作弊小纸条：如何成为一名网络安全专家

如果您有兴趣寻求网络安全方面的职业，却又不知道从哪里开始，这里有一些关于薪资、就业市场、技能和常见面试问题的指导。

由于网络犯罪分子变得越来越老到，几乎每天都会有重大安全事件的消息占据新闻头条，网络安全专业人士的需求量很大：思科发现，目前全球有100万个空缺的网络安全工作职位。根据Center for Cyber Safety and Education and ISC(2)的预测，到2022年，这一数字预计将增至180万个。

IBM Security和安全研究中心Ponemon Institute都表示，担负起这些角色的员工在企业中发挥着重要的作用，因为现在全球数据泄露的平均代价为362万美元。

网络安全工作也可以获得很高的薪水。根据US Bureau of Labor Statistics（美国劳工统计局）的统计，美国的信息安全分析师的年薪中位数为92,600美元，而且在旧金山和纽约等城市的薪酬明显更高一筹。

受过培训的网络专业人才短缺导致许多组织开始寻找非传统的求职者来填补这些空缺。为了帮助对这一领域有兴趣的人更好地了解如何开始网络安全方面的职业生涯，我们将最重要的细节和资源汇集在一起​​。

请参看Tech Pro的研究报告：Research: Defenses, response plans, and greatest concerns about cybersecurity in an IoT and mobile world （物联网和移动世界的网络安全相关研究报告）

内容提要

• 为什么市场对网络安全专业人士的需求在不断增加？网络犯罪在过去几年中呈现出爆炸的态势，主要是WannaCry和Petya之类的勒索软件攻击使企业的数据面临风险。为了保护他们的信息和他们的客户，各行各业的企业都正在寻找网络专业人士来保护他们的网络。
• 网络安全相关的各种工作都是什么角色？网络安全工作涵盖了多种不同的角色，包括渗透测试员、首席信息安全官（CISO）、安全工程师、事件响应者、安全软件开发人员、安全审计师或安全顾问。
• 网络安全方面的工作需要什么技能？网络安全方面的工作所需的技能因职位和公司而异，但通常可能包括渗透测试、风险分析和安全评估。包括Certified
  in Risk and Information Systems Control (CRISC)、Certified Information
  Security Manager (CISM)和Certified Information Systems Security
  Professional (CISSP)等证书也是有需求的，并且可以让你在这个领域获得更高的薪酬。
• 网络安全工作最热门的市场在哪里？包括苹果、洛克希德.马丁、通用汽车、Capital One和思科在内的顶尖公司都在招募网络安全专业人士。卫生保健、教育和政府等行业最有可能遭受网络攻击，这可能会导致这些行业内IT安全工作岗位的增加。
• 网络安全专业人士的平均工资是多少？网络安全专业人士的平均工资取决于职位。例如，据美国劳工统计局的统计，信息安全分析师年薪的中位数为92,600美元。同时，根据Salary.com的统计，首席信息安全官的年薪中位数为212,462美元。某些城市的薪酬明显较高，例如旧金山和纽约。
• 网络安全方面工作典型的面试问题有哪些？根据Forrester分析师Jeff Pollard的说法，问题可能会因求职的具体的公司和职位而异。对于入门阶段和职业生涯比较早期的职位来说，应该会有更多的技术性问题。等到你的职位较高的时候，问题可能会更多地涉及领导力、执行计划、解决冲突和预算。
• 在哪里可以找到网络安全职业资源？ISACA、ISC（2）、ISSA和The SANS Institute是一些相关的国内及国际组织，您可以在其中查找有关该行业的信息以及认证和培训选项。一些大学和在线课程还提供与网络安全相关的学位、认证和准备课程。

参看：All of TechRepublic's smart person's guides

其他的一些资源：

• Report: The top 5 cybersecurity threats of 2017(TechRepublic)
• Special report: Cybersecurity in an IoT and mobile world (free PDF)(TechRepublic)
• Essential reading for IT leaders: 10 books on cybersecurity (free PDF)(TechRepublic)
• Defending against cyberwar: How the cybersecurity elite are working to prevent a digital apocalypse (free PDF)(TechRepublic)
• Cybercrime and cyberwar: A spotter's guide to the groups that are out to get you(ZDNet)

