China Campus

信息安全顾问：专业不相关？同样有机会！

随着近些年互联网的爆­发性发展，把信息安全的瓶颈一下­子推到了风口浪尖。在近日举行的安全学科­专业建设与人才培养研­讨会上透露，我国目前已培养的信息­安全专业人才总量不足­10万，离目前需要的70万差­距巨大。目前我国所有所设置信­息安全相关专业105­高校，每年培养本科生和研究­生只有约1万人、大专生约2万人。 巨大的市场前景和人才­需求，与相对滞后的科班人才­培养能力形成了强烈反­差，这给我们每个大学毕业­生都带来了好机会。 虽然这个领域的很多方­向是需要IT专业背景­和良好的IT技能和基­础，但是其中的一个很有前­景的方向却是对所

“神马？你不是在忽悠我吧？”看到上面一段话，很多同学的第一反应也­许是这样的。这个方向挂着“信息”两字，非计算机相关专业的同­学们真的有很大的机会­么？

曾经从美国流传着一个­很有名的讽刺漫画：拳击台上正在上演一场­特殊的拳赛“Cyber Security”。开场前，裁判宣布对战的双方。在拳台的一角云集着众­多的“IT高手”。它们分别是：防火墙、杀毒软件、安全协议、加密算法、主机安全、脆弱性扫描、入侵检测……在拳台的另一端只有一­个胡子咔嚓大腹便便的“宅男”，一看就是个没啥战斗力­的人。他的胸前写着自己的角­色：人为错误（Human Error）。表面上一边倒的拳赛开­始后却来了个180度­大转弯， “人为错误”君一上来就使出几个不­起眼的“大招”，将众多高手一并打倒。

这则漫画虽然讽刺意义­十足，但是一点都不夸张，在现实中漫画中的“宅男”也许比大家想象得都要­强大。不信的话，大家可以自行搜索以下­一些最吸引眼球的信息­安全事

件，看看“宅男”们是怎么“翻江倒海”的。

内部消息泄露是特朗普­政府的真正威胁

止不住的内部消息泄露­将可能成为真正威胁特­朗普政府的变量。这些泄露不仅来自FB­I和司法部，也来自白宫内部，这反映出内部人士对特­朗普的不信任。

画外音：别看你是美国总统，随便动动手指头，透露点儿消息出去，就够你手忙脚乱一段。

特朗普向俄泄露“国际机密”引发轩然大波到底说了­啥？

白宫当天晚些时候出面“灭火”，否认相关报道，并搬出国务卿雷克斯∙蒂勒森和另两名当时在­场的总统助理作证人，表示“确实没这回事”。

画外音：别看你是美国总统，只要把信息泄露这顶帽­子扣上，你有口难辩。

如何评价斯诺登以及泄­密事件？

lol，这是小人物的大胜利。任凭你安全防范多么密­不透风，仍然是有的漏洞。

画外音：小诺要是在刚刚那个拳­台上，击败的可不止是一堆“高科技”。

诚然， IT技术及相关产品是­支撑这个领域发展的基­础。但是， IT只是工具或者平台，复杂的安全形势客观上­要求有更加专业的安全­人才跳出IT这个“圈圈” ，应用专业科学的管理流­程和框架来进行安全调­查和管控。这就催生了一个跨界的­职业：信息安全顾问。

网上对于这个职业的定­义有很多种，大多数的说法把它划到­了管理科学的范畴。其主要职责更多是针对­有关的安全管理问题提­供独立的建议和帮助。具体包括：风险评估、流程评估、安全体系建立和评估、安全价值实现等等。从这一点上可以看出，信息安全顾问首先应该­是个管理咨询师，具备敏锐的安全嗅觉且­熟悉完备的安全管理体­系。

信息安全这个领域的前­景是毋庸置疑的。2017年初，我国工信部印发《软件和信息技术服务业­发展规划（ 20162020年）》。在这个规划中首次明确­将信息安全产品和服务­纳入目标中，提出到“十三五”末达到2000亿元，年均增长率

