作為一名安全工程師是怎樣的體驗

　　在某世界前三云計算公司做安全攻城獅，在中國也有業(yè)務(wù)但是和世界其他地方是分開(kāi)的，我不負責中國區。

　　主要有幾大團隊

　　安全運營(yíng)團隊，分布在全世界幾大地區，輪流oncall，主要負責應急響應，和內部業(yè)務(wù)團隊溝通處理安全事件等等

　　安全整合團隊，負責將安全作為主要功能結合在產(chǎn)品里

　　應用安全團隊，red team這種，對內滲透測試和代碼安全審計。

　　安全平臺團隊，寫(xiě)各種安全相關(guān)的工具和管理平臺。

　　威脅情報團隊，精英都在里面，人數很少技術(shù)很牛逼，主要研究botnet和malware。

　　更神秘的研究團隊，挖0day，主要是hypervisor和內核級的。

　　很多大產(chǎn)品團隊本身也有自己的安全團隊，我們主要就是有事和他們溝通了。

　　忙不忙看人品，有時(shí)候oncall一大早十來(lái)個(gè)page，有時(shí)候兩三天也沒(méi)一個(gè)。

　　具體負責什么主要看你在哪個(gè)團隊了。

　　進(jìn)入大公司安全部門(mén)最大的挑戰就是熟悉業(yè)務(wù)，熟悉業(yè)務(wù)，熟悉業(yè)務(wù)，重要的事情說(shuō)三遍。比如，有人給你們報了某產(chǎn)品有漏洞，你要知道去找哪個(gè)團隊，由誰(shuí)負責，又比如你們的掃描器發(fā)現某主機存在漏洞，你要知道這個(gè)主機是誰(shuí)負責，上面有什么業(yè)務(wù)，存了什么數據等等。

　　另外就是要會(huì )寫(xiě)小工具，有時(shí)候一下通知幾百上千個(gè)團隊更新軟件包是件很痛苦的事情。

　　主要分為哪幾種類(lèi)型的工作?

　　主要分類(lèi)：安全運維，安全審計。按照CISSP，安全要細分十個(gè)領(lǐng)域，不過(guò)真正在甲方工作的話(huà)，職位就這兩個(gè)差不多了。(不知道保安算在哪一種?)

　　有些公司是直接分到IT/技術(shù)部門(mén);有些公司有安全部門(mén)，部分公司會(huì )有很多安全小團體，共同向安全總監匯報。第三種比較常見(jiàn)。

　　一般情況下一天的工作時(shí)間安排會(huì )是什么樣子?

　　不管具體是負責安全哪一塊的，都差不多是這樣工作的：

　　開(kāi)會(huì )，總結安全的問(wèn)題(被黑了，信息泄露了，公司發(fā)現了哪些安全脆弱了)

　　做產(chǎn)品(包括開(kāi)發(fā)安全產(chǎn)品，各種需要的產(chǎn)品，包括寫(xiě)文檔之類(lèi)的，文檔很重要，可以把安全信息可視化，主要看公司的需求)

　　協(xié)助其他部門(mén)買(mǎi)產(chǎn)品或做顧問(wèn)(買(mǎi)安全設備，檢查別的部門(mén)買(mǎi)的設備是否有明顯的安全漏洞，檢查別的部門(mén)的工作會(huì )不會(huì )影響公司的安全。不僅僅是指參與IT部門(mén)的安全啊，甚至包括財務(wù)人事等，各個(gè)部門(mén)，當然會(huì )有分工的，不是一個(gè)人查全部。)

　　安全檢查(全方位，因為大公司要過(guò)安全審計的。這點(diǎn)很瑣碎，無(wú)所不及，而且還不能影響其他部門(mén)正常工作，所以基本是中午啊，半夜啊，雖然會(huì )有自動(dòng)化工具什么的，但是依然心里惦記著(zhù)，晚上手機震動(dòng)就會(huì )醒了，以為有報警。)

　　會(huì )遇到什么在其他公司難以遇到的挑戰?