为什么对网络安全专业人士的需求在增加？

网络犯罪在过去几年中呈现出爆发式增长的态势，WannaCry和Petya之类的勒索软件攻击使企业的数据面临风险。物联网的兴起也带来了新的威胁。为了保护他们的信息和他们的客户，各行各业的企业都正在寻找网络专业人士来保护他们的网络。

然而，许多企业在填补这些职位空缺的时候遇到了困难：根据ISACA的报告，55％的美国组织报告称空缺的网络职位至少需要三个月才能填补，32％的受访者表示需要六个月或更长时间，甚至有27％的公司表示他们根本无法填补空缺的网络安全职位。

JCPenney现在的首席信息安全官Lauren
Heyndrickx表示，网络安全和其他的计算机科学相比，仍然是一个相对比较新的领域，所以缺乏认知是人才短缺的原因之一。她补充表示，对于网络安全工作的实际内容的误解是非常常见的，这可能是比较少有女性及少数群体进入这个领域的原因之一。然而，德雷克塞尔大学（Drexel
University）计算机科学副教授Rachel
Greenstadt表示，过去几年来，计算机科学课程的入学率大幅增加，许多学校都在增加网络安全专业。

其他的一些资源：

• 5 reasons your company can't hire a cybersecurity professional, and what you can do to fix it(TechRepublic)
• Cybersecurity spotlight: The critical labor shortage(Tech Pro Research)
• Report: 57% of businesses can't find enough IT security pros(TechRepublic)
• Report: Despite growing security threats, CXOs struggle to find cybersecurity professionals(TechRepublic)
• Cybersecurity: Two-thirds of CIOs say threats increasing, cite growth of ransomware(TechRepublic)
• These women want to fix cybersecurity's massive gender gap(CNET)
• International Women's Day: A plea to the infosec community(ZDNet)
• Gender gap: Why information security needs more women(TechRepublic)
• 16 tech jobs with the largest gender gaps(TechRepublic)

网络安全相关的各种工作都是什么角色？

网络安全工作涵盖了多种不同的角色，具有各种工作职能，具体取决于他们的头衔以及每家公司的具体需求。

所需的角色包括渗透测试员，负责进入系统或网络，找到漏洞，并将其报告给组织或自己进行修补；网络安全工程师，通常会是拥有开发技术背景的人担任，负责深入代码并找到缺陷，以及如何加强组织的安全防护；安全软件开发人员负责在设计和开发过程中将安全性集成到应用软件之中。

计算机取证专家从计算机、网络和数据存储设备中进行安全事件调查、访问并分析证据。安全顾问作为顾问，根据每家公司面临的需求和威胁，设计和实施尽可能最强大的安全解决方案。

在这个链条的顶端，首席信息安全官们掌握着公司的网络安全策略，并必须不断适应对最新威胁的战斗。

其他的一些资源：

• Rise of the CISO: Why the C suite needs a security chief(TechRepublic)
• Job description: Identity access management specialist(Tech Pro Research)
• Job description: Computer forensic analyst(Tech Pro Research)
• Job description: Information security analyst(Tech Pro Research)
• Job description: Security architect(Tech Pro Research)

网络安全方面的工作需要什么技能？

网络安全方面的工作所需的技能因职位和公司而异。一般来说，网络安全工作人员负责进行渗透测试（测试计算机系统、网络或网络应用程序以查找攻击者可能利用的漏洞）、风险分析（定义和分析企业网络威胁的工作，让技术相关的目标与业务目标保持一致）和安全评估（确定信息系统或组织当前安全状态并提供改进建议的工作）。

参看：How to build a successful career in cybersecurity (free PDF)(TechRepublic)

网络安全认证会教授这些内容和其他有价值的工作技能，而且通常会帮助你得到更高的工资。目前，对通过Certified in Risk and
Information Systems Control（CRISC）、Certified Information Security
Manager（CISM）和Certified Information Systems Security
Professional（CISSP）之类认证的人士的需求非常旺盛。

Pollard表示，网络安全工作不一定需要开发技能或学位。Pollard表示：“您不需要在特定领域获得学士学位，才能在安全方面做得很好；实际上，您根本不一定需要（学位）。”他表示，“承认网络安全是一种技能，并教会人们企业安全的工作，这意味着将其视为一种学徒制或培训计划。”

