网络安全专家成长指引

飞絮  赛博朔方

      这篇随笔是飞絮随笔系列的第五篇了，因为笔者今年管理着公司的公众号，利用职务之便在4月15日发了一篇不像样子的文章“也谈网络安全法”，居然得到了大家的肯定与鼓励。后来发现把个人的经验、理解、观点用文字表达出来与读者分享是一种快乐，能得读者的认可与转发或收藏更是倍感欣慰。

 

      今天整理分享一份前几年写的培训材料，主题为关于如何成为网络安全专家（顾问），希望能使刚从事网络安全行业的新人对网络安全行业相关技术岗位有所了解并有助于其进行职业规划。笔者的从业经验为安全服务型公司的技术服务与项目管理，圈内行话称之为做乙方，所以下面所谈及的视角与观点有一定的局限性，仅供参考。

说到网络安全专家（顾问）成长指引，这里先整理一下思路，先从网络安全专家与顾问的分类说起，再说说其成长的轨迹与方法以及速成技巧，最后给出一个简单的个人职业规划方法。欢迎各位读者在文后留言交流，也欢迎大家来赛博朔方投稿。

      网络安全行业属于IT类，2016年据有关机构对5000多名受访者行业选择的问卷结果显示，IT与通讯行业相比于其他行业遥遥领先，选择度高达35%！而以前被认为非常火爆的金融、证券、保险业以及房地产业选择度合计也仅达20%左右！

      再看看薪酬待遇，对IT行业大学毕业生培训前后薪资对比做了详细调查，结果显示，经过专业培训后的大学毕业生薪资几乎为培训前的3-4倍。下图是某培训机构广告宣传用的，有一定的水分，但这里的培训后也可以理解为有一定的工作经验和能力后。

有无工作经验的应届生薪资对比图

      事实也是这样，从事网络安全行业，从新手到有工作经验再到行业专家，其个人的身份也会一路飙升。其实每个行业都是这样的，当你发挥你的潜能做到极致成为金字塔的顶端的人，这时你就是这个行业里令人仰慕的人物。网传在滴滴、阿里、360等公司就职的安全领军人物都拿千万级的offer。

      网络安全领域的人才可以分为两大类，即南向与北向，可以理解为武林中的“南拳北腿”、“南帝北丐”。南向主要偏微观、战术、个体等，是务实的落地的；北向偏宏观、战略、生态等，是务虚的高层的。

      潘柱廷（圈内称大潘）在华云庵（大潘与另一圈内大牛赵粮发起的网络安全民间社区，取华、云、安命名之）春分雅集上首次提出了关于安全行业人员的南北派之分的说法，并在2015年阿里峰会上进行了《网络安全北向技术和方法探究》的演讲。这里讲的南北向也是新人在考虑职业规划时需要认真考虑的首要问题。

南北向人才涉及职业领域示意图

      21世纪人才最贵！在网络空间安全威胁与日俱增的今天，网络安全从业人员的待遇也自然水涨船高，据美国知名调查机构Payscale调查数据显示，在美国前十大网络安全高薪职业如下：

1. 首席信息安全官（CISO）

2. 安全架构师

3. 安全主管

4. 安全经理

5. 安全工程师

6. 应急响应人员

7. 安全顾问

8. 计算机鉴定专家

9. 恶意软件分析师

10. 安全专家

      上面是国外的几类网络安全岗位，在国内的乙方单位里，一般会有管理、技术、销售、运维四大类岗位群。每个大类里又有很多细分的岗位，这里仅拿某安全服务型公司技术岗的岗位职级图说明一下安全服务技术人员职业规划。

如上图所示，无论是工程师、项目经理还是顾问都有一个从初级到中级再到高级和资深这样的成长轨迹，同时每个级别里又有基础档与胜任档。

下面讲讲安全专家（顾问）速（zhuang）成（bi）技（bao）巧（dian），可以在6个月内从零基础成为一个网络安全专家，至少甲方会认为你是专家。不信你来赛博朔方，我不收费，教你九招。

第一招：自信。自信是万事成功的基石，可度娘“图片 自信 猫 虎”后自行意会，毕竟和你交流的人一般平时的工作不全是网络安全。

第二招：说行话，关键词用缩写。如关键信息基础设施保护简称为“关基保护”或更洋气一些为“CIIP”、城市轨道交通简称“轨交”、涉及国家秘密的信息系统分级保护简称为“分保”、跨站请求伪造简称为“CSRF”。

第三招：中英文混说。交流沟通的语句中带几个英文单词，如domain、level、focus、care、policy、XSS。

第四招：数字精确化。如网络安全法正文 9875个字、7章69条款。新网络安全等级保护测评域10个变为8个，又扩展了云、移、物、工4个方向。

第五招：死记硬背。重要信息死记硬背，如一些标准与文件的编号、临时需要记忆的东西。

第六招：假装混圈子。了解知名案例、了解行业内各领域的分支体系、了解圈内专家与知名人物。

第七招：拥有Paper。考取一些安全方向资质证书，如CISP、CISSP、CCSSP、CISA、ITIL、CCIE、PMP、ISO27001、OCP、Cobit等。

第八招：软技能。沟通技巧、职业素养、思维、组织、表达、心态等。

第九招：自由式。无招胜有招尽情展现你个人魅力，天文地理、娱乐八卦、行业内幕、段子……

      通过上面九个招式可以快速做到网络安全专家的神似，要想真正成为一个领域内的专家需要一个积累沉淀的过程，可以参考下图四个方向进行实践与坚持，这里就不一一展开了，每个人各有各的理解。

       最后回到个人职业规划问题，无论你是南向或北向人才，都有各式各样的岗位供你选择，在甲方有安全管理员、安全专员、安全专家、安全审计员、安全分析师、安全经理、安全架构师、首席安全官等岗位；在乙方有渗透、开发、技术支持、咨询顾问、项目经理、技术总监等岗位。无论哪个岗位只要坚持运用上述方法，你定能快速成长为你所从事领域内的专家。

      大道至简，关于个人职业规划可以采用三环分析法并坚持三步走即可。当你在进行职业规划时可以采用三环分析法，如下图所示是理想状态下最佳的职业规划方向，那是你喜欢的又擅长的还能挣钱的发展方向。

      有了发展方向，整个职业规划可以分三步走：定方向，找平台，坚持住。当然这里的每一步都可能循序渐进螺旋式前进。

最后祝你找到喜欢的又擅长的还能挣钱的职业并成为这个领域内的专家。