文章写出来之后,引起大家对于信息安全职业的悲观,这是我所不愿意看到的。从行业来说,随着大公司越来越看好安全这块蛋糕,独立的安全公司的生存的确受到一定的威胁。但是作为个人的职业来说,信息安全的前景还是不错的,因为信息安全的重要性一定会随着IT应用的日益增加而增加,所以IT人员需要掌握信息安全知识肯定是一个必然的趋势。只是从长远来说,我们从事信息安全的人员一定要拓宽自己的知识面,不要仅仅满足于了解防火墙、了解加密、了解安全管理,一定要能够用一个更加宽广的视野来思索自己的发展。

至于文中我提到劝一些人不要做信息安全,那其实只是针对一些志向远大同时又潜力十足的人来说。毕竟,多少作IT的人中才能产生一个CIO,而多少人中才能产生一个CEO,从这个角度来说,我们做信息安全的人做到CISO的几率反而要大很多。虽然也许我们会觉得目前大多数组织没有CISO这个职位,但是我相信,随着信息安全重要性的日益增加,一定会有越来越多的CISO出现。

另外,我把要不要做信息安全放在第一篇,并不是我自己没有信心,只是我想我们在解决后续的问题之前必须要先明白自己到底要什么?其实我真正希望这一系列文章的重点在后面部分,而不是第一篇所引起的疑惑。当然,如果以前没有想清楚这个问题,趁着这个机会想清楚也不错,免得等你做到了CISO之后才后悔当初不应该做信息安全而导致自己没有机会做CIO、CEO。但是,有一点我想很重要,就是看完第一篇后不管我们决定是不是要做信息安全,这个问题在很长的一段时间内都不要再进入我们的脑海。如果我们每年思考要不要做信息安全这个问题的次数超过一次,那么不是我故作悲观,我们真的很难在这样一种状态下成功。

职业发展之惑系列小序
弹指间,在IT的路上已经走过了不少个年头,在信息安全的路上也是越陷越深,回首看来,这样的职业发展之路好还是不好?真的很难回答。不过为了解答自己的疑惑,也为了给他人提供一个参考,试着做出一些分析,希望能够让自己明白一点。

问题一:我要不要做信息安全
要不要做取决于个人追求与外部环境的综合作用,个人追求因人而异,但是外部环境对大家来说却大致相同,在这里我就信息安全能够提供的舞台、信息安全发展的前景等一些外部因素略作分析。

[separator]