网络安全是一个跨学科的领域，需要技术、人类行为、金融、风险、法律和法规方面的知识。网络安全领域中的很多人都是从其他一些具备这些技能的职业进入该领域的，并将其用于网络之中。

Pollard表示，“如果你有安全技能，你就会有很多的机会。”他表示，“如果你对安全感兴趣，也许只有一个非传统的背景，但是你愿意学习，机会也会从这个角度对你开放。”

其他的一些资源：

• Rise of the 'accidental' cybersecurity professional(TechRepublic)
• Cybersecurity specialisation status up for grabs with new ACS accreditation program(ZDNet)
• Ethical hackers: How hiring white hats can help defend your organisation against the bad guys(TechRepublic)
• The next generation of cybersecurity professionals is being created by the Girl Scouts(TechRepublic)
• 10 bad habits cybersecurity professionals must break(TechRepublic)
• Information Security Certification Training Bundle(TechRepublic Academy)
• Learn Website Hacking and Penetration Testing From Scratch(TechRepublic Academy)

网络安全工作最热门的市场在哪里？

世界各地几乎所有行业的高管都在想办法提升自己的安全水平，并聘请专业人士来帮助他们。根据Indeed的报告显示，包括苹果、洛克希德.马丁、通用汽车、Capital
One、思科、英特尔和波音在内的大型企业在2016年10月至2016年12月期间至少招聘了20个网络安全职位。

卫生保健、教育和政府等行业最有可能遭受网络攻击，这些领域也很有可能会增加网络安全的岗位。

专家表示，对网络安全专业人员的需求在未来几年将不断增加。Center for Cyber Safety and Education and ISC(2)表示，到2022年，这个领域将有180万个待招聘岗位，而在2015年的预计是到2020年，待招聘的岗位将为150万个。

ISC（2）的首席运营官Wesley Simpson表示，未来几年对进入这个领域的年轻人来说尤为重要。目前，只有7％的网络安全人员不满29岁，13％处于30至34岁之间。网络专业人员的平均年龄为42岁。

Simpson表示：“在接下来的十年中，我们将有大量的网络专业人士开始退休。”他表示，“我们没有一个好的计划来回填那些大量离开这个行业的人造成的空缺。我们需要能够教育并提高网络安全各个方面的意识，并发出这样一个消息，无论你是否拥有一个技术学位，这是一个值得人们进入的、伟大的、多样化并且非常有利可图的职业。”

其他的一些资源：

• Help wanted: Universities double down on security to help fill 1 million open jobs(TechRepublic)
• Top 10 companies hiring cybersecurity professionals(TechRepublic)
• The world needs more cybersecurity pros, but millennials aren't interested in the field(TechRepublic)
• The 3 most in-demand cybersecurity jobs of 2017(TechRepublic)
• Cyber Soldiers: White-hat hackers(CBS News)
• One in three cybersecurity job openings go begging, survey finds(ZDNet)
• Become an Ethical Hacker Bonus Bundle(TechRepublic Academy)

网络安全专业人士的平均工资是多少？

网络安全专业人员的平均工资取决于职位和公司。例如，据美国劳工统计局的统计，信息安全分析师年薪的中位数为92,600美元。同时，根据Salary.com的统计，首席信息安全官的年薪中位数为212,462美元。某些城市的工资水平明显较高，例如旧金山和纽约。

根据Pollard的说法，对熟练网络安全专业人员的需求使得该领域成为“卖方市场”。职介公司Mondo的高级招聘主管Stephen Zafarino表示，和以往相比，熟练的求职者能够更好地协商薪水、福利以及附带福利，例如远程工作等。

其他的一些资源：

• Top 10 hottest IT jobs for 2017(TechRepublic)
• The 10 best tech jobs that pay the highest salaries(TechRepublic)
• CIOs expect to increase hiring in 2017, here are the tech jobs that top their list(TechRepublic)

网络安全方面工作典型的面试问题有哪些？

ISC（2）的安全负责人Charles
Gaughf表示，雇用安全专业人员往往是一项艰巨的任务。Gaughf表示，“根据您的组织结构，您可能要寻找一种非常具体的知识或技能，但最有可能需要的是能够熟练掌握各种技术的、能干的专业人员，他应该动力十足，具有旺盛的好奇心并非常诚实。”

