安全职业规划

1、每月安全MVP文章-2006年7月安全职业生涯进阶：92个简单步骤破解安全行业发布日期：2006年07月12日作者：Karl Levinson, CISSP , Looking Glass Systems请参阅其他每月安全MVP文章专栏这么说您想要获得一份信息安全工作？或者您已经在从事信息安全 工作(infosec)，但想要进一步提高或转到其他信息安全领域？下面是我所知道的有关在信息安全方面自我提高的常见问题的答案。 我在自己的职业生涯的各个阶段运用这些信息成功地实现了学习和 提高。我唯一的遗憾是没有人早点向我提示这些信息，否则的话我现 在也许已经功成身退，正在某个小岛上悠哉游哉，而不用在这里

2、写文 章教您如何抢走我的饭碗！现在言归正传。认证您花费时间和金钱取得某些安全认证后，将来的回报是更高的薪水和 更好的就业机会。但是，取得认证并不意味着万事大吉。有了认证可 以帮助您获得求职面试的机会，但不能保证您获得工作。您还必须在 面试中证明自己有实际知识和经验，而这些并不能通过认证来获得。CISSP认证最有价值的安全认证之一仍然是国际信息系统安全认证联合会 (ISC)2提供的CISSP认证。我建议大多数安全专业人员在取得其他 类似证书之前，先考虑获取CISSP认证。CISSP认证与其他认证不 同，它只需要您通过一次考试。承担不起昂贵培训费用的人可以使用 随处可以买到的各种廉价CISSP教材

3、。您也可以询问现在的雇主是 否可以为您承担费用。为获得CISSP认证，必须有一位现任或前任经理愿意证明您在安全 工作方面有四年专职工作经验。（如果您持有批准的认证（比如Microsoft 认证系统管理员（MCSA）或 CompTIA Security+），则可 以减去一年。如果您有信息安全方面的大学学位，也可以减去一年。） 由于这一要求，CISSP不会为您获得第一份安全方面的工作，但却可 以帮助您获得第二份或第三份工作。（ISC）2提供了一些不太知名的 入门级认证，比如只需要具有一年经验的系统安全认证从业者 （SSCP），和不需要经验的“（ISC）2准成员”。这些认证不如CISSP那 样出名，

4、因此对您的职业生涯不会有同样大的帮助。我建议在可能的 情况下直接获取CISSP。CISSP考试费用为499到599美元，并且通常必须提前一个月甚至 更长时间进行安排。您可能需要预测什么时候可以准备好参加考试， 然后确保在该日期做好准备。换句话说，不要仓促应考，必须做好准 备，然后安排在下一次考试日期参加考试。考试仅在相对较少的几个 地点进行，通常是在大城市中。您可能需要旅行一段距离，甚至需要 在外住宿，因为考试总是在上午8:00准时进行。在考试过程中，您最多有6个小时的时间来解答250道多项选择 题，其中有些题在措词上可能易于造成混淆。据说考试会根据正态分 布曲线进行评分，因此及格分数会有所变

5、化。及格与否的通知会在大 约五周后邮寄给您。不会通知您准确的分数。如果您通过阅读一本400页的教材来准备250道题的考试，您应阅 读并理解每一页，否则就会有答错的风险。我建议您至少要阅读一本 学习指南，同时还要阅读CCC网站上提供的免费材料。然后 应通过CCC上提供的测验来测试您是否已做好考试准备。您 还应查看免费的（ISC）2 Candidate Information Bulletin（英文）， 其中包括考试中可能涉及的主题的列表。在看完这些材料后，如果您 觉得对列表中的一项或多项准备不充分，您可以阅读有关这些主题的 更多资料。SANS GIAC 认证SANS Institute的GIAC

6、系列安全认证也很有价值。SANS提供的大 多数认证和培训均面向有实际经验的计算机安全技术专业人员，这些 人员已决定专门从事入侵检测和事件响应等工作。GIAC提供的部分 认证和培训面向审计人员或经理。SANS提供的认证培训可以使您增长见识，并可作为工作培训使您获 益多多。同时其价格也非常昂贵，为2,000到3,500美元甚至更高 （即使您选择SANS自学）。大多数考试都没有廉价的第三方教材，因此，SANS即使不是唯一的GIAC培训来源，也是主要来源。GIAC认证分为“白银级”和“黄金级”。黄金级认证要求您在通过 考试后撰写并提交一篇论文。如果您以捆绑形式同时购买GIAC培训 和考试，您必须在完成

