安全職業生涯進階：92 個簡單步驟 "破解" 安全行業

安全職業生涯進階：92 個簡單步驟 "破解" 安全行業

作者：Karl Levinson，CISSP，Looking Glass Systems

請參閱其他每月安全 MVP 文章專欄。

這麼說您想要獲得一份資訊安全工作？或者您已經在從事資訊安全工作 (infosec)，但想要進一步提高或轉到其他資訊安全領域？

下面是我所知道的有關在資訊安全方面自我提高的常見問題的答案。我在自己的職業生涯的各個階段運用這些資訊成功地實作了學習和提高。我唯一的遺憾是沒有人早點向我提示這些資訊，否則的話我現在也許已經功成身退，正在某個小島上悠哉遊哉，而不用在這裡寫文章教您如何搶走我的飯碗！現在言歸正傳。

認證

您花費時間和金錢取得某些安全認證後，将來的回報是更高的薪水和更好的就業機會。但是，取得認證并不意味着萬事大吉。有了認證可以幫助您獲得求職面試的機會，但不能保證您獲得工作。您還必須在面試中證明自己有實際知識和經驗，而這些并不能通過認證來獲得。

CISSP 認證

最有價值的安全認證之一仍然是國際資訊系統安全認證聯合會 (ISC)2 提供的 CISSP 認證。我建議大多數安全專業人員在取得其他類似證書之前，先考慮擷取 CISSP 認證。CISSP 認證與其他認證不同，它隻需要您通過一次考試。承擔不起昂貴教育訓練費用的人可以使用随處可以買到的各種廉價 CISSP 教材。您也可以詢問現在的雇主是否可以為您承擔費用。

為獲得 CISSP 認證，必須有一位現任或前任經理願意證明您在安全工作方面有四年專職工作經驗。（如果您持有準許的認證（比如 Microsoft 認證系統管理者 (MCSA) 或 CompTIA Security+），則可以減去一年。如果您有資訊安全方面的大學學位，也可以減去一年。）由于這一要求，CISSP 不會為您獲得第一份安全方面的工作，但卻可以幫助您獲得第二份或第三份工作。(ISC)2 提供了一些不太知名的入門級認證，比如隻需要具有一年經驗的系統安全認證從業者 (SSCP)，和不需要經驗的“(ISC)2 準成員”。這些認證不如 CISSP 那樣出名，是以對您的職業生涯不會有同樣大的幫助。我建議在可能的情況下直接擷取 CISSP。

CISSP 考試費用為 499 到 599 美元，并且通常必須提前一個月甚至更長時間進行安排。您可能需要預測什麼時候可以準備好參加考試，然後確定在該日期做好準備。換句話說，不要倉促應考，必須做好準備，然後安排在下一次考試日期參加考試。考試僅在相對較少的幾個地點進行，通常是在大城市中。您可能需要旅行一段距離，甚至需要在外住宿，因為考試總是在上午 8:00 準時進行。

在考試過程中，您最多有 6 個小時的時間來解答 250 道多項選擇題，其中有些題在措詞上可能易于造成混淆。據說考試會根據正态分布曲線進行評分，是以及格分數會有所變化。及格與否的通知會在大約五周後郵寄給您。不會通知您準确的分數。

如果您通過閱讀一本 400 頁的教材來準備 250 道題的考試，您應閱讀并了解每一頁，否則就會有答錯的風險。我建議您至少要閱讀一本學習指南，同時還要閱讀 CCCure.org 網站上提供的免費材料。然後應通過 CCCure.org 上提供的測驗來測試您是否已做好考試準備。您還應檢視免費的 (ISC)2 Candidate Information Bulletin（英文），其中包括考試中可能涉及的主題的清單。在看完這些材料後，如果您覺得對清單中的一項或多項準備不充分，您可以閱讀有關這些主題的更多資料。

SANS GIAC 認證

SANS Institute 的 GIAC 系列安全認證也很有價值。SANS 提供的大多數認證和教育訓練均面向有實際經驗的計算機安全技術專業人員，這些人員已決定專門從事入侵檢測和事件響應等工作。GIAC 提供的部分認證和教育訓練面向審計人員或經理。