1. 信息安全在组织内部的舞台
我们先来看看信息安全在一个公司内部所承担的职责。
信息安全含义很大,就是要保护组织所有信息的安全,保护信息的措施就是我们信息安全从业者的主要工作内容。那么,企业内部的信息现在无非就是电子的和非电子的两种,对于非电子信息的保护方法基本上都是传统的方法,流程优化、人员管理和物理保护等,这些工作基本上都由传统的管理职能实现。物理保护是行政管理部门或者专门的物理安全部门的工作,人员管理教育由人力资源部门,people manager或者还包括法律部门来共同完成,流程则是由相应执行部门和人员来完成,这里面在Operation层面基本上没有信息安全部门什么事。那么还有电子信息的保护方法,基本上就是IT技术和传统方法的结合,虽然传统方法中加入了一些IT的技术,但是实际的操作肯定还是可以由这些传统的管理部门来实现。剩下的就是IT技术本身以及其管理,那么所谓的信息安全主要的工作肯定就要和这一部分联系起来。
那么在这些个IT技术及其管理中,信息安全到底可以做些什么呢?我们就从IT在企业内部的构成来进行分析,看看信息安全到底可以做些什么。一般来说企业内部的IT从功能上来说可以分为基础架构、协同办公以及业务应用程序等几部分,从生命周期上来说可以分为项目建设和日常运维两个阶段。
基础架构主要包括网络、客户端、服务器硬件甚至操作系统层面,在这个层面的信息安全的主要目的是保护一个完整、可用并不易被***的网络环境,传统意义上的网络安全也主要是针对这一层面来设计的,防火墙、防病毒、漏洞扫描、***检测、甚至是日志分析、SOC等等。这部分内容基本上就是IT Security Operation 团队所负责的主要内容。
协同办公、业务应用程序就千差万别了,各式各样的邮件系统、工作流软件,企业门户、web2.0的推广更是把信息的传播推上了一个全新的高度,制造、流通、公用事业的ERP系统各不相同,金融、电信中的业务系统自成体系,产品研发、制造的产品管理系统更有一套专门的系统,甚至更多的信息都是以office或者专用格式文件的形式存储在我们的客户端或者服务器上。这些信息基本上可以分为两大类,一类是有集中的信息存储地,通过专用的客户端或者是web登陆去访问、使用这些信息,应用系统有自己的帐号、权限管理体系。另一类就是以电子文档的形式存储在客户端或者服务器,文件的访问和控制依赖于操作系统的访问控制功能。那么我们可以看到,保护这些信息的措施最主要的还是依赖于各种各样的访问控制或者数据加密手段,如果我们把终端端口管理也归类于访问控制的话。访问控制和授权的日常管理的最佳人选肯定是业务部门的人员或者是应用系统的管理员,而不是所谓的信息安全人员。数据加密、端口管理以及访问控制中所需的身份管理、甚至是PKI等,我们基本上可以认为它也是为企业的IT应用提供一种公共的服务,而按照惯例,公共服务基本上我们可以把它归于基础设施,这部分IT技术管理也可以是IT security operation 团队来负责或者直接由业务应用系统管理的团队来负责。
在这中间还有一个安全的领域越来越重要,那就是业务应用系统中反映出的业务逻辑、授权等的安全。但是这个部分不是我们这些所谓的信息安全人士的强项,要在这方面有所作为,必须要对业务逻辑等非常熟悉,而这些人就是咨询公司的业务、功能顾问或者是最早被称为系统分析员的那些人。
到目前为止,我们看到的工作基本上都是由传统管理功能和一个主要由网络安全技术人员组成的IT security operation团队来完成的,我们所谓的信息安全管理方面的人士还没有抛头露面呢。不要担心,他们也不是完全没有事情可做,刚才我们讲的很多其实都是Operation层面的工作,那么非Operation层面呢?当然还是有不少工作可做的,这些管理流程的制定,流程风险的评估、日常监督和审核等等,为了体现独立性,这些工作最好是由独立的团队来完成,这个团队就可以由所谓的信息安全管理人员来完成。其实,这个团队的主要工作可以被认为是组织的IT风险管理,而由于其不用承担日常Operation的工作,所以规模也不会很大。
当然,不能忘了BCP和DRP,BCP其实更是一个组织内部所有部门都需要参与的一个总体工作,而DRP其实最主要的工作还是在IT内部完成。

总结下来,目前的情况来说,组织内部需要的信息安全专业人员包括两大类,一类是网络安全的技术专家组成,负责网络安全基础设施的建设和运维,他们承担了大多数信息安全相关的operation工作,有的公司可能把这部分职责直接包括在IT的运维团队中,有的可能是包括在新成立的信息安全团队中,还有的可能是专门的一个IT Security Operation 的部门。另外一类就是主要负责信息安全相关策略、流程的制定和优化,同时对策略、流程的执行情况进行审计和监督。这可能是一个独立的信息安全部,汇报给CIO或者是CEO,也可能是IT部门中的一个团队,不过从理想的角度来看,这应该是一个独立于IT的团队。
所以信息安全在公司内部的发展无外乎就是这两个方向,Security Operation的目标是提供安全的网络基础设施和环境,信息安全管理部门的目标是管理组织的IT风险。什么是基础设施,办公设备、电力供应都是基础设施,信息安全虽然包含很多高新技术,但也不过是高技术的基础设施而已。风险管理对公司来说很重要,但是只有在保证公司的主营业务能够顺畅运行的情况下,风险管理才对公司来说有意义。
所以,信息安全在公司内部的功能肯定是比较局限,只能是一个相对较小的团队和舞台。最高的职位也就是公司的CISO或者IT security 团队的总监,带领最多几十人的团队(这其实已经挺奢侈了)。如果你想成为公司的CIO,带领数百上千人的团队,主导公司内部IT,成为老板甚至是董事会眼中的热门人物,那么还是不要选择信息安全,如果你的终极目标是公司的CEO,那么也请尽早的离开信息安全,去做公司的主营业务。
但是,有多大的舞台并不意味着你就一定有多大的成就,舞台只是提供了你一种可能。

