信息安全顾问:专业不相关?同样有机会!
随着近些年互联网的爆发性发展,把信息安全的瓶颈一下子推到了风口浪尖。在近日举行的安全学科专业建设与人才培养研讨会上透露,我国目前已培养的信息安全专业人才总量不足10万,离目前需要的70万差距巨大。目前我国所有所设置信息安全相关专业105高校,每年培养本科生和研究生只有约1万人、大专生约2万人。 巨大的市场前景和人才需求,与相对滞后的科班人才培养能力形成了强烈反差,这给我们每个大学毕业生都带来了好机会。 虽然这个领域的很多方向是需要IT专业背景和良好的IT技能和基础,但是其中的一个很有前景的方向却是对所
“神马?你不是在忽悠我吧?”看到上面一段话,很多同学的第一反应也许是这样的。这个方向挂着“信息”两字,非计算机相关专业的同学们真的有很大的机会么?
曾经从美国流传着一个很有名的讽刺漫画:拳击台上正在上演一场特殊的拳赛“Cyber Security”。开场前,裁判宣布对战的双方。在拳台的一角云集着众多的“IT高手”。它们分别是:防火墙、杀毒软件、安全协议、加密算法、主机安全、脆弱性扫描、入侵检测……在拳台的另一端只有一个胡子咔嚓大腹便便的“宅男”,一看就是个没啥战斗力的人。他的胸前写着自己的角色:人为错误(Human Error)。表面上一边倒的拳赛开始后却来了个180度大转弯, “人为错误”君一上来就使出几个不起眼的“大招”,将众多高手一并打倒。
这则漫画虽然讽刺意义十足,但是一点都不夸张,在现实中漫画中的“宅男”也许比大家想象得都要强大。不信的话,大家可以自行搜索以下一些最吸引眼球的信息安全事
件,看看“宅男”们是怎么“翻江倒海”的。
内部消息泄露是特朗普政府的真正威胁
止不住的内部消息泄露将可能成为真正威胁特朗普政府的变量。这些泄露不仅来自FBI和司法部,也来自白宫内部,这反映出内部人士对特朗普的不信任。
画外音:别看你是美国总统,随便动动手指头,透露点儿消息出去,就够你手忙脚乱一段。
特朗普向俄泄露“国际机密”引发轩然大波到底说了啥?
白宫当天晚些时候出面“灭火”,否认相关报道,并搬出国务卿雷克斯∙蒂勒森和另两名当时在场的总统助理作证人,表示“确实没这回事”。
画外音:别看你是美国总统,只要把信息泄露这顶帽子扣上,你有口难辩。
如何评价斯诺登以及泄密事件?
lol,这是小人物的大胜利。任凭你安全防范多么密不透风,仍然是有的漏洞。
画外音:小诺要是在刚刚那个拳台上,击败的可不止是一堆“高科技”。
诚然, IT技术及相关产品是支撑这个领域发展的基础。但是, IT只是工具或者平台,复杂的安全形势客观上要求有更加专业的安全人才跳出IT这个“圈圈” ,应用专业科学的管理流程和框架来进行安全调查和管控。这就催生了一个跨界的职业:信息安全顾问。
网上对于这个职业的定义有很多种,大多数的说法把它划到了管理科学的范畴。其主要职责更多是针对有关的安全管理问题提供独立的建议和帮助。具体包括:风险评估、流程评估、安全体系建立和评估、安全价值实现等等。从这一点上可以看出,信息安全顾问首先应该是个管理咨询师,具备敏锐的安全嗅觉且熟悉完备的安全管理体系。
信息安全这个领域的前景是毋庸置疑的。2017年初,我国工信部印发《软件和信息技术服务业发展规划( 20162020年)》。在这个规划中首次明确将信息安全产品和服务纳入目标中,提出到“十三五”末达到2000亿元,年均增长率
在20%以上,远超IT全行业平均13%的增速。2015年后,全球信息安全市场的规模已经达到了1300亿美元,年增长率为12%,成为最有潜力的领域之一。
我国的信息安全领域起步较晚,在很长一段时间里投入不足,没有形成一定规模。随着近些年互联网的爆发性发展,把信息安全的瓶颈一下子推到了风口浪尖。在近日举行的安全学科专业建设与人才培养研讨会上透露,我国目前已培养的信息安全专业人才总量不足10万,离目前需要的70万差距巨大。目前我国所有所设置信息安全相关专业105高校,每年培养本科生和研究生只有约1万人、大专生约2万人。
巨大的市场前景和人才需求,与相对滞后的科班人才培养能力形成了强烈反差,这给我们每个大学毕业生都带来了好机会。
先来打基础
故事讲到这里,相信不少同学会问:我们要怎么做,才有可能成为一名合格的信息安全顾问呢?
首先,对于信息安全顾问的核心要求虽然不再是IT能力了,但是对于IT安全工具的使用和安全平台的理解仍然是比较基础的能力之一。前面我们提到,目前市场上提供安全工具的厂商非常多,产品也五花八门。我们有必要对它们进行一个大致的分类。
以上只是对于信息安全类产品的一个大致分类,很显然大家不需要现在就掌握它们。其中相当一部分工具还是很昂贵的,因此也不可能学会使用上面所有的东西。但是,一定要对它们有一定的概念,在今后遇到这样的工具时,至少有个常识性的认识。
当然,如今大红大紫的人工智能AI在这个领域也有很多大展拳脚的机会。安全攻击和潜在威胁也是不断地演化和再生的。如果只是出了安全事故才去研究和建立防范机制,由此带来的损失就已经发生了。本着“宁可错查一千,不能放走一个”的原则,怎么变“被动防守”为“主动对应”,甚至是“预测性防范”呢? AI在这个时候就显示出威力了。比较常见的异常检测( Anomaly Detection)技术,结合大数据平台,可以在海量的正常信息中找到“灰色地带”或者“可疑事件”,汇报给信息安全顾问进行处理。
在对基本的工具集有个基本的认知后,学习各种安全规范和方法其实是最重要的。安全工具只是能够支撑信息安全服务的一个基础,更需要有科学合理的流程和在相关领域有经验的信息安全顾问 。这才是信息安全咨询服务的核心。在这一点上,首先学习信息安全理论和标准规范还是很有必要的。有意思的是,这些往往和具体的IT技术没有关系,更多的是一些安全框架、流程和方法论。全球范围内相关的标准有很多,比较有影响力的标准包括ISO 27000系列信息安全管理标准以及ISA/IEC62443自动化控制安全过程标准等等。此外,各个国家也有自己的信息安全规范,我国就公布了多项相关的国家标准。提升自己对信息安全管理理论和方法的认知是很关键的一步,也是跨入这个领域的最主要的一步。
还有一个关键点就是对不同行业的信息安全要求和最佳实践的理解。在这一点上,其他专业的同学反而可能比IT专业的同学有更大的优势。比如说,机械专业的同学可以更容易的理解机械制造行业信息安全的痛点,生化专业的同学看到生物制药领域的信息安全挑战时会更容易领会。在各个细分的垂直领域,行业内的知识和理解对于一个成功的信息安全顾问是非常重要的。而这些对行业的最深刻的理解,就算是看起来最咄咄逼人的人工智能技术也是无法掌握和替代的。
最后就是一些个人品质上的软性要求了。在众多的优良品德中,正直和诚实对于这个职业来说是最重要的了。除此以外,直接有效的表达和沟通能力也是做这个工作的关键。