★信息安全从业参考
你可以转载本文,但请务必保留本文的完整性
[color=red]本文的进阶篇,《信息安全的职业生涯》
http://bbs.chinaunix.net/viewthread.php?tid=919526&extra=page%3D1[/color]
Author:
赵彦,http://blog.sina.com.cn/u/1258699773
Homepage:www.ph4nt0m.org
Mailto: [email]ay4z3ro@hotmail.com[/email]
本版初稿只代表个人观点,仅供参考,对于迷信产生的后果,本人不承担任何责任
本文实际上并不能算是Career Planning,只是一些分类描述,唯一好处仅在于帮助你理解不同职位的技能要求,因为最近很忙,本文也远远达不到Body of Knowledge的详细程度,计划在空闲时再补一篇真正的Career Roadmap
[漏洞挖掘/安全技术研究员]
研究对象:OS,网络,应用,通讯媒介及协议的安全漏洞和防御方法,偏重于底层技术,对技术要求最高,但不要求很全面,只需精通一两种流行的平台即可。其研究成果经常为IDS/IPS/Vulnerability Scanner插件作分析等,最新的技术可能被转化到产品中实现商业价值,或可能承担技术最高的一部分专业安全服务。
主要技能:C\C++,ASM,OS kernel,调试器,反汇编、缓冲区溢出类,逻辑编程错误等
[安全产品开发]
和其他程序员一样,只不过是面向安全产品,有核心引擎也有界面开发,如何成为一个优秀的程序员就不用我废话了吧,网上的Proposal多的是
[产品工程师]
作为厂商的技术人员,一般是对自有产品做售后技术支持,如FW,VPN,IDS/IPS,Scanner,AV,AAAA,CF,UTM,SOC,Terminal Management,Vulnerability/Patch Management,Anti-DOS,Anti-Spam……该职位对技术要求一般,有一定的系统、网络基础,可以熟练部署产品即可,另外还有Testing和Troubleshooting的能力也是比较重要的
[技术顾问/售前工程师]
作为厂商的售前,须对自有的产品和解决方案非常熟悉,售前偏重于架构/方案设计,Presentation,Documentation以及其他Presale Engineering的能力(如投标、销售推介技能),一般需要多年工作经验,有售后或者研发背景,对特定行业的理解-如曾在电信、金融或者SI的工作经验能增强竞争力,如能对专业安全技术服务及咨询服务有所掌握,会使你的知识背景更强势,项目管理技能也是必要的。
[安全服务工程师]
个人觉得在安全工程领域,产品选型和部署相对简单,门槛较高的是专业安全服务,先不论当前行业内的安全服务技术人员实际水平如何,我只是就我的理解谈一下以下职位的技能需求。如渗透测试、安全加固、安全外包/安全监控,应急响应,高级安全技术培训,风险评估等要求技术人员对主流的操作系统平台,网络设备,数据库,企业应用有一定程度的掌握,并且需要融入对安全和攻防技术的理解,另外安全服务人员最好需要有信息安全管理和项目管理的知识。沟通表达以及文档撰写能力都是必须的。
[安全架构师]
之前的售前工程师和安全服务工程师也要写整体解决方案,但从专业程度来说,他们还达不到安全架构师的技术高度,安全架构师须熟悉IT基础设施、容灾备份,大型企业级应用,安全集成,网络设计规划,网络安全产品典型部署,熟悉各种通信标准及协议,需要了解安全趋势和客户的整体安全需求,既有深度又有广度,需要较多的经验和技术。
[信息安全咨询顾问]
信息安全既有技术也有管理的问题,如传统的Strategy、HR、IT consulting一样,Information Security Consulting也是专业服务中的主要业务,如:Risk Assessment、ISMS building、SOX Compliance……
信息安全不可能脱离企业自身的业务和实际需求,否则便成了空中楼阁,信息安全管理应该是以企业管理为上层引导,信息安全管理为中间支柱,下层以计算机及通信技术为基础依托的三层结构,当然出售的最终产物是三层融合的整体解决方案,咨询顾问一般需要以下技能:
熟悉各类安全标准--BS7799,ISO13335,CC,SSE-CMM,IATF,SP800……
相关的知识领域—IT Governance,ITIL/ITSM,MOF,COBIT,SOA,COSO……
咨询体系--企业经营管理,流程管理,人力资源管理,信息战略,法律法规
基本技能--沟通表达、文档、项目管理
技术体系--All above(不要因为我说了这句话趋之若鹜哦)
[CHO]