　　這里是重點(diǎn)：

　　1、團隊人少是肯定的，安全部門(mén)不會(huì )很龐大，有經(jīng)驗的就更少了，幾乎只有經(jīng)理級別的有經(jīng)驗。大多數隊員們都是來(lái)自各行各業(yè)(開(kāi)發(fā)啊，運維啊，測試啊)就算是安全公司跳過(guò)來(lái)的，技能也比較局限，比如人家只會(huì )挖web漏洞，給他個(gè)二進(jìn)制的他也不行，給他系統級的安全問(wèn)題，他也 不擅長(cháng)，沒(méi)辦法，安全是需要積累的，但是堅持下來(lái)的人很少。事多錢(qián)少背黑鍋。

　　2、事情雜多雜多的，全部要自己來(lái)。一般其他部門(mén)的開(kāi)發(fā)就開(kāi)發(fā)，運維就運維，安全部門(mén)基本上是自己做的。絕對不可能讓開(kāi)發(fā)公司app的或web的團隊幫你做安全產(chǎn)品。原因很簡(jiǎn)單，他們是為公司賺錢(qián)的，安全表面上看不出賺錢(qián)。所以基本上開(kāi)發(fā)測試上線(xiàn)運維都自己來(lái)，雖說(shuō)自己來(lái)是指安全部門(mén)或團隊自己來(lái)，但是由于安全團隊不可能跟開(kāi)發(fā)團隊人數比，所以實(shí)際工作中還是相當于一個(gè)人能做的越多越好。之前說(shuō)了，安全還要參與別的部門(mén)的事情，所以知識面必須很廣。比如銷(xiāo)售們出臺了一個(gè)活動(dòng)，你要放下手里的代碼，去看看他們這么玩行不行，會(huì )不會(huì )有安全隱患。根據經(jīng)驗，人事部門(mén)，銷(xiāo)售部門(mén)經(jīng)常出問(wèn)題。IT部門(mén)中的開(kāi)發(fā)測試也問(wèn)題多多，運維也不省心，產(chǎn)品選型必須參與。有時(shí)心態(tài)也會(huì )調整不好，我那邊正忙著(zhù)補一個(gè)漏洞呢，你們這種過(guò)家家的事還要浪費我時(shí)間，但是不去不行啊，你這邊好不容易防護過(guò)濾通通上了，人家一做活動(dòng)，大字報一貼，什么奇奇怪怪的信息都能輕易的泄露出去。

　　3、安全部門(mén)地位尷尬。事情要做，但是沒(méi)人理你。舉個(gè)例子，要開(kāi)發(fā)安全產(chǎn)品，沒(méi)有人給你資源，因為開(kāi)發(fā)部門(mén)都不夠用呢。你要買(mǎi)安全產(chǎn)品，人家不批準，因為安全產(chǎn)品比較貴。你部署的要求，沒(méi)人理你，什么?你要加一個(gè)設備在我的網(wǎng)絡(luò )里?你要干嘛啊，我們網(wǎng)絡(luò )組好不容易把網(wǎng)維護的棒棒噠，你別多事。因為安全很難引起管理層的重視。哪怕出了事故了也很難引起足夠的重視。

　　4、永遠招人恨。業(yè)務(wù)部門(mén)想出來(lái)絕妙的點(diǎn)子。安全部門(mén)沖上去說(shuō)不行!!! 開(kāi)發(fā)部門(mén)來(lái)不及上新版本了，安全部門(mén)沖上去說(shuō)慢著(zhù)!!!人事部門(mén)只是發(fā)郵件收集一下信息，安全部門(mén)說(shuō)等下!!!大家會(huì )覺(jué)得安全部門(mén)太TM煩了。安全部門(mén)的要求很難被理解。還會(huì )打擾人家。比如人家DBA玩的挺hi的你過(guò)去說(shuō)：季度審計一下，不好意思配合做個(gè)。。。溝通永遠是個(gè)麻煩的問(wèn)題，更惡心的是安全沒(méi)有大家想象的那么閑的蛋疼，相反是很忙很忙。已經(jīng)盡可能避開(kāi)業(yè)務(wù)高峰了。