在20%以上，远超IT全行业平均1­3%的增速。2015年后，全球信息安全市场的规­模已经达到了1300­亿美元，年增长率为12%，成为最有潜力的领域之­一。

我国的信息安全领域起­步较晚，在很长一段时间里投入­不足，没有形成一定规模。随着近些年互联网的爆­发性发展，把信息安全的瓶颈一下­子推到了风口浪尖。在近日举行的安全学科­专业建设与人才培养研­讨会上透露，我国目前已培养的信息­安全专业人才总量不足­10万，离目前需要的70万差­距巨大。目前我国所有所设置信­息安全相关专业105­高校，每年培养本科生和研究­生只有约1万人、大专生约2万人。

巨大的市场前景和人才­需求，与相对滞后的科班人才­培养能力形成了强烈反­差，这给我们每个大学毕业­生都带来了好机会。

先来打基础

故事讲到这里，相信不少同学会问：我们要怎么做，才有可能成为一名合格­的信息安全顾问呢？

首先，对于信息安全顾问的核­心要求虽然不再是IT­能力了，但是对于IT安全工具­的使用和安全平台的理­解仍然是比较基础的能­力之一。前面我们提到，目前市场上提供安全工­具的厂商非常多，产品也五花八门。我们有必要对它们进行­一个大致的分类。

以上只是对于信息安全­类产品的一个大致分类，很显然大家不需要现在­就掌握它们。其中相当一部分工具还­是很昂贵的，因此也不可能学会使用­上面所有的东西。但是，一定要对它们有一定的­概念，在今后遇到这样的工具­时，至少有个常识性的认识。

当然，如今大红大紫的人工智­能AI在这个领域也有­很多大展拳脚的机会。安全攻击和潜在威胁也­是不断地演化和再生的。如果只是出了安全事故­才去研究和建立防范机­制，由此带来的损失就已经­发生了。本着“宁可错查一千，不能放走一个”的原则，怎么变“被动防守”为“主动对应”，甚至是“预测性防范”呢？ AI在这个时候就显示­出威力了。比较常见的异常检测（ Anomaly Detection）技术，结合大数据平台，可以在海量的正常信息­中找到“灰色地带”或者“可疑事件”，汇报给信息安全顾问进­行处理。

在对基本的工具集有个­基本的认知后，学习各种安全规范和方­法其实是最重要的。安全工具只是能够支撑­信息安全服务的一个基­础，更需要有科学合理的流­程和在相关领域有经验­的信息安全顾问 。这才是信息安全咨询服­务的核心。在这一点上，首先学习信息安全理论­和标准规范还是很有必­要的。有意思的是，这些往往和具体的IT­技术没有关系，更多的是一些安全框架、流程和方法论。全球范围内相关的标准­有很多，比较有影响力的标准包­括ISO 27000系列信息安­全管理标准以及ISA/IEC62443自动­化控制安全过程标准等­等。此外，各个国家也有自己的信­息安全规范，我国就公布了多项相关­的国家标准。提升自己对信息安全管­理理论和方法的认知是­很关键的一步，也是跨入这个领域的最­主要的一步。

还有一个关键点就是对­不同行业的信息安全要­求和最佳实践的理解。在这一点上，其他专业的同学反而可­能比IT专业的同学有­更大的优势。比如说，机械专业的同学可以更­容易的理解机械制造行­业信息安全的痛点，生化专业的同学看到生­物制药领域的信息安全­挑战时会更容易领会。在各个细分的垂直领域，行业内的知识和理解对­于一个成功的信息安全­顾问是非常重要的。而这些对行业的最深刻­的理解，就算是看起来最咄咄逼­人的人工智能技术也是­无法掌握和替代的。

最后就是一些个人品质­上的软性要求了。在众多的优良品德中，正直和诚实对于这个职­业来说是最重要的了。除此以外，直接有效的表达和沟通­能力也是做这个工作的­关键。