这里并不是指人力资源总监,而是传说中的Chief Hacker Officer--首席黑客官,在国外某些公司设有此类职位,是更加纯技术的职位,从名字就可以看出他的技术偏向哪里,实际上应该是安全教科书中的Whitehat,从Know your enemy的角度讲,反黑的的能力也确实强
[CSO/CISO]
一般只有较大的组织机构才单独设有首席安全官或首席信息安全官,在没有独立设置CSO职位的情况下,信息安全通常属于CIO/CTO/COO考虑的范畴,实际上也由他们扮演CSO的角色,因此换个角度—信息安全管理咨询应该是in CXO’s perspective,实际上高级咨询顾问到甲方即可成为CSO
通用且有一定竞争力的认证:
CISSP,CISM,CISA,BS7799LA
可供职的厂商:
国内专业安全公司:绿盟科技、启明星辰、天融信、联想网御、安氏
国外安全公司:ISS、Mcafee、Symantec、Checkpoint、TrendMirco
各大IT公司:Microsoft、HP、IBM、Cisco、Juniper、F5、Various vendors
会计事务所:PWC、E&Y、KPMG、DTT……
咨询公司:Accenture
甲方:如电信移动、金融、各大门户、电子商务以及IT系统对内部运营起到关键作用的企业
薪酬:
职位当然是影响Salary的重要因素,除此之外,审计师/咨询顾问、安全架构师和研究员的工资较高,外企的工资一般比国内企业高,在甲方的工资不一定有乙方高,主要看所在行业、企业盈利程度和对信息安全的重视程度,但乙方高薪职位通常来说比甲方更忙碌,其实质也是用时间换工资,从行为经济学看未必很实惠。
职业发展路线
研究员-高级安全研究员
开发程序员-项目经理
产品工程师-安全服务工程师-售前技术顾问
产品工程师-安全服务工程师-安全服务项目经理
产品工程师、安全服务工程师、技术顾问有两个发展方向:
1. 偏技术方向—安全架构师
2. 偏管理方向—咨询顾问
甲方和乙方的角色切换,如果对当前的视角失去了兴趣,不妨换个角度,如果结婚了寻求安定不想出差可以去甲方
当然以上只是理论公式,现实生活中的“天花板”在哪里有机会可以自己去体验一下
知识体系结构
大体分为技术体系和管理体系吧
技术体系:
对攻防技术的理解
OS、Network、Application、Data protection and related
TCP/IP protocol suits
研究偏重底层技术,架构偏重网络
安全管理体系:
各种信息安全技术/管理标准,审计及内部控制标准
传统管理学大集合
咨询及审计
其他:
对客户业务的理解
表达沟通,文档,演讲,项目管理和销售技能
Thank Adam、Why and Yhl who did effect and improve my career objective
[ 本帖最后由 ayazero 于 2007-4-14 23:29 编辑 ]
wxgghaha 回复于:2006-03-06 16:23:18
辛苦了,版主,来个沙发坐坐
Tiger_cn 回复于:2006-03-06 20:26:13
有时候还是会想起你的样子
fluty 回复于:2006-03-07 10:10:38
好啊,简直是内部资料了
erylily 回复于:2006-03-07 10:19:50
不错,楼主辛苦了!
个人有一点想法,其实我一直认为信息安全和网络安全有着不同,信息安全是大的概念,涉及业务和管理方面,范围更广,网络安全只是一个分支而已.
做信息安全要比网络安全难的多,当然钱景也更广一些,做咨询顾问等都相当不错,不过,如果进一步拓展,从信息安全角度延伸到整个IT视角,那就会更好一些。包括Bearpoint,McKinsey,Accenture都设立了相关的部门.或者,去大企业做CIO也是发展方向之一,做安全一个优势就是,从一开始,就要比别眼看的更广一些,为以后做管理打下坚实的基础了~
ddcp 回复于:2006-03-07 12:17:43
谢谢,支持,鼓励!
uuhs_hiei 回复于:2006-03-07 12:25:32
精华啊,建议每月来个补完
Jambo 回复于:2006-03-07 16:25:30
全,真不错。
如果一个安全公司要更快的发展,需要这些部门之间充分共享、协作。
而协调的工作就是难上加难了。。
macrodba 回复于:2006-03-07 17:56:16
友情顶铁
ayazero 回复于:2006-03-07 19:22:00
引用:原帖由 Jambo 于 2006-3-7 16:25 发表
全,真不错。
如果一个安全公司要更快的发展,需要这些部门之间充分共享、协作。
而协调的工作就是难上加难了。。
你说的协调其实是部门间流程
sohusina 回复于:2006-03-07 20:21:12
少年轻狂,好!