　　5、專(zhuān)業(yè)背黑鍋。從CSO開(kāi)始到工程師都背的。信息安全是全公司的事，并不是安全部門(mén)的事。但是大家不會(huì )理你的。每次溝通，說(shuō)的再清楚也沒(méi)用。因為安全一定會(huì )與便利性沖突，沒(méi)辦法CIA原則平衡起來(lái)確實(shí)困難。漏洞百出安全部門(mén)只能看在眼里也沒(méi)辦法。舉個(gè)例子：安全掃描(這個(gè)無(wú)論大小公司比做吧，而且一般是半夜做哦)發(fā)現一臺數據庫服務(wù)器有系統漏洞。然后跑去跟系統部門(mén)說(shuō)吧，他們不理你，說(shuō)這是DBA的事情啊。DBA會(huì )說(shuō)：什么漏洞?我們的數據庫很安全的，絕對注入不了，安全部門(mén)要從何科普起好呢?這還是技術(shù)部門(mén)內部。其他部門(mén)就更坑爹了，業(yè)務(wù)部門(mén)根本無(wú)法理解安全部門(mén)擔心的問(wèn)題。覺(jué)得是想多了，也不好解釋這是風(fēng)險控制吧，不好直接給她們看那個(gè)定性的量表圖吧?然后出事了，就是安全部門(mén)背黑鍋，雖然在具體追責的時(shí)候會(huì )追個(gè)人的責任，但是大家對安全部門(mén)印象好不起來(lái)。”我們的安全部門(mén)不行“。經(jīng)驗得，出事情最多的：行政部(社會(huì )工程防不勝防)>測試部>運維部>其他部門(mén)。

　　應屆生來(lái)大公司(如阿里巴巴、騰訊、百度)，可能會(huì )遇到的最大的挑戰與困難是什么?

　　同上所訴，就是因為回答這個(gè)小問(wèn)題，才決定匿的。個(gè)人覺(jué)得三家的安全部門(mén)百度管理的好一些。但也是50步笑百步，都比較散亂。最亂的是阿里個(gè)人感受。要補充說(shuō)明一下，安全是非常隱蔽的，非專(zhuān)業(yè)人士難以評價(jià)的，這三家還有一些大公司在安全上都是付出了努力的，但是由于一些非常致命的原因，他們的安全還是會(huì )出問(wèn)題，以及他們自己對安全不到位可能產(chǎn)生的后果的承擔能力不同，所以給人感受不同(簡(jiǎn)單說(shuō)就是，有企業(yè)明確安全目標是：老子不怕你來(lái)黑我，這樣的指導思想會(huì )直接影響安全結果，與企業(yè)的一個(gè)安全工程師是否優(yōu)秀無(wú)關(guān)，安全是打全局戰的)

　　三家都有一個(gè)優(yōu)勢，就是他們的安全部門(mén)都已經(jīng)不僅僅是support部門(mén)了，都受到公司的重視了，可以有明確的目標，有東西學(xué)。比如 阿里的云安全，其實(shí)是可以算作“盈利”的存在了。因為保護的用戶(hù)不是散戶(hù)而是企業(yè)級的用戶(hù)。

　　另外，應屆生的話(huà)，其實(shí)就是沒(méi)有經(jīng)驗的學(xué)生，很遺憾的是，學(xué)生不等于沒(méi)有經(jīng)驗，牛的學(xué)生足夠多，但是!做安全太依賴(lài)經(jīng)驗了，所以安全行業(yè)的學(xué)生等于沒(méi)有經(jīng)驗。所以，沒(méi)經(jīng)驗的話(huà)我剛剛說(shuō)的那么些(那些只是一部分工作內容，還不是全部)基本不會(huì )給你接觸的，所以，學(xué)生其實(shí)只是做最落到實(shí)處的部分，比如：開(kāi)發(fā)。區別就是人家開(kāi)發(fā)app，你開(kāi)發(fā)安全應用咯。一定要說(shuō)有什么工作上的區別，對學(xué)生來(lái)說(shuō)可能就是你要學(xué)的東西太多了吧，具體上手不會(huì )有太多的區別的。人家開(kāi)發(fā)你也是，人家寫(xiě)文檔你也是。所以，學(xué)生做安全的一天基本上是這樣的：