SANS 提供的認證教育訓練可以使您增長見識，并可作為工作教育訓練使您獲益多多。同時其價格也非常昂貴，為 2,000 到 3,500 美元甚至更高（即使您選擇 SANS 自學）。大多數考試都沒有廉價的第三方教材，是以，SANS 即使不是唯一的 GIAC 教育訓練來源，也是主要來源。

GIAC 認證分為“白銀級”和“黃金級”。黃金級認證要求您在通過考試後撰寫并送出一篇論文。如果您以捆綁形式同時購買 GIAC 教育訓練和考試，您必須在完成教育訓練後四個月之内安排進行考試。

如果資金緊張，您可以通過自學來獲得 GIAC 認證：研讀幾本适合的書籍後，參加一次 50 美元的 GIAC 線上實踐測試以增強您的信心，然後參加一項認證考試。即便如此，不參加教育訓練的 GIAC 考試也會花費您 800 美元（即使考試未通過）。您可以考慮通過參加 100 美元的考試來獲得一個級别較低的 GIAC“證書”。

您還可以從 SANS 技術學院獲得理學碩士學位。要獲得此學位，您必須通過八次 GIAC 認證考試，為獲得“黃金級”認證送出數篇論文，完成配置設定給您的三個需要在現場住宿完成的“社群項目”，并在畢業時具有三年的工作經驗。估計總學費為 29,000 美元左右，與從您所在地區其他學校獲得資訊安全碩士學位所需的費用相近。理學碩士學位最短可在兩年内獲得。SANS 有資格授予學位，但尚未經過鑒定。

其他認證

對于大多數技術安全領域而言，雖然 CISSP 和 GIAC 是兩種最有價值的認證，但以下一些與安全有關的其他認證也可能有幫助。

某些供應商提供與其産品安全有關的認證，比如與安全有關的 Microsoft 認證專家 (MCP) 考試、安全專業 Microsoft 認證系統工程師 (MCSE) 和 Cisco 的 CCSP（Cisco 認證安全專家）認證。如果您想要或預期在以後使用、管理或設計這些産品，則這些認證對您會有價值。如果您不想或預期不會在以後使用 Cisco 裝置，則獲得 Cisco 認證對您價值不大。

有時可能需要處于某些職位的安全專業人員了解并支援來自多個供應商的産品。如果您就是這樣的專業人員之一，您最好首先獲得一個“不特定于供應商”的認證（比如 CISSP），而不要從任何單一供應商獲得過多的認證。除非您已經對專門研究某一領域感興趣，否則建議您對兩種或兩種以上的作業系統或裝置達到半熟練的程度，而不要把時間僅僅用在對一種作業系統或裝置獲得很高程度的認證。

如果您在履歷中列出四種或四種以上的認證，則有些雇主可能會懷疑您将所有時間都花費在了應付認證考試中，他們會懷疑您的真才實學。獲得三個以上不同認證當然沒什麼問題，但建議在您的名下一次不要列出三個以上的認證。

請考慮從您的履歷中去除與目标工作不相關的任何認證，或去除您認為自己最不擅長的領域的那些認證。還應考慮去除不太需要的認證。例如，如果您已獲得 MCSE 認證，則建議您從履歷中去除 MCP。如果您正在積極擷取某一認證，則您應在履歷中列出這一事實。

CompTIA 至少提供兩種可能有價值的入門級認證（Linux+ 和 Security+），這兩種認證特别适合于無法獲得 (ISC)2 認證的情況。CompTIA A+ 認證與安全不相關，建議在申請與安全有關的職位時将其去除。