爱国人士 回复于:2006-03-07 21:06:27
自己感觉好象每个行业每个工作都是这样乱七八糟的,自己每天干的不知道是什么工作,有很多好象和自己的工作根本就不相干,在别人眼里好象很风光,其实只有自己知道自己每天在干什么,做着那些所谓的技术,不过我还是想要去尝试一下
Jambo 回复于:2006-03-07 22:54:47
引用:原帖由 ayazero 于 2006-3-7 19:22 发表
你说的协调其实是部门间流程
正是此意,管理问题:roll:
南非蜘蛛 回复于:2006-03-08 09:52:53
写的不错,功力约来约深了
:)
fnaps 回复于:2006-03-09 15:45:34
唉,哪天能走到高层呀?
eboymcy 回复于:2006-03-09 16:44:20
信息安全至少还得有密码.
pki
GunKing 回复于:2006-03-10 01:34:49
HOHO~~有见好东西...果然是超前5年呀:) 你都快成为我的偶像了,可我从来不搞个人葱白的,怎么办呢???
请教AYA: 如果一个人既做售前支持,也做售后实施,那他会不会人格分裂呢?如果会,怎么样才可以避免这样的情况发生呢 ?PS : 小公司常见的情况
ayazero 回复于:2006-03-10 20:04:58
当然不会,全能一点难道不好吗?
GunKing 回复于:2006-03-11 03:10:02
常见的应该是有这样情况(估计有点普遍)
售前或者销售为了最后把握住客户,赢得单子,会事先给客户(很多时候就是用户)灌输(他们叫洗脑)不少很NB的东西,或者会答应用户提出的一些自己产品功能欠缺的,甚至是奇怪的产品不能达到的要求。
而售后实施的时候用户会很不满意,觉得这里他用起来不爽,那里用起来又不如他想象的那么好,甚至有些根本就做不到。
出现上面的情况,如果售前和售后不是同一个人,那就可以互相推诿一下,扯扯皮,耍耍赖,反正东西买了,合同签了,钱也付了一部分,而且,合同上也不会写清楚那些细节要求,一般只会写采购什么什么设备。基本就还是可以把客户给摆平了。。。
但如果售前售后一个人,售前支持的时候,很多东西SALE其实是起主导地位,他说可以,你就不好说什么
到实施的时候,就好像自己在打自己的耳刮子一样。。。这样下去。。我觉得可能会人格分裂耶。。。。
teczm 回复于:2006-03-13 15:23:43
好文!
deeperpurple 回复于:2006-03-14 10:12:15
引用:原帖由 南非蜘蛛 于 2006-3-8 09:52 发表
写的不错,功力约来约深了
:)
写得好,理解深刻
K,连蜘蛛也跑来了 :evil:
痞菜 回复于:2006-03-17 13:05:45
引用:原帖由 ayazero 于 2006-3-6 14:18 发表
★信息安全从业参考
你可以转载本文,但请务必保留本文的完整性
[技术顾问/售前工程师]
作为厂商的售前,须对自有的产品和解决方案非常熟悉,售前偏重于架构/方案设计,Presentation,Documentation以及其他Presale Engineering的能力(如投标、销售推介技能),一般需要多年工作经验,有售后或者研发背景,对特定行业的理解-如曾在电信、金融或者SI的工作经验能增强竞争力,如能对专业安全技术服务及咨询服务有所掌握,会使你的知识背景更强势,项目管理技能也是必要的。
[安全服务工程师]
个人觉得在安全工程领域,产品选型和部署相对简单,门槛较高的是专业安全服务,先不论当前行业内的安全服务技术人员实际水平如何,我只是就我的理解谈一下以下职位的技能需求。如渗透测试、安全加固、安全外包/安全监控,应急响应,高级安全技术培训,风险评估等要求技术人员对主流的操作系统平台,网络设备,数据库,企业应用有一定程度的掌握,并且需要融入对安全和攻防技术的理解,另外安全服务人员最好需要有信息安全管理和项目管理的知识。沟通表达以及文档撰写能力都是必须的。
[安全架构师]
之前的售前工程师和安全服务工程师也要写整体解决方案,但从专业程度来说,他们还达不到安全架构师的技术高度,安全架构师须熟悉IT基础设施、容灾备份,大型企业级应用,安全集成,网络设计规划,网络安全产品典型部署,熟悉各种通信标准及协议,需要了解安全趋势和客户的整体安全需求,既有深度又有广度,需要较多的经验和技术。
