IT人才需求最旺盛的領(lǐng)域中，安全獨(dú)樹(shù)一幟。據(jù)統(tǒng)計(jì)，2014到2015年，美國(guó)的網(wǎng)絡(luò)安全職位數(shù)量激增了40%+，有50,000個(gè)空缺，之前1年的增長(zhǎng)率是16.8%。

[[179434]]

安全崗位比技術(shù)領(lǐng)域其他方面的增長(zhǎng)速度要快得多，雖然這些其他技術(shù)領(lǐng)域同樣增長(zhǎng)很快。同時(shí)，(ISC)²2015年的調(diào)查發(fā)現(xiàn)，62%的受訪者稱缺乏足夠的安全人員，45%找不到適格者。未來(lái)5年，全球信息安全勞動(dòng)市場(chǎng)人才短缺將達(dá)150萬(wàn)。

很多公司在找尋人才填充安全崗位上的無(wú)力，只會(huì)催生薪酬上漲，以及IT人員發(fā)展這些技能以謀職的興趣。薪酬又高，需求又多，而且對(duì)安全人才的需求只會(huì)越來(lái)越多，有什么理由不往這個(gè)方向發(fā)展呢?

如果你想乘上這波人才短缺的東風(fēng)，以下洞見(jiàn)可供參考。想知道轉(zhuǎn)行適不適合你，也可以看看。

01.不用擔(dān)心自己不具備特定安全經(jīng)驗(yàn)

今天的大量需求都集中在需要數(shù)年經(jīng)驗(yàn)的職位上，比如高級(jí)安全軟件工程師。此類職位年薪可達(dá)$200,000。(ISC)²研究也報(bào)告稱，最大的就業(yè)增長(zhǎng)將是安全工程師和架構(gòu)師。

但同時(shí)，安全需求還很廣，需要太多不同類型的技術(shù)集，沒(méi)人能單槍匹馬搞定所有這些角色需求。想要照顧到方方面面，你需要一支龐大的團(tuán)隊(duì)，包含進(jìn)懂得網(wǎng)絡(luò)和網(wǎng)絡(luò)流量、硬件設(shè)備、軟件程序及業(yè)務(wù)邏輯的各類人才。

信息安全是一個(gè)巨大而廣泛的領(lǐng)域，包括了程序員、風(fēng)險(xiǎn)經(jīng)理、能用商業(yè)語(yǔ)言與業(yè)務(wù)人士交流的公共關(guān)系專家、理解人類行為的人才，甚至具有經(jīng)濟(jì)學(xué)背景的人。如果有經(jīng)濟(jì)學(xué)學(xué)位或懂得金融，即便沒(méi)有安全專業(yè)知識(shí)，也是被聘用為風(fēng)險(xiǎn)經(jīng)理的——因?yàn)榻?jīng)濟(jì)和金融干的就是理解風(fēng)險(xiǎn)嘛。

同樣，心理學(xué)背景也會(huì)擁有理解為什么人們會(huì)去點(diǎn)擊釣魚(yú)鏈接及該怎樣阻止這種行為的洞見(jiàn)。具心理學(xué)背景的人需要學(xué)習(xí)基本的網(wǎng)絡(luò)或信息安全知識(shí)，但已經(jīng)擁有的知識(shí)依然可以再教育自身。

02.考慮長(zhǎng)期發(fā)展

可預(yù)見(jiàn)的未來(lái)中最大的需要，就是軟件和應(yīng)用安全。我們面對(duì)的最大問(wèn)題，與不安全代碼和糟糕的軟件開(kāi)發(fā)過(guò)程相關(guān)。人們開(kāi)發(fā)軟件已經(jīng)有50多年的歷史了，但直到最近10年我們才開(kāi)始注意到與軟件安全相關(guān)的問(wèn)題。對(duì)考慮進(jìn)入安全行業(yè)的年輕IT人而言，軟件工程和編程是機(jī)會(huì)最大的地方，而挑戰(zhàn)亦存。

甚至現(xiàn)在，供需差距就已經(jīng)很大了，尤其是在這一領(lǐng)域幾乎沒(méi)有可用培訓(xùn)，且有天賦的開(kāi)發(fā)者傾向于涌入谷歌或下一個(gè)Facebook之類的公司，而不愿就職安全公司的狀況下。

這一領(lǐng)域需要兩種人：項(xiàng)目經(jīng)理和實(shí)際的實(shí)踐者。聘用項(xiàng)目經(jīng)理，然后讓項(xiàng)目經(jīng)理組建安全團(tuán)隊(duì)來(lái)幫助培訓(xùn)和指導(dǎo)，是對(duì)公司企業(yè)最有利的做法。

