作弊小紙條：如何成為一名網絡安全專家

如果您有興趣尋求網絡安全方面的職業，卻又不知道從哪裡開始，這裡有一些關于薪資、就業市場、技能和常見面試問題的指導。

IBM Security和安全研究中心Ponemon Institute都表示，擔負起這些角色的員工在企業中發揮着重要的作用，因為現在全球資料洩露的平均代價為362萬美元。

網絡安全工作也可以獲得很高的薪水。根據US Bureau of Labor Statistics（美國勞工統計局）的統計，美國的資訊安全分析師的年薪中位數為92,600美元，而且在舊金山和紐約等城市的薪酬明顯更高一籌。

受過教育訓練的網絡專業人才短缺導緻許多組織開始尋找非傳統的求職者來填補這些空缺。為了幫助對這一領域有興趣的人更好地了解如何開始網絡安全方面的職業生涯，我們将最重要的細節和資源彙集在一起​​。

内容提要

為什麼市場對網絡安全專業人士的需求在不斷增加？網絡犯罪在過去幾年中呈現出爆炸的态勢，主要是WannaCry和Petya之類的勒索軟體攻擊使企業的資料面臨風險。為了保護他們的資訊和他們的客戶，各行各業的企業都正在尋找網絡專業人士來保護他們的網絡。

網絡安全相關的各種工作都是什麼角色？網絡安全工作涵蓋了多種不同的角色，包括滲透測試員、首席資訊安全官（CISO）、安全工程師、事件響應者、安全軟體開發人員、安全審計師或安全顧問。

網絡安全方面的工作需要什麼技能？網絡安全方面的工作所需的技能因職位和公司而異，但通常可能包括滲透測試、風險分析和安全評估。包括Certified

in Risk and Information Systems Control (CRISC)、Certified Information

Security Manager (CISM)和Certified Information Systems Security

Professional (CISSP)等證書也是有需求的，并且可以讓你在這個領域獲得更高的薪酬。

網絡安全工作最熱門的市場在哪裡？包括蘋果、洛克希德.馬丁、通用汽車、Capital One和思科在内的頂尖公司都在招募網絡安全專業人士。衛生保健、教育和政府等行業最有可能遭受網絡攻擊，這可能會導緻這些行業内IT安全工作崗位的增加。

網絡安全專業人士的平均工資是多少？網絡安全專業人士的平均工資取決于職位。例如，據美國勞工統計局的統計，資訊安全分析師年薪的中位數為92,600美元。同時，根據Salary.com的統計，首席資訊安全官的年薪中位數為212,462美元。某些城市的薪酬明顯較高，例如舊金山和紐約。

網絡安全方面工作典型的面試問題有哪些？根據Forrester分析師Jeff Pollard的說法，問題可能會因求職的具體的公司和職位而異。對于入門階段和職業生涯比較早期的職位來說，應該會有更多的技術性問題。等到你的職位較高的時候，問題可能會更多地涉及上司力、執行計劃、解決沖突和預算。

在哪裡可以找到網絡安全職業資源？ISACA、ISC（2）、ISSA和The SANS Institute是一些相關的國内及國際組織，您可以在其中查找有關該行業的資訊以及認證和教育訓練選項。一些大學和線上課程還提供與網絡安全相關的學位、認證和準備課程。

其他的一些資源：

為什麼對網絡安全專業人士的需求在增加？

網絡犯罪在過去幾年中呈現出爆發式增長的态勢，WannaCry和Petya之類的勒索軟體攻擊使企業的資料面臨風險。物聯網的興起也帶來了新的威脅。為了保護他們的資訊和他們的客戶，各行各業的企業都正在尋找網絡專業人士來保護他們的網絡。

然而，許多企業在填補這些職位空缺的時候遇到了困難：根據ISACA的報告，55％的美國組織報告稱空缺的網絡職位至少需要三個月才能填補，32％的受訪者表示需要六個月或更長時間，甚至有27％的公司表示他們根本無法填補空缺的網絡安全職位。