[信息安全咨询顾问]
信息安全既有技术也有管理的问题,如传统的Strategy、HR、IT consulting一样,Information Security Consulting也是专业服务中的主要业务,如:Risk Assessment、ISMS building、SOX Compliance……
信息安全不可能脱离企业自身的业务和实际需求,否则便成了空中楼阁,信息安全管理应该是以企业管理为上层引导,信息安全管理为中间支柱,下层以计算机及通信技术为基础依托的三层结构,当然出售的最终产物是三层融合的整体解决方案,咨询顾问一般需要以下技能:
熟悉各类安全标准--BS7799,ISO13335,CC,SSE-CMM,IATF,SP800……
相关的知识领域—IT Governance,ITIL/ITSM,MOF,COBIT,SOA,COSO……
咨询体系--企业经营管理,流程管理,人力资源管理,信息战略,法律法规
基本技能--沟通表达、文档、项目管理
技术体系--All above(不要因为我说了这句话趋之若鹜哦)
[CHO]
这里并不是指人力资源总监,而是传说中的Chief Hacker Officer--首席黑客官,在国外某些公司设有此类职位,是更加纯技术的职位,从名字就可以看出他的技术偏向哪里,实际上应该是安全教科书中的Whitehat,从Know your enemy的角度讲,反黑的的能力也确实强
[CSO/CISO]
一般只有较大的组织机构才单独设有首席安全官或首席信息安全官,在没有独立设置CSO职位的情况下,信息安全通常属于CIO/CTO/COO考虑的范畴,实际上也由他们扮演CSO的角色,因此换个角度—信息安全管理咨询应该是in CXO’s perspective,实际上高级咨询顾问到甲方即可成为CSO
通用且有一定竞争力的认证:
CISSP,CISM,CISA,BS7799LA
...
呵呵 ayazero兄弟是在绿盟做安服的。看来这2年也被锻炼的不少呀而且能在绿盟的环境下能更注重管理方面的问题还是不错的。ayazero的转变还是很大的。
信息安全不可能脱离企业自身的业务和实际需求,否则便成了空中楼阁,信息安全管理应该是以企业管理为上层引导,信息安全管理为中间支柱,下层以计算机及通信技术为基础依托的三层结构,当然出售的最终产物是三层融合的整体解决方案,咨询顾问一般需要以下技能:
这条说的不错。现在厂商的概念太多了。不管你所说的还是大潘所说的都是国外已经推广的标准里的内容,这些都是概念。国内信息安全还是是在政府和国外证检会的法案下在推行的。
算了 我也不想细说了。我理解的ayazero的意思是说给打算进入信息安全界人提供一下都需要具备什么能力的问题。比如[CHO]在国外叫网络医生或者网络专家。他们以技术来保障策略和管理制度的顺利下发和检查实施情况的一个职位。
xuzhanxing 回复于:2006-03-17 16:15:06
国产有真正的千兆硬件防火墙吗?
cnadl 回复于:2006-03-17 17:16:33
引用:原帖由 GunKing 于 2006-3-11 03:10 发表
常见的应该是有这样情况(估计有点普遍)
售前或者销售为了最后把握住客户,赢得单子,会事先给客户(很多时候就是用户)灌输(他们叫洗脑)不少很NB的东西,或者会答应用户提出的一些自己产品功能欠缺的,甚至 ...
基本来说只要脸皮够厚能把说的圆了还是没问题的。
因为很多时候作高难度实施的时候对其的维护也是高难度的,让客户明白这一点就行了。
当然做售前的时候吹得太没谱了那是你自己的问题。
总之,客户的心理预期还是得控制一下,不能盲目膨胀。
cnadl 回复于:2006-03-17 17:21:52
引用:原帖由 ayazero 于 2006-3-6 14:18 发表
国内专业安全公司:绿盟科技、启明星辰、天融信、联想网御、安氏
国外安全公司:ISS、Mcafee、Symantec、Checkpoint、TrendMirco
各大IT公司:Microsoft、HP、IBM、Cisco、Juniper、F5、Various vendors
会计事务所:PWC、E&Y、KPMG、DTT……
咨询公司:Accenture
...