從應(yīng)用安全起步，IT人士可以繼續(xù)演進(jìn)到其他很多領(lǐng)域，如架構(gòu)安全或云安全——雖然其他選擇，比如網(wǎng)絡(luò)或硬件安全，可能會(huì)有點(diǎn)門(mén)檻。如果是18歲新新人類，加入應(yīng)用安全行列或者成為開(kāi)發(fā)運(yùn)維安全團(tuán)隊(duì)的一員是不錯(cuò)的選擇。

03.別低估了你的現(xiàn)有技能

如果你現(xiàn)在是系統(tǒng)、網(wǎng)絡(luò)或數(shù)據(jù)庫(kù)管理員，那你在通向特定信息安全子領(lǐng)域的路上已經(jīng)走了75%的路程了，比如道德黑客、滲透測(cè)試和信息保障職位。有這些職業(yè)背景的人，能理解系統(tǒng)運(yùn)行原理和人們?cè)L問(wèn)系統(tǒng)的方式，所以，從設(shè)置用戶到檢查標(biāo)準(zhǔn)與框架合規(guī)之間并沒(méi)有太大的障礙。有了這一基礎(chǔ)，繼續(xù)下去就很容易了。

事實(shí)上，擁有此類背景是極大的助力。要想在安全界嶄露頭角，有堅(jiān)實(shí)的系統(tǒng)管理、網(wǎng)絡(luò)工程或軟件工程背景非常重要。盡管有很多方面都不是技術(shù)性的，理解系統(tǒng)運(yùn)行基本原理，正是讓人具備收獲長(zhǎng)遠(yuǎn)成就所需知識(shí)和能力的基礎(chǔ)。

因此，CIO們應(yīng)開(kāi)始在已有員工中間培養(yǎng)安全能力，而不僅僅是找尋外部候選人來(lái)填充這些需求。簡(jiǎn)單地提升薪酬或福利是不夠的，找到培養(yǎng)內(nèi)部人才填補(bǔ)技能空缺的方法才是公司應(yīng)該做的。

IT和安全職位之間存在共同點(diǎn)，描繪出一張技能地圖，可幫助員工建立填補(bǔ)進(jìn)這些職位空缺的計(jì)劃。好消息是，有很多相關(guān)工作可供各種角色的員工借以邁向安全職位。助理安全工程師、安全審計(jì)員、IT安全項(xiàng)目經(jīng)理之類名號(hào)所需的典型技能，與網(wǎng)絡(luò)安全或入侵檢測(cè)之類職位的基本要求是相一致的。

其間障礙，只是缺乏對(duì)特定職位所需具體技術(shù)的理解，以及怎樣最快實(shí)現(xiàn)角色轉(zhuǎn)換。雖然回學(xué)校再拿個(gè)學(xué)位是條康莊大道，方法卻并不止只一個(gè)。

04.別假定你需要回爐重造

實(shí)際上，盡管安全職位門(mén)檻很難跨越，卻也從未出現(xiàn)過(guò)這么豐富的學(xué)習(xí)資源，免費(fèi)在線課程、職業(yè)資格認(rèn)證以及加入安全社區(qū)都是絕佳的學(xué)習(xí)途徑。從SANs(系統(tǒng)管理和網(wǎng)絡(luò)安全審計(jì)委員會(huì))，到ISACA(國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì))，到信息系統(tǒng)安全協(xié)會(huì)(ISSA)，到(ISC)²(國(guó)際信息系統(tǒng)安全認(rèn)證聯(lián)盟)，到開(kāi)放網(wǎng)絡(luò)應(yīng)用安全項(xiàng)目(OWASP)……有太多非常活躍的安全組織提供培訓(xùn)和分享思想的社區(qū)了。

加入OWASP是被聘用和收到最佳認(rèn)證建議的好方法。

可以先從Coursera或EdX之類免費(fèi)大型公開(kāi)在線課程項(xiàng)目上學(xué)習(xí)安全基礎(chǔ)開(kāi)始，然后再確定哪個(gè)子領(lǐng)域適合自己進(jìn)一步深入。一旦基礎(chǔ)打好，就可以去尋找自己最感興趣的信息安全領(lǐng)域，開(kāi)始進(jìn)入專家養(yǎng)成時(shí)。

在線課程是培養(yǎng)技術(shù)的極佳選擇，尤其是在雇主并不提供培訓(xùn)的情況下。可以自主選擇課程，自由安排時(shí)間，無(wú)需回到學(xué)校再專門(mén)花上幾年拿下網(wǎng)絡(luò)安全本科或碩士學(xué)位。

