī)劃中首次明確將信息安全產(chǎn)品和服務納入目標中，提出到“十三五”末達到2000億元，年均增長率在20%以上，遠超IT全行業(yè)平均13%的增速。2015年后，全球信息安全市場的規(guī)模已經(jīng)達到了1300億美元，年增長率為12%，成為最有潛力的領域之一。

我國的信息安全領域起步較晚，在很長一段時間里投入不足，沒有形成一定規(guī)模。隨著近些年互聯(lián)網(wǎng)的爆發(fā)性發(fā)展，把信息安全的瓶頸一下子推到了風口浪尖。在近日舉行的安全學科專業(yè)建設與人才培養(yǎng)研討會上透露，我國目前已培養(yǎng)的信息安全專業(yè)人才總量不足10萬，離目前需要的70萬差距巨大。目前我國所有所設置信息安全相關專業(yè)105高校，每年培養(yǎng)本科生和研究生只有約1萬人、大專生約2萬人。

巨大的市場前景和人才需求，與相對滯后的科班人才培養(yǎng)能力形成了強烈反差，這給我們每個大學畢業(yè)生都帶來了好機會。先來打基礎

故事講到這里，相信不少同學會問：我們要怎么做，才有可能成為一名合格的信息安全顧問呢？

首先，對于信息安全顧問的核心要求雖然不再是IT能力了，但是對于IT安全工具的使用和安全平臺的理解仍然是比較基礎的能力之一。前面我們提到，目前市場上提供安全工具的廠商非常多，產(chǎn)品也五花八門。我們有必要對它們進行一個大致的分類。

防病毒軟件和惡意軟件掃描工具類：

功能：保護服務器和個人終端，掃描病毒及惡意代碼/軟件。

代表廠商：McAfee、Symantec、Bluecoat、AVG、Barracuda、金山、360等

通用防火墻類：

功能：防止不明來歷的訪問進入內(nèi)部網(wǎng)絡，就像給“大門上了一把鎖”

代表廠商：PaloAlto、Cisco、Juniper、F5、Fortinet、H3C、山石、啟明星辰、天融信、聯(lián)想等

安全認證及身份管理類：

功能：有效管理用戶身份和認證信息，防止未授權的登陸

代表廠商：微軟及一些LDAPU商等。

WEB應用防火墻類：

功能：保護在線應用

代表廠商：Imperva、F5、Akamai、安恒、yxlink等

入侵保護系統(tǒng)：

功能：保護內(nèi)部網(wǎng)絡中各類應用，定位并處理異常流量

代表廠商：CheckPoint、SonicWall、FortiGate、HP等

脆弱性掃描系統(tǒng)類：

功能：不斷掃描各個主機及應用系統(tǒng)的安全漏洞和潛在風險

代表廠商：nCircle、Nessus、Qualys、Nmap等

安全信息和事件管理平臺類：

功能：匯聚各個大類安全工具產(chǎn)生的重要信息和報警，統(tǒng)一進行關聯(lián)調(diào)查和事件處理。

代表廠商：Splunk、IBM、HP、McAfee

以上只是對于信息安全類產(chǎn)品的一個大致分類，很顯然大家不需要現(xiàn)在就掌握它們。其中相當一部分工具還是很昂貴的，因此也不可能學會使用上面所有的東西。但是，一定要對它們有一定的概念，在今后遇到這樣的工具時，至少有個常識性的認識。

當然，如今大紅大紫的人工智能AI在這個領域也有很多大展拳腳的機會。安全攻擊和潛在威脅也是不斷地演化和再生的。如果只是出了安全事故才去研究和建立防范機制，由此帶來的損失就已經(jīng)發(fā)生了。本著“寧可錯查一千，不能放走一個”的原則，怎么變“被動防守”為“主動對應”，甚至是“預測性防范”呢？Al在這個時候就顯示出威力了。比較常見的異常檢測（Anomaly Detection）技術，結合大數(shù)據(jù)平臺，可以在海量的正常信息中找到“灰色地帶”或者“可疑事件”，匯報給信息安全顧問進行處理。

在對基本的工具集有個基本的認知后，學習各種安全規(guī)范和方法其實是最重要的。安全工具只是能夠支撐信息安全服務的一個基礎，更需要有科學合理的流程和在相關領域有經(jīng)驗的信息安全顧問。這才是信息安全咨詢服務的核心。在這一點上，首先學習信息安全理論和標準規(guī)范還是很有必要的。有意思的是，這些往往和具體的IT技術沒有關系，更多的是一些安全框架、流程和方法論。全球范圍內(nèi)相關的標準有很多，比較有影響力的標準包括ISO 27000系列信息安全管理標準以及ISA/IEC-62443自動化控制安全過程標準等等。此外，各個國家也有自己的信息安全規(guī)范，我國就公布了多項相關的國家標準。提升自己對信息安全管理理論和方法的認知是很關鍵的一步，也是跨入這個領域的最主要的一步。

還有一個關鍵點就是對不同行業(yè)的信息安全要求和最佳實踐的理解。在這一點上，其他專業(yè)的同學反而可能比IT專業(yè)的同學有更大的優(yōu)勢。比如說，機械專業(yè)的同學可以更容易的理解機械制造行業(yè)信息安全的痛點，生化專業(yè)的同學看到生物制藥領域的信息安全挑戰(zhàn)時會更容易領會。在各個細分的垂直領域，行業(yè)內(nèi)的知識和理解對于一個成功的信息安全顧問是非常重要的。而這些對行業(yè)的最深刻的理解，就算是看起來最咄咄逼人的人工智能技術也是無法掌握和替代的。

最后就是一些個人品質(zhì)上的軟性要求了。在眾多的優(yōu)良品德中，正直和誠實對于這個職業(yè)來說是最重要的了。除此以外，直接有效的表達和溝通能力也是做這個工作的關鍵。

總之，在如今的信息安全領域中，IT技術和工具雖然是基礎，但并不是核心。經(jīng)過多年的發(fā)展和提高，信息安全工具已經(jīng)非常智能和易用了。

在此基礎上，能夠熟知安全理論和最佳實踐，有效遵循標準流程及方法論進行調(diào)查和管控的安全咨詢顧問才是核心。巨大的市場前景和人才缺口以及獨特的技能要求，給眾多非IT類專業(yè)的同學以更多的職業(yè)機會。怎么樣？準備好入行了么？

責任編輯：方丹敏