編者按：網(wǎng)絡(luò)安全，也稱為計(jì)算機(jī)安全或IT安全，是保護(hù)計(jì)算機(jī)系統(tǒng)免受盜竊和破壞其硬件、軟件、信息及服務(wù)的中斷或誤導(dǎo)。網(wǎng)絡(luò)安全包括控制對(duì)硬件的物理訪問，以及防止可能通過網(wǎng)絡(luò)訪問，數(shù)據(jù)和代碼注入引起的危害。由于越來越多的智能設(shè)備（手機(jī)、電視和其他設(shè)備）依賴計(jì)算機(jī)系統(tǒng)和互聯(lián)網(wǎng)、無線網(wǎng)絡(luò)（如藍(lán)牙和Wi-Fi）和物聯(lián)網(wǎng)?，F(xiàn)在，網(wǎng)絡(luò)安全事件頻發(fā)、網(wǎng)絡(luò)安全也成為人們?cè)絹碓绞熘⑶抑匾暤念I(lǐng)域。本文編譯自Marc Chapple Linkedin的原題為“Exploring a Career in Cybersecurity? Check out this Q&A with Mike Chapple”的文章。

網(wǎng)絡(luò)安全問題已經(jīng)成為人們時(shí)常關(guān)注的焦點(diǎn)，每天你都可能看到相關(guān)的新聞報(bào)道。這個(gè)行業(yè)最近也對(duì)熟練的專業(yè)人員出現(xiàn)大量的需求。根據(jù)《網(wǎng)絡(luò)安全風(fēng)險(xiǎn)投資公司2017年職業(yè)報(bào)告》的數(shù)據(jù)，網(wǎng)絡(luò)安全行業(yè)目前的失業(yè)率為0％，網(wǎng)絡(luò)犯罪方面的就業(yè)人數(shù)在未來五年將增加兩倍以上。

如果你正琢磨著在自己的職業(yè)發(fā)展，想進(jìn)入網(wǎng)絡(luò)安全領(lǐng)域，那么現(xiàn)在就是黃金時(shí)機(jī)。雖然機(jī)會(huì)大好，前景光明，但你可能覺得很棘手，不知怎么著手準(zhǔn)備，怎么進(jìn)入這個(gè)行業(yè)。別擔(dān)心，業(yè)內(nèi)資深人士Marc Chapple已經(jīng)在信息安全領(lǐng)域從業(yè)20年，目前是美國圣母大學(xué)信息技術(shù)服務(wù)交付的高級(jí)主管。他負(fù)責(zé)監(jiān)督信息技術(shù)辦公室的信息安全，IT架構(gòu)，項(xiàng)目管理，戰(zhàn)略規(guī)劃和IT合規(guī)性功能。麥克還擔(dān)任大學(xué)計(jì)算機(jī)應(yīng)用系的助理教授，教授信息安全本科的課程。他將為你解答一些最常見的問題，包括他怎么看待專業(yè)證書，以及IT行業(yè)技術(shù)背景的必要性。

問：你是如何走上網(wǎng)絡(luò)安全的職業(yè)道路的？

Mike Chapple：我在讀計(jì)算機(jī)專業(yè)本科生的時(shí)候，就開始自己的職業(yè)生涯了。當(dāng)時(shí)我讀了《Unix和Internet安全實(shí)踐指南》（Practical Unix & Internet Security）這本書，作者是Gene Spafford和Simson Garfinkel. 。那時(shí)是20世紀(jì)90年代初，網(wǎng)絡(luò)安全是一個(gè)非常讓人覺得晦澀生僻的領(lǐng)域，但我被深深吸引，非常著迷，于是我繼續(xù)讀了研究生，并在這個(gè)新興的領(lǐng)域開始我的事業(yè)。我在國家安監(jiān)局做了幾年信息安全研究員，又在私營企業(yè)工作了一段時(shí)間，之后，在過去十二年里一直在學(xué)術(shù)界。

有25萬的Unix系統(tǒng)管理員和用戶認(rèn)為這本經(jīng)典書的早期版本是幫助他們保護(hù)其系統(tǒng)免受外部和內(nèi)部攻擊的不可缺少的參考書。

問：你已經(jīng)這個(gè)領(lǐng)域有整整20年的實(shí)戰(zhàn)經(jīng)驗(yàn)了。在這段時(shí)間里，你看到的最大的變化是什么？