書籍

不管您是否對認證感興趣，總有各種各樣的方式可用來提高您的技能和經驗。如果您囊中羞澀，無法參加昂貴的教育訓練，自學也是一條出路。各種揭露黑客的書籍是一系列領域的極佳的入門教材。我也參與編寫了以下書籍：《Incident Response and Computer Forensics, Second Edition》（英文）；《Writing Secure Code, Second Edition》（英文）和《TCP/IP Illustrated, Volume 1》（英文）。如果企業防火牆是您所要面對的問題，請閱讀《Building Internet Firewalls, Second Edition》（英文）。關于網絡入侵檢測監控，請試試《Network Intrusion Detection, Third Edition》（英文）。(ISC)2 提供了一個最佳安全書籍清單，該清單也與 CISSP 學習相關。

對于資金緊張的人，其中許多書籍（包括 CISSP 學習指南）都可以在 Amazon 以低價購到八、九成新的二手貨。您當地的圖書館可能會有一些相關的書籍，或者您可以在 NetLibrary 或從下節引用的網站上查找免費的電子書籍。

網站

Microsoft TechNet 安全中心網站具有 Microsoft 免費提供的大量安全教育訓練和參考資訊。該網站還為喜歡聽而不喜歡讀的人提供了免費的網絡廣播。例如，請務必請檢視《Security Guidance》（英文）、《Learning Paths for Security》（英文）、《Threats and Countermeasures》（英文）、《Understanding Security》（英文）、《IT Pro Security Community》（英文）、《Small Business Security》（英文）和《Security MVP Article of the Month》（英文）。可以說琳琅滿目，應有盡有。

美國國家标準技術研究所 (NIST) 出版的《Special Publications》（英文）類似于介紹各種主題的免費教育訓練書籍，其最顯著之處在于介紹了現實中的大型企業是如何實作安全性的。您還可以在 SANS Reading Room 中閱讀有關安全的短文（由 GIAC 認證應試者編著)。美國國土安全部的 BuildSecurityIn 網站上有一些有關 Web 和程式設計安全的優秀文章，Open Web Application Security Project (OWASP) 網站也有。另請檢視 CERT/CC 的 論文和示範文稿。我自己的 SecurityAdmin.Info FAQ 網站上除了提供本文未列出的其他有用文章、網站和工具連結的長長清單外，也提供了大量安全資訊。

技術支援論壇

在網站上的 Internet 支援論壇和在 Usenet 新聞討論區中釋出内容，是獲得實際經驗的相對簡單的途徑。盡管這項工作沒有報酬，但它卻可以展示您在安全方面的天份和奉獻精神、您的職業道德和您的寫作技能。這也是新手了解最常見的實際問題（及這些問題的解決方法）的絕佳途徑。這些資訊可幫助您在求職面試中聰明地回答問題。僅僅通過認證往往并不能确切地告訴您如何解決當今最常見的問題。

找到一個與您感興趣的 IT 安全領域相關的技術支援論壇。首先不要張貼文章。“潛伏”下來，閱讀問題和建議。但要保持開放心态。對有關安全方面的“總是”和“從不”這樣的露骨說法要抱懷疑态度。一段時間以後，您可能就會了解并記住您以前所不知道的答案。之後，您即可以開始權威性地解答越來越多的問題。

在論壇中出名後再深入一步。一遍又一遍地回答同一個問題對任何人都不是一件有樂趣的事。如果論壇設有“常見問題”網站，則您可以主動幫助維護該頁面。如果沒有“常見問題”，您可以自己編寫一個并将其釋出到 Usenet，或建立您自己的有關該主題的常見問題網站。（FAQ on my site 隻是衆多常見問題示例網站中的一個。）您還可以向您的網站中添加部落格，然後添加有關目前事件、新熱點主題等的評論和文章。不管最終結果如何，請務必在履歷和求職面試中提及您的成果。

下面是幾個流行的安全支援論壇：

• Microsoft Newsgroups

• SecurityFocus

• Google Groups

• Insecure.org

• CastleCops Forums

• Broadband Reports

• Gibson Research Corporation (GRC)

• Firewall-Wizards

• Total Virus Defense Users Group

某些基于 Web 的論壇還可以通過電子郵件或 Usenet 新聞討論區進行通路。在通過後者進行通路的情況下，您會發現使用新聞閱讀器軟體（比如 Microsoft Outlook Express 或 Forte Free Agent）直接通路 news:// 伺服器，要比使用網頁來閱讀釋出内容更容易一些。