而只要確定了發(fā)展方向，考幾個(gè)認(rèn)證是個(gè)不錯(cuò)的主意，安全領(lǐng)域中認(rèn)證還是很吃香的。人們常說(shuō)證書(shū)證明不了現(xiàn)實(shí)技能，但真相是，招聘經(jīng)理認(rèn)這個(gè)啊!即便你覺(jué)得這堆認(rèn)證沒(méi)什么卵用，只要你還想找到工作，它們就是必備的敲門(mén)磚。缺了這些證書(shū)，你的簡(jiǎn)歷都到不了第二輪。

特別地，(ISC)²頒發(fā)的信息系統(tǒng)安全師(CISSP)認(rèn)證，是通往更高級(jí)別職位的有力籌碼;而ISACA頒發(fā)的風(fēng)險(xiǎn)與信息系統(tǒng)控制認(rèn)證(CRISC)，則是風(fēng)險(xiǎn)管理職位的必需。其他情況，比如申請(qǐng)比防火墻管理這種入門(mén)級(jí)工作更高檔次的職位，那么來(lái)自思科或Juniper之類廠商的認(rèn)證就是個(gè)不錯(cuò)的主意。

同時(shí)，在軟件開(kāi)發(fā)行業(yè)，安全軟件開(kāi)發(fā)生命周期(SSDLC)認(rèn)證實(shí)踐者的身份，將能證明你在應(yīng)用安全方面的能力。

05.清楚自己即將踏入的是什么領(lǐng)域

安全職業(yè)當(dāng)然也有其陰暗面，壓力和職業(yè)倦怠就是其表現(xiàn)形式。美國(guó)的安全大會(huì)上，主要話題之一就是抑郁，這一現(xiàn)象越來(lái)越多地出現(xiàn)在該領(lǐng)域中。如果你覺(jué)得自己應(yīng)付不來(lái)工作壓力和職業(yè)倦怠，從事安全職業(yè)可能不是個(gè)好的選擇。

這種現(xiàn)象的成因，是很多公司對(duì)待安全職能的態(tài)度：如果數(shù)據(jù)泄露發(fā)生，那必然是安全崗位的人沒(méi)能履職盡責(zé)。高曝光度的數(shù)據(jù)泄露事件，傷害的不僅僅是客戶，還有員工。股價(jià)下跌、員工被炒、公共信譽(yù)喪失……如果你是電腦前敲著鍵盤(pán)評(píng)估事件發(fā)生前安全控制狀態(tài)的人，那樂(lè)子就大了。

除了總是如坐針氈，安全部門(mén)還總被業(yè)務(wù)部門(mén)疏遠(yuǎn)。業(yè)務(wù)部門(mén)可不總是認(rèn)同施加在項(xiàng)目上的安全控制所帶來(lái)的延遲，而且，只要出了什么事，背鍋的總是安全部門(mén)。入職安全崗位，可能會(huì)高處不勝寒。

隨著安全逐漸成為業(yè)務(wù)發(fā)展周期的一個(gè)完整部分，長(zhǎng)期來(lái)看情況應(yīng)該會(huì)有所改變。當(dāng)安全完全嵌入并與業(yè)務(wù)同步，安全團(tuán)隊(duì)的壓力就會(huì)小很多。業(yè)務(wù)部門(mén)需要認(rèn)識(shí)到自己很有可能被黑。目前，這種認(rèn)知還很缺乏，導(dǎo)致總會(huì)找個(gè)人來(lái)背鍋。

而且，安全職業(yè)需要在很多不同領(lǐng)域都有一手。技術(shù)不斷改變，威脅不斷進(jìn)化，新監(jiān)管規(guī)定不斷出臺(tái)，還有老生常談的安全預(yù)算戰(zhàn)爭(zhēng)——你永遠(yuǎn)走不到工作干完的那一步。(ISC)²的調(diào)查顯示，即便超過(guò)3/4的受訪者稱滿意自己當(dāng)前職位，安全行業(yè)在去年還是經(jīng)歷了近20%的離職率，破了(ISC)²的歷史記錄。

06.追尋激情，而非金錢(qián)

需求和薪酬是安全領(lǐng)域的吸引力構(gòu)成，但絕不是唯一的驅(qū)動(dòng)力。積極的方面，安全職業(yè)可以充分融入社區(qū)，尤其是與軟件開(kāi)發(fā)世界相對(duì)比。安全從業(yè)者往往能組成組織嚴(yán)密的社區(qū)，很好地相互協(xié)作。

某種程度上，如果你是那種渴望理解事務(wù)運(yùn)行原理，或喜歡拆拆裝裝的人，那你就會(huì)知道自己是否適合安全行業(yè)。走進(jìn)安全行業(yè)的人中，藝術(shù)家、音樂(lè)家、創(chuàng)意人和非對(duì)稱思想者的比例不小。真的是取決于個(gè)人追求和對(duì)挖掘內(nèi)在原理和價(jià)值的興趣。

【本文是51CTO專欄作者李少鵬的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】