闲话信息安全入门

来源：http://hi.baidu.com/zyqq/blog/item/2f420cf328ba94cc0a46e0a1.html

这边文章太给力了，分析很到位。

昨天有个朋友问我，怎么样进入信息安全这个行业。

我很难回答这个问题，因为毕竟自己从业时间也不长，从技术、管理、视角、经验等各方面来说，都还是不够资格的。

但这并不妨碍我将自己的一些经验、见解和心得记录下来，没有要误人子弟的意思，有自己见解的人不妨给予批判。

------------------------------------------------分割线--------------------------------------------------------

一. 前人经验

信息安全从业参考 本文介绍了信息安全领域可从事的职位及所需的各种技能名称，对于没有任何基础或者有兴趣进入信息安全领域的朋友是一个较为系统的参考。根据各人兴趣选择性的补充技能缺陷有较大的指导意义。

信息安全职业生涯 本文介绍的是信息安全领域已从业人士可参考的职业进阶路线，当然，每个人的经历和机遇不同，实际中可能有不同的曲线，但总体来说，文章涉及到的点还是比较客观的

CSO的生存艺术   本文介绍的是已经获得了信息安全方面相关职位，例如安全部经理、安全架构师之类的，但在企业推行安全策略时，心有疑惑，或者有志于向安全领域的最高职位CSO（CISO）发展时，可以参考的一些建议

二. 基础解释

信息安全？网络安全？

首先谈谈，什么叫信息安全。

肯定很多人注意到，技术杂志，例如《黑客防线》、《黑客手册》、《黑客X档案》等，一般都在自己的封面上标注“网络安全读物”，而各大论坛，例如CISSP论坛（现在叫做 华安信达CISPS），一般都自称是信息安全。

网络安全和信息安全之间有什么区别呢？
个人认为，网络安全在信息安全行业诞生初期，概念还比较模糊的时候出现的一个“中间产物”，后来使用者多了，就慢慢的约定俗成，认为 网络安全 是信息安全的一个子集，属于侧重技术方面的范畴。

例如，数据库安全，显然在严格意义上来说，并不从属于网络，但是由于它是技术范畴的安全，因此仍旧归类在网络安全里。

而在BS7799（ISO 27001)、ISO 13335中，信息安全需要考虑的点很多时候并不是技术范畴，例如物理安全、人员安全、第三方安全、……

这些对于那些习惯于研究溢出、XSS、SQL Inject的人来说，可能是较为陌生的。而其中涉及到的安全标准、安全策略、安全流程，更是纯技术人员的短板。

当视角从纯技术跳出来，考虑标准涵盖的面、企业（组织）工作流程中的缺陷、安全策略与运营工作的结合时，就实现了 网络安全 到 信息安全 视野的转换。

三. 什么是安全？

前阵子鹰总在blog里写过，面试的时候被问到这个问题。
首先这个提问是一个开放性命题，换言之，在面试的时候被问到这个问题实际上是不需要有标准答案的，但是从你的回答中可以看出答题者的视野和角度。

有些人可能说，安全就是没有任何漏洞。
有些人会说，光没有漏洞还不行，还得符合各种安全的行业标准。
而从某一定的角度来说，安全其实是风险管理的最高境界。

抛开信息安全教程里的定义，什么完整性，保密性，可用性，不谈，在企业里，这样的定义是不完整的。
安全首先是对风险的管理，
而要满足一定程度的安全，是需要投入同样的成本的，获取的是安全性的上升。
安全不可能100%，投入的成本也可以无限大，那么，选取两条曲线的交叉点就成了安全管理者的难题。

因为任何风险评估的量化指标、成本追算，都不可能给予非常有现实意义的决策凭据，尤其是邀请乙方顾问过来做一个项目，几个月时间，访谈一遍，checklist打勾，拍脑袋给每个资产定义权重值，最后计算出一个数字，然后几百万卖回给你。这样的解决方案往往是产品的堆叠和文档的闲置。
顾问走了，留下的产品没人管，没发挥作用，文档没人看，恐怕作者时间长了都忘记里面写的是什么内容了（也有例外，作者给每一个客户写的文档都是千篇一律的模板，换换公司简介和LOGO而已），安全策略也没人推。

于是，最后风险管理的成本和安全性的平衡还是扔回给组织的高层去决策。
毕竟自己才是最清楚自己公司的实际状况的。在不同的公司，不同的职能角色都有义务考虑安全模块，有些是CIO在考虑，有些是CTO在考虑，这样可能就没有CSO或者是安全部的角色。