7、培训后四个月之内安排进行考试。如果资金紧张，您可以通过自学来获得GIAC认证：研读几本适合的 书籍后，参加一次50美元的GIAC在线实践测试以增强您的信心， 然后参加一项认证考试。即便如此，不参加培训的GIAC考试也会花 费您800美元（即使考试未通过）。您可以考虑通过参加100美元 的考试来获得一个级别较低的GIAC “证书”。您还可以从SANS技术学院获得理学硕士学位。要获得此学位，您必 须通过八次GIAC认证考试，为获得“黄金级”认证提交数篇论文， 完成分配给您的三个需要在现场住宿完成的“社区项目”，并在毕业 时具有三年的工作经验。估计总学费为29,000美元左右，与从您所 在地区其他学

8、校获得信息安全硕士学位所需的费用相近。理学硕士学 位最短可在两年内获得。SANS有资格授予学位，但尚未经过鉴定其他认证对于大多数技术安全领域而言，虽然CISSP和GIAC是两种最有价 值的认证，但以下一些与安全有关的其他认证也可能有帮助。某些供应商提供与其产品安全有关的认证，比如与安全有关的Microsoft认证专家（MCP）考试、安全专业Microsoft认证系统工程师（MCSE）和Cisco的CCSP（Cisco认证安全专家）认证。如果 您想要或预期在以后使用、管理或设计这些产品，则这些认证对您会 有价值。如果您不想或预期不会在以后使用Cisco设备，则获得 Cisco认证对您价值不大。有

9、时可能需要处于某些职位的安全专业人员了解并支持来自多个供 应商的产品。如果您就是这样的专业人员之一，您最好首先获得一个 “不特定于供应商”的认证（比如CISSP），而不要从任何单一供应 商获得过多的认证。除非您已经对专门研究某一领域感兴趣，否则建 议您对两种或两种以上的操作系统或设备达到半熟练的程度，而不要 把时间仅仅用在对一种操作系统或设备获得很高程度的认证。如果您在简历中列出四种或四种以上的认证，则有些雇主可能会怀疑 您将所有时间都花费在了应付认证考试中，他们会怀疑您的真才实 学。获得三个以上不同认证当然没什么问题，但建议在您的名下一次 不要列出三个以上的认证。请考虑从您的简历中去除与目标

10、工作不相关的任何认证，或去除您认 为自己最不擅长的领域的那些认证。还应考虑去除不太需要的认证。 例如，如果您已获得MCSE认证，则建议您从简历中去除MCP。如果 您正在积极获取某一认证，则您应在简历中列出这一事实。CompTIA至少提供两种可能有价值的入门级认证（Linux+和 Security+），这两种认证特别适合于无法获得（ISC）2认证的情况。 CompTIA A+认证与安全不相关，建议在申请与安全有关的职位时将 其去除。书籍不管您是否对认证感兴趣，总有各种各样的方式可用来提高您的技能 和经验。如果您囊中羞涩，无法参加昂贵的培训，自学也是一条出路。 各种揭露黑客的书籍是一系列领域的极佳

11、的入门教材。我也参与编写 了以下书籍： Incident Response and Computer Forensics, Second Edition（英文）；Writing Secure Code, Second Edition（英 文）和TCP/IP Illustrated, Volume（英文）。如果企业防火 墙是您所要面对的问题，请阅读Building Internet Firewalls, Second Edition （英文）。关于网络入侵检测监控，请试试Network Intrusion Detection, Third Edition（英文）。（ISC）2 提供了 一个最佳安

12、全书籍列表，该列表也与CISSP学习相关。对于资金紧张的人，其中许多书籍（包括CISSP学习指南）都可以 在Amazon以低价购到八、九成新的二手货。您当地的图书馆可能会 有一些相关的书籍，或者您可以在NetLibrary或从下节引用的网站 上查找免费的电子书籍。网站Microsoft TechNet安全中心网站具有Microsoft免费提供的大量 安全培训和参考信息。该网站还为喜欢听而不喜欢读的人提供了免费 的网络广播。例如，请务必请查看Security Guidance（英文）、Learning Paths for Security（英文）、Threats and Countermeasu

