网络安全工作是一个持续要开展的工作。为了应对不断变化的安全挑战,安全从业者应具备创新思维和解决问题的能力。
安全从业人员有甲方有乙方,有善攻有善守的。图3-3定义了安全从业人员工作分类,包括5个大类及若干小类。
从技能分类映射成日常组织工作岗位角色分工,往往是一个一对多或多对一的管理。例如,网络安全运营分类中,平时我们见到最多的是网络安全运维工程师,这是一个分类但有多个岗位角色的关系。宏观来看,网络安全运营包括网络安全运维,是整个网络安全生命周期中的关键步骤,在信息、信息系统、信息基础设施和网络投入使用后,以安全框架和策略为基础,借助成熟的运维管理体系、安全人员和工具,采用高效的技术手段,对系统和网络进行监测和维护,以确保其安全运行。网络安全运营具体到日常的工作主要包括:网络设备、安全设备、主机、数据库、中间件等的漏洞检查和修复,配置核查和变更等。
从组织的工作岗位看,可以考虑一个岗位需要哪些技能,将岗位类别和工作任务结合起来,构成一个岗位的技能要求。表3-1是安全工作类别和岗位角色的组合关系。
表3-1 安全工作类别和岗位角色的组合关系
(续)
表3-1中标注为【1】的系统安全需求分析任务包括合规需求分析、持续运行需求分析、数据安全需求分析等,需要的知识点、技能在本书中都有覆盖。
以上提到了网络安全领域常见的岗位角色,包括攻击和防御方面的渗透测试人员和安全运营人员,这两者一矛一盾,相得益彰。随着技术的不断发展和威胁的不断变化,表3-1还会不断更新和扩展。
3.2.1.1 分类矩阵图
《能力要求》中提到,随着网络化、数字化、智能化趋势加剧,网络安全产业在规划与设计、建设与实施、运行与维护、应急与防御等各阶段都需要采用安全技术、产品和服务,围绕安全合规与管理,执行“一横四纵”全生命周期的(即“四阶段一整体”)组织活动。图3-4为网络安全的全生命周期架构。
通过网络安全矩阵图来规划工作岗位角色,我们可以明确不同类别从业人员的职责和权限,以便更好地进行任务分配和协作,同时可以优化网络安全人员的配置,合理分配不同职能、技能和经验的从业人员,提高综合战斗能力。
图3-3 安全从业人员工作分类
3.2.1.2 业内人士建议
网络安全是一项很不容易的工作,想从事这项工作,必须手勤、嘴勤、脑勤,绝对不能有“等、靠、要”的思想。总想遇到伯乐再出发,很难成为千里马。行业人士根据自身体会给出的安全从业者技术和管理能力划分如图3-5所示。
从笔者自身经验出发,认同先从图3-5中C类人员的做起,慢慢承担起B类人员的工作,之后承担D类人员的工作。
图3-4 网络安全的全生命周期架构
图3-5 网络安全工作岗位分类
注:A、B、C、D表示工作岗位对应所需最低技能要求,并非该岗位实际技能要求
由于信息安全团队的目标是保护政企的信息资产和系统,很多人认为信息安全团队的日常工作就是技术工具使用,但实际上80%以上时间是和人打交道。除了从业者个人的动机,团队的文化也是重要的影响因素之一。二者结合能将团队成员的个人目标与团队的目标联系在一起,激发团队成员的主观能动性,创造出更大的价值,实现团队整体合力最大化。
一家安全运营良好的组织,应当遵守《中华人民共和国网络安全法》第二十一条第一款的要求:制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。
对于安全从业人员来说,除了遵守法规,守住底线始终是从业第一原则。有些安全从业人员可能在路上太久,忘记了自己的初心,为了超常规晋升,追求财务自由,往往忽视甚至丢弃了很多更宝贵的东西,比如健康、家庭、品德乃至做人的底线和原则。
作为一名信息安全从业人员,必须恪守职责、诚实守信、遵纪守法,自觉维护国家信息安全、网络社会安全及公众信息安全。
前面已经提到,政企的业务规模和安全能力之间存在一定关系。大型企业尤其是集团的规模已经非常庞大,无论从法律还是商业利益角度,都要求加强安全防护。大多数拥有高水平安全技能的专业人士最终选择加入这些行业领先的企业,因为只有这些企业才有足够的财力来雇佣他们。同时,大企业的门槛也非常高。例如,像360、腾讯、阿里巴巴、华为等公司不乏在国际级网络安全大赛中获奖甚至蝉联前三的顶尖人才。弱水三千只取一瓢,作为网络安全负责人或首席信息安全官(Chief Information Security Officer,CISO),要懂得自身公司的规模并选择满足需求的人才。
· 小型企业的人才选型:负责人以熟悉安全运维的人才为主,具体所需的安全知识体系可以参考第4章小型企业的典型网络拓扑。
· 中型企业的人才选型:负责人以精通安全技术和安全运营的人才为主,具体所需的安全知识体系可以参考第4章中型企业的典型网络拓扑。
· 大型企业的人才选型:负责人以掌握实践方法论的人才为主,最需要整体管理能力、行业资深背景,具体所需的安全知识体系可以参考第4章大型企业的典型网络拓扑。
小型企业的网络拓扑往往非常简单,如图3-6所示。不同于大中型企业对员工工作经验都有一定的要求,例如在Web安全领域,需要具备开发和编程背景,小型企业要求员工知识相对简单,更注重实际操作能力,只要求掌握基础网络和安全知识即可。人才能力要求雷达图如图3-7所示。
然而,政企作为甲方,安全厂商作为乙方,对人才的矩阵要求也是不一样的。甲方通常会关注业务安全问题,挑选匹配的供应商,从网络安全、服务器安全到终端安全,都得知道一些。乙方通常有很多安全产品研发人员,他们会比较关注垂直领域,比如在一个杀毒软件公司工作可能对DDoS就不需要那么多了解了。
图3-6 小型企业的网络拓扑
图3-7 人才能力要求雷达图