Gaughf表示，“这就是为什么说抛出一些能够确定这些特质的问题是个好主意。抛出一些能够让求职者思考的问题也是个好主意，你知道这些问题在面试之前没有被练习过。”

问题可能会因求职的具体的公司和职位而异。对于入门阶段和职业生涯比较早期的职位来说，应该会有更多的技术性问题。等到你的职位较高的时候，问题可能会更多地涉及领导力、执行计划、解决冲突和预算。

测试求职者现场思考能力的开放性问题可能会是“你如何构建僵尸网络？”Gaughf表示，这会让他们制定出如何从头开始感染、控制和协调僵尸网络——立刻让他们站在攻击者的角度。然后他们可能被问及“你如何防御僵尸网络？”，获得另一个角度的观点。

Pollard表示，在最初的面试中，求职者也可以想到会遇到一些技术问题，例如：

• 恶意软件可以躲避防病毒产品检测的一些方法是什么？
• 什么是跨站点脚本（XSS）攻击，它是如何工作的？
• 除了XSS之外，还有哪些网络应用程序攻击的例子？
• 什么是中间人攻击，可以如何进行防范？
• TCP和UDP有什么区别？什么样的用例更适合UDP？

Gaughf说，求职者也应该预料到可能会被问到确定他们是否能够跟上行业发展的问题，例如：

• 你是否属于任何本地安全组？
• 你如何跟踪网络安全新闻？
• 你听什么安全播客？

在初次面试之后，求职者经常要进行完成工作的模拟练习，可能很简单也可能比较复杂，这取决于要扮演的角色。相比于能够完美完成任务的求职者，雇主通常要寻找是可以解释其决策过程的人。

Pollard表示，“我可能会提供一些日志数据，并提出有关数据内容的问题，我可能会从系统中提取捕捉到的取证信息，要求他们完成一点的调查工作并回答关于攻击者详细信息的问题。”Pollard表示，“如果这个人应聘的是开发人员，我可能会要求他们编写一些可以通过数据解析的代码。如果这个人要成为一名渗透测试者，我可能会给他们一个基本的网络应用程序，并要求他们进行攻击。”

在此之后，求职者可能会进入最后面试来解释他们的解决方案、推理和方法。

Pollard表示，“对于双方来说——企业和求职者——这是都是很多的工作。”他表示，“这不符合传统的面试安排，您可以通过一堆简历挑选一些人来面试，然后依靠30-45分钟内回答的一系列问题，根据答案、本能和情感的综合衡量决定让一些人进入下一轮。”

其他的一些资源：

• Five traits employers should look for when hiring cyber security professionals(TechRepublic)
• Landing that infosec job: These experts share their best career advice(ZDNet)
• How to answer tough interview questions: 8 tips(TechRepublic)
• 8 ways to be less nervous about your next job interview(TechRepublic)
• Coding school graduates: Are they worth hiring?(TechRepublic)
• Google for Jobs is ready to get you hired(TechRepublic)

在哪里可以找到网络安全职业资源？

存在着一些针对网络安全专业人士以及对这个领域感兴趣的人的国内和国际组织。ISACA、ISC(2)、ISSA和The SANS Institute都提供行业相关的信息，以及研究和认证培训计划选项。

你可以联系你所在组织中目前负责网络安全的人，看看是否可以跟随他们或者成为他们的徒弟。

一些大学和在线课程也提供与网络安全相关的学位和认证。

其他的一些资源：

• Five essential cybersecurity audiobooks(TechRepublic)
• Five essential cybersecurity podcasts for IT professionals(TechRepublic)
• Learn cybersecurity basics with these essential YouTube videos(TechRepublic)
• Essential follows: Information security experts on Twitter(TechRepublic)
• New training platform uses real-world situations to train cybersecurity experts faster(TechRepublic)
• Women in cybersecurity: IBM wants to send you to a hacker conference for free(TechRepublic)

原文发布时间为： 2017年9月28日

本文作者：杨昀煦

本文来自合作伙伴至顶网，了解相关信息可以关注至顶网。