MC：最明顯的變化是，這個(gè)晦澀的領(lǐng)域已經(jīng)家喻戶曉了。我剛開始工作的時(shí)候，“正常人”不知道網(wǎng)絡(luò)安全是什么，對(duì)這個(gè)詞完全沒概念?，F(xiàn)在網(wǎng)絡(luò)安全事件常常登上報(bào)紙頭條，一般公眾比十年前的人們要更有安全意識(shí)。這對(duì)網(wǎng)絡(luò)安全專業(yè)人士來說是一件好事，因?yàn)槲覀兊墓ぷ鞲菀组_展。我們不再需要絞盡腦汁地說服人們，說明保障網(wǎng)絡(luò)安全對(duì)企業(yè)的重要性、迫切性。我們只需要讓他們了解如何保持自己和企業(yè)的安全。

問：我們來談?wù)剬I(yè)認(rèn)證。獲得信息安全從業(yè)者認(rèn)證在網(wǎng)絡(luò)安全領(lǐng)域重要嗎？

MC：拿到證書、獲得專業(yè)認(rèn)證，對(duì)于發(fā)展自己的職業(yè)生涯是很重要的。原因有很多。首先，他們通常是許多工作的“門檻”，也就是基本要求。很難想象哪個(gè)首席信息安全官（CISO）會(huì)沒有CISSP證書?；旧鲜沁@個(gè)領(lǐng)域高級(jí)職位的鋪路石，一張“入場券”。還有很多政府工作崗位，也需要一系列網(wǎng)絡(luò)安全專業(yè)的專業(yè)認(rèn)證。第二，即使雇主在專業(yè)認(rèn)證方面沒有明確的要求，如果你有認(rèn)證，就向潛在雇主發(fā)出一個(gè)信號(hào)，表明你對(duì)自己的職業(yè)態(tài)度是認(rèn)真的，并會(huì)努力加入到世界網(wǎng)絡(luò)安全的建設(shè)中來。這個(gè)專業(yè)需要承諾和奉獻(xiàn)，需要付出努力才能得到認(rèn)證，需要學(xué)習(xí)的內(nèi)容也超出正常工作所需的范圍。獲得專業(yè)認(rèn)證，證明你對(duì)自己職業(yè)生涯的態(tài)度是認(rèn)真的。

問：現(xiàn)在哪些證書最重要？你覺得哪些專業(yè)認(rèn)證會(huì)成為基本的要求？

MC：有兩個(gè)不同的認(rèn)證類別。有比較廣泛的網(wǎng)絡(luò)安全專業(yè)證書，如Security+和CISSP（國際注冊(cè)信息系統(tǒng)安全專家）認(rèn)證，這兩者證明了從業(yè)人員對(duì)該領(lǐng)域有廣泛的了解。就像會(huì)計(jì)師的注冊(cè)會(huì)計(jì)師認(rèn)證那樣。還有一類是更專業(yè)的技術(shù)認(rèn)證，如CompTIA CSA+和CEH（道德黑客）的認(rèn)證。這些證書展示了從業(yè)人員的技術(shù)深度和專業(yè)化程度。我認(rèn)為，隨著網(wǎng)絡(luò)安全領(lǐng)域不斷發(fā)展，我們會(huì)看到對(duì)從業(yè)人員這兩個(gè)類別的證書有越來越多的要求。（文末有介紹）

問：我們大家都知道，網(wǎng)絡(luò)安全領(lǐng)域有許多崗位虛位以待，崗位要求和從業(yè)者的技能差距預(yù)計(jì)將持續(xù)到2021年。怎樣才能填補(bǔ)技能差距的鴻溝呢？

MC：崗位要求和從業(yè)者的技能差距是真實(shí)存在的。盡管全國大部分地區(qū)就業(yè)狀況不樂觀，但據(jù)美國勞工統(tǒng)計(jì)局的數(shù)據(jù)，在信息安全領(lǐng)域工作崗位數(shù)量一直在增長，增長率達(dá)到18％，預(yù)計(jì)會(huì)持續(xù)到2024年。這比一般的計(jì)算機(jī)專業(yè)工作崗位數(shù)量的增長高出50％，也達(dá)到所有其他領(lǐng)域的就業(yè)增長率兩倍以上。如果我們要滿足這個(gè)領(lǐng)域?qū)θ瞬诺男枨?，就需要在未來幾年里，讓更多的人進(jìn)入網(wǎng)絡(luò)安全專業(yè)。這也意味著我們需要在培訓(xùn)和專業(yè)發(fā)展方面進(jìn)行大量投資。