Microsoft MVP 獎

作為一種附加的鼓勵機制，如果您經常性地向免費的 Microsoft 技術支援論壇釋出可靠的建議，您可能有機會被提名獲得 Microsoft MVP（最有價值專家）獎。這無疑會給您的履歷增光添彩。Microsoft MVP 獎的其他好處包括教育機會、與 Microsoft 内部和外部的安全專業人員建立溝通的機會以及一些有趣的禮品。Microsoft MVP 還有機會撰寫并發表文章供成千上萬的人閱讀（比如您正在閱讀的這篇文章就是）。

MS MVP 獎用于獎勵過去的成就，并以此來支援使用者社群。Microsoft 通過這個項目來鼓勵使用者社群中的人堅持不懈地勤奮工作。不要擔心，MVP 獲獎之後并不需要在言行方面與以往不同。不會要求 MS MVP 成為推行 Microsoft 産品的布道者 — 即使成為布道者也不會有助于您獲得 MVP 提名。（如果您不相信，請閱讀下一節，我在其中包括了指向 Linux 啟動 CD 的連結。）

在 Microsoft 新聞討論區中釋出内容并不是唯一一種赢取 MS MVP 獎提名的方式。人們有時也會因為對其他非 Microsoft 社群（比如我在上文中提及的社群）做出了切實的貢獻，或因為其自己的網站或軟體，而獲得 MS MVP 提名。除 Microsoft 外，其他供應商也可能設有類似的獎勵項目。

軟體工具

在許多技術安全領域，對 TCP/IP 和至少一種（兩種更好）作業系統（比如 Microsoft Windows、Linux、BSD 或 Sun Microsystems 的 Solaris）有淵博的知識，可以使您獲得極佳的優勢。使用 Wireshark [Ethereal] 嗅探程式、Nessus 漏洞掃描程式、Snort 入侵檢測系統 (IDS) 軟體或者其他網絡安全工具 75 強中的一種或多種工具，是一個良好的開端。使用其中的某些工具可能會違反您的雇主或 Internet 服務提供商的規定，并可能導緻被解雇或斷線，是以請小心從事，先得到同意。掌握至少一種程式設計或腳本編寫語言（比如 C、C++、彙編語言、Perl、VBScript、JavaScript 和/或 HTML）會有幫助，但并非絕對必需。

如果您僅熟悉 Windows，則熟悉其他作業系統和 Windows 以外的安全工具的有效方法，是使用免費的 Linux 實時啟動 CD。下載下傳、刻錄然後插入啟動 CD，您的計算機很快就會運作 Linux 以及所有相關的實用程式，無需您安裝任何内容或進行任何故障排除。Helix 和 Knoppix-STD 是流行的兩種與安全相關的實時 CD，其他實時 CD 列于 Darknet 和 KNOPPIX 網站上。其中的某些CD光牒甚至專門适合于進行滲入測試或論證。其他 Linux CD光牒可以使速度緩慢的老式備用計算機成為防火牆。如果您不具備快速通路 Internet 連接配接的能力，則可以通過郵購方式購買這些 CD。另外還有可放在啟動軟碟中的較小的 Linux 分發版本。

實時啟動盤的優勢在于，您可以随身攜帶這些CD光牒，并可以在幾乎任何計算機上運作這些CD光牒，而基本上不會出現問題。但除非您受過專門訓練并已認真完成過許多任務，否則您會發現僅僅使用一個啟動 CD 很難超越“摸索練習”階段。如果您每天都要支援或使用該軟體，您可能需要了解更多資訊。在家裡通過 IDS 軟體對入侵作出響應或監視網絡通信量，與在工作中通過實時系統和資料執行此類操作完全不同。