服务领域我觉得德勤的技术力量还是不错的,当然埃森哲也不错,但是经常照顾不到国情。
samuelz 回复于:2006-03-21 22:55:26
受教了。
不过不太清楚这些会计事务所PWC、E&Y、KPMG、DTT中的安全部门主要是干啥的?
cnadl 回复于:2006-03-22 12:37:58
四大也有做咨询啊。
t920 回复于:2006-03-22 17:12:33
引用:原帖由 samuelz 于 2006-3-21 22:55 发表
受教了。
不过不太清楚这些会计事务所PWC、E&Y、KPMG、DTT中的安全部门主要是干啥的?
IT审计只是财务审计的一部分,虽然现在是越来越重要的一部分,但有时也可有可无。
linttt 回复于:2006-03-22 18:04:54
还是停留在一个很低的层次上.
我爱臭豆腐 回复于:2006-03-23 08:47:47
写的好啊.值得思考
ilovesecurity 回复于:2006-03-24 13:19:29
"产品工程师-安全服务工程师-安全服务项目经理",嘿嘿,俺的目标
liuxingyuv 回复于:2006-03-31 14:47:10
这一切如同“空中楼阁”,我们只是在玩儿时过家家的游戏罢了,你摆个积木,他摆个积木,真正是否能成为一个高楼呢,谁又晓得!
yudi2006 回复于:2006-04-02 20:45:22
收敬了...
sexypig 回复于:2006-04-11 14:54:46
好帖子,首次有了这么清晰的认识
robertecarlos 回复于:2006-04-13 17:29:20
不错,请楼主以后多来些好文章
panguizhong 回复于:2006-04-21 22:31:52
这个也太难了吧!
不过有玩的!
越难的越有意思!
fei-tian 回复于:2006-05-11 00:07:11
这么多东西吗?////??
owenlin717 回复于:2006-05-14 21:38:12
:D
大大受益。楼主,辛苦了!
jacky_yang 回复于:2006-05-18 18:15:07
走过路过,别忘了回帖
回帖是一种美德哦
holland_1 回复于:2006-05-20 17:58:35
好贴!
sinory 回复于:2006-05-24 20:35:55
我就这个专业郁闷中
lyuanhao007 回复于:2006-05-24 22:03:34
好啊 大家顶啊
Novarg 回复于:2006-05-26 18:52:49
very professional
hiaw 回复于:2006-06-03 10:11:59
支持呀.
linuxlqh 回复于:2006-06-22 14:11:02
路过!
适兕 回复于:2006-07-19 11:47:21
需要更加的努力学习!感谢前辈!
sanvy 回复于:2006-07-27 13:44:54
请问网络安全现状如何
net_robber 回复于:2006-08-08 09:30:42
两个字,没看懂
yyy790601 回复于:2006-08-22 16:32:55
楼上,我很严肃的告诉你,“没看懂”是三个字。
xiaoyao4005 回复于:2006-08-23 12:49:53
还行,对即将从业的学生们很有帮助!
yuquan_32 回复于:2006-08-30 20:54:03
建议加精
jldsecurity 回复于:2006-09-14 22:34:00
Alert ! No advertisement !
[ 本帖最后由 ayazero 于 2006-9-16 23:38 编辑 ]
tanlei 回复于:2006-09-15 11:24:01
很佩服楼主的能力,作为同龄人真的很惭愧……
Quakertlisk 回复于:2006-09-15 13:47:00
支持支持
untrust 回复于:2006-09-16 17:45:46
就国内的大部分的企业情况来说,还不适合作什么所谓的信息安全,如果企业网络安全能作作好,我觉得已经很不错了!
我对攻防与黑客技术了解不多,但觉得所以黑客攻防技术与企业网络安全基本上相差比较远..过于盲目的认为黑客攻击技术就是安全焦点,而国内大部分安全公司作安全服务器,经常演示所谓的入侵攻防技术..好像在炫耀他们公司的黑客起家的背景,他们那几招最多适合主机安全...