問：我們也會(huì)看到，多學(xué)科背景或非技術(shù)背景的人才進(jìn)入網(wǎng)絡(luò)安全領(lǐng)域。這種現(xiàn)象對(duì)網(wǎng)絡(luò)安全領(lǐng)域的發(fā)展有哪些優(yōu)點(diǎn)和缺點(diǎn)？

MC：網(wǎng)絡(luò)安全領(lǐng)域吸引了許多不同背景的人才，在我看來，擁有全面背景的人往往會(huì)取得成功。特別是在IT領(lǐng)域具有豐富經(jīng)驗(yàn)的人才，他們知識(shí)面廣，專業(yè)化程度深，這對(duì)于他們?cè)诎踩I(lǐng)域的成功至關(guān)重要。網(wǎng)絡(luò)安全認(rèn)證證書的范圍很”寬泛“，各種證書都有。要在這個(gè)領(lǐng)域取得成功，從業(yè)人員需要對(duì)整個(gè)領(lǐng)域都有一定的了解：需要了解網(wǎng)絡(luò)，Web應(yīng)用程序，數(shù)據(jù)庫，操作系統(tǒng)，加密技術(shù)以及許多其他技術(shù)。

關(guān)于網(wǎng)絡(luò)安全專業(yè)的證書*

CompTIA（美國計(jì)算機(jī)行業(yè)協(xié)會(huì)）有2個(gè)安全相關(guān)的認(rèn)證，一個(gè)是偏重技術(shù)與操作層面的Security+（信息安全技術(shù)專業(yè)能力的國際認(rèn)證），包括系統(tǒng)、主機(jī)、應(yīng)用程序、數(shù)據(jù)和網(wǎng)絡(luò)等基礎(chǔ)性的安全問題，基本的加密方法和評(píng)估審計(jì)知識(shí)。另一個(gè)是基于Security+（但并不強(qiáng)制要求）的CASP認(rèn)證，培訓(xùn)內(nèi)容延展到企業(yè)所有的安全問題，并增加了風(fēng)險(xiǎn)管理以及把安全與計(jì)算機(jī)通信、業(yè)務(wù)通信和業(yè)務(wù)需求與整合在一起。隨著云計(jì)算的發(fā)展，即便是那些把IT服務(wù)外包到云提供商的企業(yè)，也非常需要重視相關(guān)的安全問題。因此，安全認(rèn)證領(lǐng)域也會(huì)是一個(gè)長久的需求。

CompTIA Cybersecurity Analyst (CSA+)，網(wǎng)絡(luò)安全分析專家認(rèn)證，通過網(wǎng)絡(luò)行為分析全面提高系統(tǒng)信息安全防護(hù)水平。CSA+認(rèn)證驗(yàn)證了證書擁有者的網(wǎng)絡(luò)安全知識(shí)和網(wǎng)絡(luò)行為分析能力，包括配置和使用威脅檢測工具，執(zhí)行數(shù)據(jù)分析、漏洞分析、威脅和系統(tǒng)風(fēng)險(xiǎn)管理，以及企業(yè)級(jí)應(yīng)用程序和系統(tǒng)的安全與防護(hù)。

(ISC)2的CISSP認(rèn)證也是一個(gè)安全認(rèn)證，而且是被公認(rèn)為最具影響力的安全認(rèn)證之一，隸屬于廠商中立的非營利國際安全認(rèn)證組織(ISC)2。該組織成立于1988年，1994年開始CISSP認(rèn)證。許多國家的機(jī)構(gòu)和政府都需要其人員具備這個(gè)認(rèn)證，因而受到業(yè)內(nèi)從業(yè)人員的追捧。由于CISSP較傾向于安全管理，因此申請(qǐng)人員需要具備4到5年的安全從業(yè)經(jīng)驗(yàn)。

CEH（Certificated Ethical Hacker）是由國際電子商務(wù)顧問委員會(huì)（EC-Council）提供的網(wǎng)絡(luò)安全認(rèn)證。被業(yè)界稱之為道德駭客（正派黑客）認(rèn)證。

原文鏈接：http://www.linkedin.com/pulse/exploring-career-cybersecurity-check-out-qa-mike-chapple-alyssa-pratt

編譯組出品。編輯：郝鵬程