四. 普通菜鸟在信息安全行业里的一般经历

前文提到的3篇文章可谓是经典，但是初学者看来，未必全能理解。我再讲一个山寨版的故事，从山寨的视角来阐述一下这些观点。

有些朋友是因为QQ号码/游戏帐号被盗，上网中毒开始，首次听说了“ 黑客”这个词。
继而去学会一些黑客工具的使用，掌握了部分计算机基础知识。
有些人可能会去看看代码，学学找漏洞，于是方向开始细分：有人做缓冲区溢出的学习、有人做WEB层面漏洞的挖掘、有人做黑客工具的逆向破解和免杀或开发……

再过了一段时间，这些经验都具备了，他们也大多毕业了，急需一份感兴趣的工作。那么，听起来很体面的“网络安全工程师”就成了一个热门的选择。

获得这个职位的时候，小黑黑们还是有一点沾沾自喜的：以后我不是一个小黑黑了，不轻易做坏事，体面，而且工资相对于同学来说往往也还比较满意。

但是慢慢的，做的时间越来越长，项目做的越来越多，“工程师”们发现自己做的事情越来越不是那么回事了，每次做项目就是带上一堆的扫描器狂扫一通，必要的时候再入侵几台服务器，然后写个渗透测试报告（风险评估文档），拿一个EXCEL对着上面的选项打勾，对完全不熟悉的Oracle/DB2、HP UX/AIX/来做“安全评估”，不停的出差，不断的重复，工资增长却很缓慢……

于是，“工程师”们不满了，觉得安全没前途了，想升职想跳槽。
有些人开始走专业路线，有些人开始转换视角，还有些人会完成乙方到甲方的跳跃。

专业路线： 信息安全从业参考 里提到的各种职位，喜欢技术的就深入钻研某种技术成为研究员，不能深入研究技术，但又具备了一些基础知识，知道设备怎么摆弄的，成了厂商产品工程师（俗称售前或者售后），又或者由于知识面比较广，什么项目都能熟练摆平了，就冠名“高级安全工程师”；只擅长单项技术的可能会成为“渗透工程师”、“web安全工程师”、“系统安全工程师”……

转换视角： 在乙方做项目做的多了，有经验了，有时候就要带新人和团队去做项目了，于是变成项目经理，开始被迫学习项目管理，在乙方逐渐攀爬；有些人在项目中看到了一些安全标准，发现那些顾问靠吹牛和卖解决方案比自己工资高，然后就开始转型变成所谓的“信息安全顾问”，此后淡化技术深度，而偏重于27001、13335、SOX之类的，部分还能说说ITIL\COBIT

甲方： 乙方跳槽到甲方，从一个普通的安全工程师开始，完成企业里各个项目的风险评估，加固，参加各种安全事件的应急响应并提供解决方案，没事扫扫描，看看web代码，查查机器是不是中毒

……

上述种种都只是说一些平凡人的进展，学习能力强，视野开阔，综合能力强的人，会承担更多的责任，自然也会获得更多。

说一说某些八卦：
1. 有人写了一个XSS worm，在某门户站点发布，后来该站点老总离职到一个新的公司，把XSS worm的作者招进去做WEB（主要偏XSS）的审计

2. 有人专门针对一个开源社区找漏洞，然后在自己的组织发布，后来该开源社区将作者招安，专门审计web代码

3. 有人写程序很厉害，写过木马，还写了个很好用的扫描器，然后被招到一个安全公司研发相关产品，将扫描器商业化

4. 有人高中就开始搞逆向和驱动，后来没上大学直接被招到一个免费的个人安全产品公司，现在是技术团队的老大

5. 还有很多安全组织成员毕业即纷纷进入当时国内很著名的安全公司，从安全工程师做项目开始，2年后相继进入各个甲方公司成为高级安全工程师、安全架构师、安全经理

这些八卦是想证明，安全领域的工作不是那么难找的，偏科的和全才但不精通的，都可以在安全的领域里找到一席之地，而且方式多种多样。

五、企业的安全怎么做

说完了一般人进入安全领域的经验和方式，

也可以将自己的一些经验和想法分享出来，接受大家带着批判精神的审阅。

这个话题留到下次谈。

本文的进阶篇： 论甲方的信息安全