13、res（英文）、Understanding Security（英文）、IT Pro Security Community （英文）Small Business Security （英文）和Security MVP Article of the Month（英文）。可 以说琳琅满目，应有尽有。美国国家标准技术研究所（NIST）出版的Special Publications （英文）类似于介绍各种主题的免费培训书籍，其最显著之处在于介绍了现实中的大型企业是如何实现安全性的。您还可以在SANS Reading Room中阅读有关安全的短文（由GIAC认证应试者编著）。 美国国土安全部的BuildSe

14、curityIn网站上有一些有关Web和编 程安全的优秀文章，Open Web Application Security Project (OWASP) 网站也有。另请查看CERT/CC的 论文和演示文稿。我自己的 SecurityAdmin.Info FAQ网站上除了提供本文未列出的其他有用文 章、网站和工具链接的长长列表外，也提供了大量安全信息。技术支持论坛在网站上的Internet支持论坛和在Usenet新闻组中发布内容，是 获得实际经验的相对简单的途径。尽管这项工作没有报酬，但它却可 以展示您在安全方面的天份和奉献精神、您的职业道德和您的写作技 能。这也是新手了解最常见的实际问题（及这

15、些问题的解决方法）的 绝佳途径。这些信息可帮助您在求职面试中聪明地回答问题。仅仅通 过认证往往并不能确切地告诉您如何解决当今最常见的问题。找到一个与您感兴趣的IT安全领域相关的技术支持论坛。首先不要 张贴帖子。“潜伏”下来，阅读问题和建议。但要保持开放心态。对 有关安全方面的“总是”和“从不”这样的露骨说法要抱怀疑态度。 一段时间以后，您可能就会了解并记住您以前所不知道的答案。之后， 您即可以开始权威性地解答越来越多的问题。在论坛中出名后再深入一步。一遍又一遍地回答同一个问题对任何人 都不是一件有乐趣的事。如果论坛设有“常见问题”网站，则您可以 主动帮助维护该页面。如果没有“常见问题”，您可以

16、自己编写一个 并将其发布到Usenet，或建立您自己的有关该主题的常见问题网站。FAQ on my site只是众多常见问题示例网站中的一个。）您还可 以向您的网站中添加博客，然后添加有关当前事件、新热点主题等的 评论和文章。不管最终结果如何，请务必在简历和求职面试中提及您 的成果。下面是几个流行的安全支持论坛：Microsoft NewsgroupsSecurityFocusGoogle GroupsICastleCops ForumsBroadband ReportsGibson Research Corporation （GRC）Firewall-WizardsTotal Virus D

17、efense Users Group某些基于Web的论坛还可以通过电子邮件或Usenet新闻组进行访 问。在通过后者进行访问的情况下，您会发现使用新闻阅读器软件（比 如 Microsoft Outlook Express 或 Forte Free Agent）直接访问 news:/服务器，要比使用网页来阅读发布内容更容易一些。Microsoft MVP 奖作为一种附加的鼓励机制，如果您经常性地向免费的Microsoft技 术支持论坛发布可靠的建议，您可能有机会被提名获得Microsoft MVP （最有价值专家）奖。这无疑会给您的简历增光添彩。Microsoft MVP奖的其他好处包括教育机会

18、、与Microsoft内部和外部的安全 专业人员建立沟通的机会以及一些有趣的礼品。Microsoft MVP还有 机会撰写并发表文章供成千上万的人阅读（比如您正在阅读的这篇文 章就是）。MS MVP奖用于奖励过去的成就，并以此来支持用户社区。Microsoft 通过这个项目来鼓励用户社区中的人坚持不懈地勤奋工作。不要担 心, MVP获奖之后并不需要在言行方面与以往不同。不会要求MS MVP 成为推行Microsoft产品的布道者一即使成为布道者也不会有助 于您获得MVP提名。（如果您不相信，请阅读下一节，我在其中包 括了指向Linux启动CD的链接。）在Microsoft新闻组中发布内容并不是