專業化

您可能會考慮專門擔任某一特定的安全職位。安全專業職位多種多樣，您不可能成為所有職位的專家。

某些領域可能易于讓新手進入。例如，IDS 監控是一個安全領域，它需要使用入門級的人員來提供 24 小時監控，以便将監控成本控制在可承受的範圍内。專業從事 IDS 監控的資訊安全領域新手可以籍此進入該領域（假定您所在地區有從事 IDS 監控的公司）。如果願意從事一段時間的夜班工作，則将有助于您邁出走向成功的第一步，雖然在日班以外的時間進行學習和提高會更難。

專業從事計算機論證可能會有所幫助，因為對具有論證技能的人才似乎求大于供。不過，此類工作可能并不總是像在電視上看到的那樣有趣。

您不太可能找到滲入測試或系統破解方面的實習職位。這些工作很難找到。您可能會找到一些涉及漏洞評估掃描的入門級認證與鑒定 (C&A) 工作，特别是當您住在從事此項工作的聯邦政府或其他實體附近時。

求職

某些工作的招聘啟事并不會随處張貼，而隻在雇主的網站上釋出。若要找到安全方面的工作，您可能必須找出并通路您所在地區從事安全工作的雇主的網站。它們往往是大型組織（比如商務公司及聯邦和州政府實體），以及為這些大型組織從事安全工作的承包公司（比如我所供職的公司 Looking Glass Systems）。像聯邦承包商 100 強名單中前 25 家這樣的大型組織往往擁有更多的入門級安全職位，而且以後提高的機會也更多。另外，許多雇主還重視在大型環境中從事安全工作的經驗。

您也許還想在有安全職位的公司中擔任非安全方面的職位。許多雇主都不願意冒險聘用他們不了解的人員和沒有專職安全工作經驗的人員。不過，在對您的工作進行一年的考察後，這些雇主可能會很願意将您這位愛好安全工作的優秀員工從服務台或伺服器團隊調到安全工作崗位上。但要當心：如果您在一家新公司的求職面試中聲稱您想從事安全工作，您往往不會獲得這份工作。

面試

為進入 IT 安全領域而需要了解的知識中，有許多都與 IT 或安全無關。求職面試考官不僅會評判您的知識和想法，還會評判您表達思想的方式，以确定您的個性是否适合他們的團隊。

和生活中的許多其他事情一樣，求職面試也是一種遊戲。您必須知道如何玩好這個遊戲，這意味着您需要學習和鍛煉。可到您當地的圖書館中借閱一兩本有關履歷和求職面試的書籍。您每發出 100 份履歷，不要指望答複您的公司會超過 4 家，最初的幾次面試也要做好慘痛失敗的準備。如果您擔心這些事情，請發出更多的履歷，并與有見識且可以給您提供回報意見的人進行面試演練。

在面試中，誇誇其談和沉默寡言都不足取。務必要誠實，但要知道什麼事該說，什麼事不該說。承認不知道答案勝于信口開河和胡編亂造。可以對您過去的經曆稍加潤色，但如果您憑空說謊，多數人都會識破您的謊言，而不能識破謊言的雇主往往不适合從事嚴肅的安全工作。如果您加入了這樣的一個團隊，您會發現團隊中可能還會雇用其他不合格的人員，最終您将不得不代勞他們的份内工作，或者所學甚少，甚或在公司面臨倒閉時遭到解雇。

把您要問的有關工作、團隊和公司的問題列成一個清單。知道何時和如何提到錢的事，并避免先提出金額。在我面試的人當中，我很驚訝地發現似乎許多人都不知道這些原則。

感到困惑嗎？好的。由于篇幅有限，我不可能對您需要了解的事宜面面俱到。我希望至少已經讓您明白此處所讨論的問題确實存在，并讓您産生了探尋更多細節的興趣。

和大多數其他技能一樣，資訊安全工作并非隻有少數高人才會的秘籍。如果您閱讀安全方面的書籍、從事安全方面的工作并樂此不疲，您就會成為行家裡手，并可以将此一技之長變為職業生涯。

順便說一句，閱讀本文僅為第 1 步，是否要了解其餘的 91 步取決于您了！