2. 信息安全在乙方
信息安全在组织内部有多大的发挥空间也就意味着在乙方你多大的想象空间,相对来说,乙方的任务更多的集中于IT设施的建设阶段,我们就来看一下在这中间信息安全供应商的发挥空间有多少。从IT Security来说,几乎所有传统网络安全的项目现在已经变成网络构建所必需的一部分组件,防火墙、×××、防病毒、IDS等等,而掌握这些技术,已经几乎成为系统集成工程师的必修课。终端管理、防垃圾邮件、防DDOS等等也许迟早有一天会变成相应系统工程师的技能。还有一些相对专门的领域,日志分析/SOC,数据加密软件、PKI等等,也许会有一段时间留给这些专门从事信息安全系统集成的工程师和公司。我们也许还能想起来,有一大块是针对应用系统的安全,包括访问控制、身份管理以及相应的审计等等。可是这部分工作我实在不看好我们传统的网络安全厂商能够在其中做些什么,先说目前稍有升温的IDM产品来说,基本上推出产品的公司都是以作企业应用见长的公司,Oracle, Novel, IBM, SUN等等。也很容易理解,企业身份管理现在大家最关注的是企业员工在日益增多的企业应用,像ERP、Web Portal中的认证和授权管理,而和业务关联如此紧密地内容绝非传统安全厂商所长。而具体实施这些产品的工程师,也肯定需要对企业的业务比较熟悉,而这,又恰恰是信息安全专家的软肋。与此类似,我也蛮看好的企业应用审计和欺骗检查(Fraud Dectection)也应该有类似的发展趋势。当然,随着web 应用大行其道,web安全自然也会成为大家关注的焦点,但是从术业有专攻的角度来说,我更加倾向于从事Web程序开发的人员能够在这方面做得更好。
前面这是技术的部分,基本上应对于组织内部IT security 部分的工作,接下来针对信息安全风险管理、BCP等等部分,这些基本上都是一些纯粹咨询或者是像27001那样一些应景的工作。这种工作只有在客户本身已经比较成熟,已经有这样的一些思想的时候才能够顺利的推动下去。
所以比起在甲方,乙方的工作更加不容易,系统集成工程师和业务/功能顾问、应用开发工程师从两头夹击,信息安全技术的专业领域越来越窄,或者是偏移到一些新的领域。而信息安全管理咨询或是IT风险管理咨询面临的又是一片不成熟的市场,客户本身的成熟度还不能够去接受这样一些概念。

3. 信息安全的前景
从总体来看,信息安全的前景应该还是不错,但是到底这个前景以什么样的形式出现,真的还很难预测。为什么这么说呢?
首先看总体前景不错的说法,近些年来,IT应用已经越来越***到组织运转的各个方面,从邮件、Web到ERP到BI,从员工到客户到供应商。而眼下,Web 2.0,SOA等新技术也正以雨后春笋之势在各个公司内部蔓延开来。IT技术应用越广泛,信息的传播渠道也就越多,信息保护的难度也就越大。所以信息安全也肯定会越来越被受到重视。

但是深入想一下,我们就会发现这也许是一个美丽的肥皂泡。因为,虽然总体前景不错,但是对于我们个人而言,在里面的机会其实也许并没有多少。如前面所说,系统集成工程师和业务/功能顾问、应用开发工程师从两头夹击,必须要由信息安全专业来做的事情越来越少。也许,信息安全会美好的前景就在于,它越来越成为IT专业人员必备的技术而不是成就一些专门的信息安全人员。所以我们的信息安全专业也许可以让我们在IT的其他方面更具有竞争力而不是让我们成为一个专门的信息安全专家。

做出了这样一个分析,我们是会依然全身心的投入信息安全这个专业,还是毅然决然的放弃,或者犹豫着不知道该做出怎样的选择。其实,怎样的选择都没有关系,关键是做出选择的时候至少要知道两点。第一,你要的是什么?这个问题只有你自己能够回答。第二,还是那句话,舞台只是提供给你一种可能,但并不是舞台越大你的成就越高,能够有多高的成就很大程度上还取决于你的努力。