19、唯一一种赢取MS MVP奖提 名的方式。人们有时也会因为对其他非Microsoft社区（比如我在 上文中提及的社区）做出了切实的贡献，或因为其自己的网站或软件， 而获得MS MVP提名。除Microsoft外，其他供应商也可能设有类 似的奖励项目。软件工具在许多技术安全领域，对TCP/IP和至少一种（两种更好）操作系统 （比如 Microsoft Windows、Linux、BSD 或 Sun Microsystems 的 Solaris）有渊博的知识，可以使您获得极佳的优势。使用Wireshark Ethereal嗅探程序、Nessus漏洞扫描程序、Snort入侵检测系统 （IDS）软件或者

20、其他网络安全工具75强中的一种或多种工具，是一 个良好的开端。使用其中的某些工具可能会违反您的雇主或 Internet服务提供商的规定，并可能导致被解雇或断线，因此请小 心从事，先得到同意。掌握至少一种编程或脚本编写语言（比如C、 C+、汇编语言、Perl、VBScript、JavaScript 和/或 HTML）会有帮 助，但并非绝对必需。如果您仅熟悉Windows，则熟悉其他操作系统和Windows以外的安 全工具的有效方法，是使用免费的Linux实时启动CD。下载、刻录 然后插入启动CD，您的计算机很快就会运行Linux以及所有相关的 实用程序，无需您安装任何内容或进行任何故障排除。He

21、lix和 Knoppix-STD是流行的两种与安全相关的实时CD，其他实时CD列 于Darknet和KNOPPIX网站上。其中的某些光盘甚至专门适合于进 行渗入测试或论证。其他Linux光盘可以使速度缓慢的老式备用计 算机成为防火墙。如果您不具备快速访问Internet连接的能力，则 可以通过邮购方式购买这些CD。另外还有可放在启动软盘中的较小 的Linux分发版本。实时启动盘的优势在于，您可以随身携带这些光盘，并可以在几乎任 何计算机上运行这些光盘，而基本上不会出现问题。但除非您受过专 门训练并已认真完成过许多任务，否则您会发现仅仅使用一个启动 CD很难超越“摸索练习”阶段。如果您每天都要支

22、持或使用该软件， 您可能需要了解更多信息。在家里通过IDS软件对入侵作出响应或 监视网络通信量，与在工作中通过实时系统和数据执行此类操作完全 不同。专业化您可能会考虑专门担任某一特定的安全职位。安全专业职位多种多 样，您不可能成为所有职位的专家。某些领域可能易于让新手进入。例如，IDS监控是一个安全领域，它 需要使用入门级的人员来提供24小时监控，以便将监控成本控制在 可承受的范围内。专业从事IDS监控的信息安全领域新手可以籍此 进入该领域(假定您所在地区有从事IDS监控的公司)。如果愿意 从事一段时间的夜班工作，则将有助于您迈出走向成功的第一步，虽 然在日班以外的时间进行学习和提高会更难。专

23、业从事计算机论证可能会有所帮助，因为对具有论证技能的人才似 乎求大于供。不过，此类工作可能并不总是像在电视上看到的那样有 趣。您不太可能找到渗入测试或系统破解方面的实习职位。这些工作很难 找到。您可能会找到一些涉及漏洞评估扫描的入门级认证与鉴定 (C&A)工作，特别是当您住在从事此项工作的联邦政府或其他实体附 近时。求职某些工作的招聘启事并不会随处张贴，而只在雇主的网站上发布。若 要找到安全方面的工作，您可能必须找出并访问您所在地区从事安全 工作的雇主的网站。它们往往是大型组织（比如商务公司及联邦和州 政府实体），以及为这些大型组织从事安全工作的承包公司（比如我 所供职的公司Looking Glass Systems）。像联邦承包商100强名单中前25家这样的大型组织往往拥有更多的入门级安全职位，而且 以后提高的机会也更多。另外，许多雇主还重视在大型环境中从事安 全工作的经验。您也许还想在有安全职位的公司中担任非安全方面的职位。许多雇主 都不愿意冒险聘用他们不了解的人员和没有专职安全工作经验的人 员。不过，在对您的工作进行一年的考察后，这些雇主可能会很愿意 将您这位爱好安全工作的优秀员工从服务台或服务器团队调到安全