JCPenney現在的首席資訊安全官Lauren

Heyndrickx表示，網絡安全和其他的計算機科學相比，仍然是一個相對比較新的領域，是以缺乏認知是人才短缺的原因之一。她補充表示，對于網絡安全工作的實際内容的誤解是非常常見的，這可能是比較少有女性及少數群體進入這個領域的原因之一。然而，德雷克塞爾大學（Drexel

University）計算機科學副教授Rachel

Greenstadt表示，過去幾年來，計算機科學課程的入學率大幅增加，許多學校都在增加網絡安全專業。

網絡安全相關的各種工作都是什麼角色？

網絡安全工作涵蓋了多種不同的角色，具有各種工作職能，具體取決于他們的頭銜以及每家公司的具體需求。

所需的角色包括滲透測試員，負責進入系統或網絡，找到漏洞，并将其報告給組織或自己進行修補；網絡安全工程師，通常會是擁有開發技術背景的人擔任，負責深入代碼并找到缺陷，以及如何加強組織的安全防護；安全軟體開發人員負責在設計和開發過程中将安全性內建到應用軟體之中。

計算機驗證專家從計算機、網絡和資料儲存設備中進行安全事件調查、通路并分析證據。安全顧問作為顧問，根據每家公司面臨的需求和威脅，設計和實施盡可能最強大的安全解決方案。

在這個鍊條的頂端，首席資訊安全官們掌握着公司的網絡安全政策，并必須不斷适應對最新威脅的戰鬥。

網絡安全方面的工作需要什麼技能？

網絡安全方面的工作所需的技能因職位和公司而異。一般來說，網絡安全從業人員負責進行滲透測試（測試計算機系統、網絡或網絡應用程式以查找攻擊者可能利用的漏洞）、風險分析（定義和分析企業網絡威脅的工作，讓技術相關的目标與業務目标保持一緻）和安全評估（确定資訊系統或組織目前安全狀态并提供改進建議的工作）。

網絡安全認證會教授這些内容和其他有價值的工作技能，而且通常會幫助你得到更高的工資。目前，對通過Certified in Risk and

Information Systems Control（CRISC）、Certified Information Security

Manager（CISM）和Certified Information Systems Security

Professional（CISSP）之類認證的人士的需求非常旺盛。

Pollard表示，網絡安全工作不一定需要開發技能或學位。Pollard表示：“您不需要在特定領域獲得學士學位，才能在安全方面做得很好；實際上，您根本不一定需要（學位）。”他表示，“承認網絡安全是一種技能，并教會人們企業安全的工作，這意味着将其視為一種學徒制或教育訓練計劃。”

網絡安全是一個跨學科的領域，需要技術、人類行為、金融、風險、法律和法規方面的知識。網絡安全領域中的很多人都是從其他一些具備這些技能的職業進入該領域的，并将其用于網絡之中。

Pollard表示，“如果你有安全技能，你就會有很多的機會。”他表示，“如果你對安全感興趣，也許隻有一個非傳統的背景，但是你願意學習，機會也會從這個角度對你開放。”

網絡安全工作最熱門的市場在哪裡？

世界各地幾乎所有行業的高管都在想辦法提升自己的安全水準，并聘請專業人士來幫助他們。根據Indeed的報告顯示，包括蘋果、洛克希德.馬丁、通用汽車、Capital

One、思科、英特爾和波音在内的大型企業在2016年10月至2016年12月期間至少招聘了20個網絡安全職位。

衛生保健、教育和政府等行業最有可能遭受網絡攻擊，這些領域也很有可能會增加網絡安全的崗位。

ISC（2）的首席營運官Wesley Simpson表示，未來幾年對進入這個領域的年輕人來說尤為重要。目前，隻有7％的網絡安全人員不滿29歲，13％處于30至34歲之間。網絡專業人員的平均年齡為42歲。

Simpson表示：“在接下來的十年中，我們将有大量的網絡專業人士開始退休。”他表示，“我們沒有一個好的計劃來回填那些大量離開這個行業的人造成的空缺。我們需要能夠教育并提高網絡安全各個方面的意識，并發出這樣一個消息，無論你是否擁有一個技術學位，這是一個值得人們進入的、偉大的、多樣化并且非常有利可圖的職業。”