个人在isp呆了四年多要五年了,作网络管理这块..偶尔在外面作电信与移动的网络与安全项目
最近给多家国内所谓的著名的安全公司作服务...一肚子火..呵呵.
不并怀疑他们骨干技术人员的力量,但其它的我就不好说了..
ayazero 回复于:2006-09-16 23:32:27
攻防技术是给“做技术”的看的;
组织、战略这些是对真正的CTO、CIO讲的;
而那些所谓的技术经理,跟他们讲到流程管理的层面已经“够”了
乙方顾问的尴尬往往是,你讲技术别人觉得你无聊,你讲管理别人觉得你在忽悠,
如果自己两者皆通,有一定的销售技巧,懂得倾听,准确把握客户需求,有能力看“人”说“话”,就不会有那样的感觉了,当然看人说话是需要自己有“相当”内功的,如果不能站在≧对方的高度描述问题,西装领带再“像”顾问也没用
在国内的企业,受限于当前的管理水平,不容易深入“组织”,跨过“人”,超越“公司政治”,去做真正的信息安全的确是一种现状,但是,信息安全是一种趋势,信息安全在2005、2006中国CIO最关心的问题中均列居榜首
对安全厂商而言,做网络安全还是信息安全,是需要根据具体情况,对客户进行分级分类的,不能一概而论
untrust 回复于:2006-09-17 10:06:31
乙方顾问的尴尬往往是,你讲技术别人觉得你无聊,你讲管理别人觉得你在忽悠,
---并不这样子觉得,首先甲方肯定是有一个针对性的安全问题,才会主动邀请各个安全厂商过来详谈..而且他们心里有个底..乙方顾问的尴尬的原因是因为大部分的乙方顾问出身于产品工程师或者系统集成这块的技术,而且大部分技术考虑的思路是如何部署,而不是拥有很强的企业网络经验再加上有悟性的安全技术思路,同时结合现有安全与网络技术体系进行整体规划同时避免产品重复建设与浪费的问题....加强产品推广的我不反对,但要合适..(但又有几个厂商会考虑避免重复建设,并使用现在技术环境进行最优考虑?)
网络安全是一种技术体系,而信息安全是一种组织体系..网络安全是信息安全的基础.
[ 本帖最后由 untrust 于 2006-9-17 10:20 编辑 ]
ayazero 回复于:2006-09-17 16:03:44
我说的尴尬是受限于他本人的知识面,因为通常情况下你大多能见到的就是两种人:
技术型,考虑问题比较微观,绝大多数如你所说做产品或集成出身,对安全没太深的理解
纵使有些技术比较强一点的,可能比较年轻,爱钻技术,但还是缺乏经验,大多能提供措施而不能提供解决方案
第二种,理论型,懂一些安全标准,没什么技术功底,遇上懂一点的甲方,估计也说不清个所以然,
而你所说的那些真正的合格的人,因为国内安全人才显著供小于求,那些人往往也不会满足于一个小小的售前或是工程师,所以见不到也正常
marlbor 回复于:2006-09-18 22:20:32
好东西,这种经验可是我们最需要的。
看来售前,我是要做定了
220hcy 回复于:2006-09-26 20:04:42
很详细
net_robber 回复于:2006-10-24 22:53:50
今天再来看看这篇文章,校正一下自己的方向。但愿自己不要偏离了!!
ppzipo 回复于:2006-11-10 23:45:17
不错值得参考
xingshi83 回复于:2006-11-22 14:04:57
多谢楼主,现在有了自己的方向
linux_lionet 回复于:2006-11-24 02:16:28
非常感谢,让我对以后的路有一个大概的了解
qqblue 回复于:2006-12-06 23:04:08
我都不知道下一步如何走了,在安全行业2年半,只能当个副的PM,出头之日离我还有多远?
ayazero 回复于:2006-12-08 16:44:53
顺便说一句,CSO并不是执行官,就算是,也顶多是“旁系”的
conannb 回复于:2006-12-19 20:12:17
说得挺好的!
gscyjh 回复于:2006-12-31 01:38:07
绿盟的安全确实还做的可以,经常和他们交流.公司里也有些牛人.
ayazero 回复于:2006-12-31 10:07:27
我曾在NSFOCUS北京的专业服务部供职过,那里的人不错
RunOut 回复于:2007-01-10 21:56:40
嗯。不错。
漏洞挖掘/安全技术研究员 现在应该挺吃香。
独步天下 回复于:2007-01-18 15:29:48
如果现在学安全
怎么下手计较好
mcumsigscr 回复于:2007-01-24 15:04:13
不错啊。支持斑竹。
liuxingyuv 回复于:2007-01-26 13:29:54
哪个方向都很好!就看自己了!
liuxingyuv 回复于:2007-01-30 23:26:03
真是文化人呀!各抒己见!
