人們在談到網(wǎng)絡安全工作市場時會把它作為一個整體,但網(wǎng)絡安全中有許多不同的角色,這些不同不僅取決于不同人的技能水平和經(jīng)驗����,還取決于他們的興趣愛好���。
《網(wǎng)絡犯罪》雜志列出了50種網(wǎng)絡安全職位的清單�����,招聘組織CyberSN也提出了自己的45種網(wǎng)絡安全職位類別的清單�����。
與其相似的是�����,一家?guī)椭髽I(yè)撰寫招聘廣告的公司OnGig.com分析了150個網(wǎng)絡安全職位,并列出了排在前30為的職位清單�����。
本文來源于我對Springboard所做的研究����,Springboard是最早的具有工作保障和1:1指導的網(wǎng)絡安全訓練營之一。
特別是,Cyber Seek.org是一項針對網(wǎng)絡安全工作市場的行業(yè)聯(lián)合計劃����,它不僅提供了網(wǎng)絡安全內(nèi)各個職位的互動列表,還為您提供了職業(yè)發(fā)展道路��,展示了不同職業(yè)該如何獲得晉升���。
更為復雜的是����,這些頭銜和角色通常不是標準化的�,而且隨著行業(yè)本身的發(fā)展它們會不斷變化。美國國家科學技術研究院在其“國家網(wǎng)絡安全教育倡議”勞動力框架中�,確實嘗試使用以下概念來對職位進行標準化的描述:
- 任務 (該職位所執(zhí)行的內(nèi)容)
- 知識 (該職位所需掌握的知識)
- 技能 (該職位的人執(zhí)行任務時所需掌握的能力)
組織可以使用這些概念來創(chuàng)建角色和團隊來執(zhí)行他們所需的任務。
另外還需要注意的是:根據(jù)Cyber bit的2020 SOC技能調(diào)查報告����,人力資源部門可能不了解網(wǎng)絡安全工作市場或該領域的人員聘用方式。
我們必須在這里指出一些特點�,網(wǎng)絡安全工作職位根據(jù)所需的經(jīng)驗水平,還會因為您是“紅隊”(進攻性)或者“藍隊”(防御性)而有所不同�。進攻性角色(例如滲透測試人員)通常需要更多經(jīng)驗來建立對防御實踐的理解。
那么��,最常見的網(wǎng)絡安全工作角色是什么?它們又有何不同?
一些更初級的職位,通常需要獲得CompTIA Security +之類的認證��,包括:
- 網(wǎng)絡安全分析師:網(wǎng)絡安全分析師負責保護公司網(wǎng)絡和數(shù)據(jù)�。除了管理所有正在進行的安全措施外,分析師還負責應對安全漏洞并保護公司硬件(例如員工的電腦)���。
- 安全工程師:安全工程師的任務是規(guī)劃和執(zhí)行公司的信息安全策略以及維護所有安全解決方案�。他們還可以負責記錄公司的安全狀況以及在其監(jiān)督下采取的任何問題或采取的措施��。安全工程師往往比分析人員更具防御能力���。
- 安全顧問:安全顧問負責根據(jù)合同評估公司的安全狀況�����,同時還擔任其他IT員工的顧問����。顧問的目標是威脅管理�,他們通常會計劃��、測試和管理公司安全協(xié)議的初始迭代���。顧問通常在組織之外����,而網(wǎng)絡安全分析師將在組織內(nèi)部。
還有很多中級角色和更多的攻擊性角色���,通常也需要獲得認證���,例如道德認證黑客(Certified Ethical Hacker),包括:
- 高級威脅分析人員:高級威脅分析人員將監(jiān)視計算機網(wǎng)絡��,以防止對文件和系統(tǒng)的未經(jīng)授權的訪問����。他們還向涉及公司技術防御能力的高級領導提供報告。
- 信息安全評估員:信息安全評估員對公司的安全狀況進行審查并提出建議��。他們通過采訪IT員工�����,審查網(wǎng)絡的安全性并測試漏洞來做到這一點��。評估者還審查公司的安全策略和程序�����。
- 滲透測試員:滲透測試員被雇用來合法地入侵公司的計算機網(wǎng)絡。測試人員還可以使用社會工程學的策略���,并通過口頭上假裝自己是可信任者以嘗試獲取信息���。如果發(fā)現(xiàn)漏洞,滲透測試人員將提出建議以增強安全性�����。
更高級別的�����,是特別需要證書的�����,例如信息系統(tǒng)安全專業(yè)人員(CISSP)之類以及需要有至少五年的經(jīng)驗的高級職位�����,包括:
- 信息安全分析師:在信息安全分析師���,負責保護公司的網(wǎng)絡和維護所有的防御抵抗攻擊�。在網(wǎng)絡中斷的情況下���,分析師還可以實施公司的災難恢復計劃��。順便說一句�����,根據(jù)OnGig的說法����,這是雇主最常提到的對網(wǎng)絡安全職位的描述�。
- 信息安全經(jīng)理:信息安全經(jīng)理制定旨在保護公司網(wǎng)絡安全的策略和過程。他們監(jiān)督信息安全分析師�����,同時確保公司符合信息安全標準和規(guī)范�。作為經(jīng)理,他們負責雇用和培訓新的信息安全分析師���。
最后是首席信息安全官����。這是中層行政職位,通常向首席技術官�����、首席信息官�����、首席財務官甚至首席執(zhí)行官報告�����,并且通常代表網(wǎng)絡安全職業(yè)道路的最終目標���。
CISO負責監(jiān)督公司的整體安全計劃��。他們最終應對網(wǎng)絡安全漏洞負責�����,并與其他主管一起確保部門遵守安全標準�。
如您所見,網(wǎng)絡安全職位有很多可能的頭銜�,了解一些較為常見的職位很重要。同時���,注意一家公司對不同角色的定義也很重要,這樣您才能最終找到適合自己的工作���。
本文翻譯自:https://thehackernews.com/2021/04/what-are-different-roles-within.html如若轉(zhuǎn)載�,請注明原文地址�。
網(wǎng)頁題目:網(wǎng)絡安全中的不同角色
文章起源:
http://uogjgqi.cn/article/cocsiod.html