網絡安全專業人士的平均工資是多少？

網絡安全專業人員的平均工資取決于職位和公司。例如，據美國勞工統計局的統計，資訊安全分析師年薪的中位數為92,600美元。同時，根據Salary.com的統計，首席資訊安全官的年薪中位數為212,462美元。某些城市的工資水準明顯較高，例如舊金山和紐約。

根據Pollard的說法，對熟練網絡安全專業人員的需求使得該領域成為“賣方市場”。職介公司Mondo的進階招聘主管Stephen Zafarino表示，和以往相比，熟練的求職者能夠更好地協商薪水、福利以及附帶福利，例如遠端工作等。

網絡安全方面工作典型的面試問題有哪些？

ISC（2）的安全負責人Charles

Gaughf表示，雇用安全專業人員往往是一項艱巨的任務。Gaughf表示，“根據您的組織結構，您可能要尋找一種非常具體的知識或技能，但最有可能需要的是能夠熟練掌握各種技術的、能幹的專業人員，他應該動力十足，具有旺盛的好奇心并非常誠實。”

Gaughf表示，“這就是為什麼說抛出一些能夠确定這些特質的問題是個好主意。抛出一些能夠讓求職者思考的問題也是個好主意，你知道這些問題在面試之前沒有被練習過。”

問題可能會因求職的具體的公司和職位而異。對于入門階段和職業生涯比較早期的職位來說，應該會有更多的技術性問題。等到你的職位較高的時候，問題可能會更多地涉及上司力、執行計劃、解決沖突和預算。

測試求職者現場思考能力的開放性問題可能會是“你如何建構僵屍網絡？”Gaughf表示，這會讓他們制定出如何從頭開始感染、控制和協調僵屍網絡——立刻讓他們站在攻擊者的角度。然後他們可能被問及“你如何防禦僵屍網絡？”，獲得另一個角度的觀點。

Pollard表示，在最初的面試中，求職者也可以想到會遇到一些技術問題，例如：

惡意軟體可以躲避防病毒産品檢測的一些方法是什麼？

什麼是跨站點腳本（XSS）攻擊，它是如何工作的？

除了XSS之外，還有哪些網絡應用程式攻擊的例子？

什麼是中間人攻擊，可以如何進行防範？

TCP和UDP有什麼差別？什麼樣的用例更适合UDP？

Gaughf說，求職者也應該預料到可能會被問到确定他們是否能夠跟上行業發展的問題，例如：

你是否屬于任何本地安全組？

你如何跟蹤網絡安全新聞？

你聽什麼安全播客？

在初次面試之後，求職者經常要進行完成工作的模拟練習，可能很簡單也可能比較複雜，這取決于要扮演的角色。相比于能夠完美完成任務的求職者，雇主通常要尋找是可以解釋其決策過程的人。

Pollard表示，“我可能會提供一些日志資料，并提出有關資料内容的問題，我可能會從系統中提取捕捉到的驗證資訊，要求他們完成一點的調查工作并回答關于攻擊者詳細資訊的問題。”Pollard表示，“如果這個人應聘的是開發人員，我可能會要求他們編寫一些可以通過資料解析的代碼。如果這個人要成為一名滲透測試者，我可能會給他們一個基本的網絡應用程式，并要求他們進行攻擊。”

在此之後，求職者可能會進入最後面試來解釋他們的解決方案、推理和方法。

Pollard表示，“對于雙方來說——企業和求職者——這是都是很多的工作。”他表示，“這不符合傳統的面試安排，您可以通過一堆履歷挑選一些人來面試，然後依靠30-45分鐘内回答的一系列問題，根據答案、本能和情感的綜合衡量決定讓一些人進入下一輪。”

在哪裡可以找到網絡安全職業資源？

你可以聯系你所在組織中目前負責網絡安全的人，看看是否可以跟随他們或者成為他們的徒弟。

一些大學和線上課程也提供與網絡安全相關的學位和認證。

原文釋出時間為： 2017年9月28日

本文作者：楊昀煦

本文來自雲栖社群合作夥伴至頂網，了解相關資訊可以關注至頂網。