SkyBelieve 回复于:2007-02-10 19:33:51
好文
jiecsen 回复于:2007-02-24 11:26:08
今天长见识了!谢谢楼主!
laura82 回复于:2007-03-21 09:39:17
[color=Red]Sample Text[/color]
主要职责:
· 设计、开发符合业界标准的应用系统安全策略、访问机制和操作规范;
· 规划应用系统内部审计标准并监督实施;
· 分析、评估业务应用系统安全风险;
· 负责团队的建设、管理和激励;
职位要求:
· 管理技能:
具有跨国公司/外企相关IT应用系统安全领域2年以上管理经验,具有内部安全审计工作经验;具有团队管理经验,至少5年以上相关IT领域管理经验;
· 专业技能 :
了解基本的制造业行业特点,
丰富的应用系统、操作系统、数据库等相关领域的安全管理及控制工作经验。
了解SAP安全审计;
具有至少1年应用系统内部审计工作经验
· 沟通技能 & 影响力:
做事坚持原则
具有较高水平的沟通技巧,能够敏锐领会对方的潜在意图,善于引导对方观点并采取不同策略说服/影响持怀疑态度或持不接受态度的他人;
英语听说读写流利,能够运用英语进行复杂文件的阅读和复杂报告的撰写,能够流利进行日常业务沟通;
优先考虑条件:
· 熟悉SAP ERP产品功能、海外工作经验优先,有CISSP或CISA、CISM认证优先
如有意者请发cv 至:[email]laura.bai@consultcareer.com.cn[/email]
或直接与laura 联系: 010 58793883
erpxp 回复于:2007-04-08 11:53:04
学习了
l0pht 回复于:2007-05-31 21:57:25
引用:原帖由 ayazero 于 2006-9-16 23:32 发表
攻防技术是给“做技术”的看的;
组织、战略这些是对真正的CTO、CIO讲的;
而那些所谓的技术经理,跟他们讲到流程管理的层面已经“够”了
乙方顾问的尴尬往往是,你讲技术别人觉得你无聊,你讲管理别人觉 ...
哈,楼主没见过真正专业的技术人员吧。本人做过一些数百亿资产的大客户,最有意思的是最近一次数千亿资产的大客户的案例,发现的漏洞成果完全是本人一人通过一根adsl拨号黑盒2周内挖掘出的,却可以严重影响所有的、所有的最主要的最最核心的业务!一但被敌方利用那我们整个国家都受严重影响了,在场见过无数世面的cto都看傻了,其他有些人则看的满脸通红激动不止,而我很平静,早习惯了这样的场面。
[ 本帖最后由 l0pht 于 2007-5-31 21:58 编辑 ]
FuryMythos 回复于:2007-06-06 21:40:06
谢谢楼主分离
ayazero 回复于:2007-06-08 15:38:23
引用:原帖由 l0pht 于 2007-5-31 21:57 发表
哈,楼主没见过真正专业的技术人员吧。本人做过一些数百亿资产的大客户,最有意思的是最近一次数千亿资产的大客户的案例,发现的漏洞成果完全是本人一人通过一根adsl拨号黑盒2周内挖掘出的,却可以严重影响所 ...
这位技术大拿,您的言下之意是scz、w3、yuange、san、star、hume……他们都算不上技术人员,此话是否有点偏激了呢?
既然注入、挂马、客户端技术、社会工程学都可以算是技术,难道缓冲区溢出、ring0 rookit之类就不能算是技术了吗,这是否有点不妥?
楚国布衣 回复于:2007-06-28 11:16:00
请教下,作为一个中小企业的网络管理员,在这一块能做些什么呢? 大家有好的建议可以说说。
因为中心企业从人力成本的方面考虑不可能设置一个专门的人员在做这一块。请赐教。
[ 本帖最后由 楚国布衣 于 2007-6-28 11:18 编辑 ]
greattiny 回复于:2007-07-02 00:13:11
up
|