　　開(kāi)發(fā)

　　領(lǐng)導開(kāi)會(huì )回來(lái)了，告訴你要繼續開(kāi)發(fā)

　　開(kāi)發(fā)

　　領(lǐng)導去參與其他部門(mén)的安全問(wèn)題了，告訴你繼續開(kāi)發(fā)

　　開(kāi)發(fā)

　　驗收開(kāi)發(fā)的階段性成果

　　下班，下班前做一下安全審計的工作，很簡(jiǎn)單很耗時(shí)

　　下班回家，擔心著(zhù)自動(dòng)化的審計工具有沒(méi)有問(wèn)題啊?

　　第二天上班，先查看一下昨天的審計是否順利，順利則上交審計數據，不順利?則今晚重來(lái)一遍。

　　開(kāi)發(fā)。。。

　　當然，這也只是一種，也有其他的，比如把開(kāi)發(fā)改成運維，審計改成分析log等等，大致就是這個(gè)節奏了。

　　安全工程師工作適合什么樣子性格和能力的人，怎么樣就算做得“優(yōu)秀”?

　　適合打人生下半場(chǎng)的人做。仔細回憶一下，身邊做安全的，好像沒(méi)什么人能堅持下來(lái)從事這一行的。因為錢(qián)少事多背黑鍋。所以嘗試轉行的基本上都轉回去了。學(xué)生來(lái)做的，紛紛轉行的也不少。

　　真正坐下來(lái)的，我認識的從事這行也有5年以上，到十幾年的都有。他們已經(jīng)有很大的不可替代性了，已經(jīng)是manager級別的了。所以堅持很重要。

　　回答最后一個(gè)問(wèn)題，網(wǎng)上總會(huì )有各種人才，腳本小子也好，漏洞達人也好。我想說(shuō)一下，那不是安全從業(yè)者追求的狀態(tài)。原因是這樣的，安全是正當職業(yè)。雖然黑客也可以賺錢(qián)，而且暴利。但是很難洗白。真正的需要安全人才的公司不要流氓的。另外一個(gè)原因，安全很大的只是寬度，而不是深度。當然，深度也需要，只是沒(méi)寬度重要�，F在可以做黑客，找漏洞。那么10年之后呢?還繼續找漏洞?10年后公司不是需要一個(gè)找漏洞的人，而是可以保護企業(yè)安全的人，那時(shí)候你要可以全面評估企業(yè)資產(chǎn)安全，制定計劃，出臺安全政策。說(shuō)了安全有10個(gè)領(lǐng)域，局限于一個(gè)是不行的。

　　最后說(shuō)一下：安全不會(huì )比開(kāi)發(fā)這種工作工資高的哦。都說(shuō)了不受重視了。所以很有可能題主找工作的時(shí)候直接奔著(zhù)錢(qián)就去做開(kāi)發(fā)了，還懂些安全很受歡迎了�；蛘哂X(jué)得開(kāi)發(fā)簡(jiǎn)單一心做開(kāi)發(fā)就好了，安全學(xué)那么多學(xué)都學(xué)不完。我技術(shù)不差為什么要受人指點(diǎn)，轉行吧。這兩個(gè)誘惑可以過(guò)，基本就適合做安全。

　　利益相關(guān)：CISSP，工作經(jīng)歷：大公司安全工作人員(SIEM)，曾在乙方主要做加密，DLP等方向。

【作為一名安全工程師是怎樣的體驗】相關(guān)文章：

網(wǎng)站SEO時(shí)應把用戶(hù)體驗作為核心環(huán)節08-02

怎樣給網(wǎng)站帶來(lái)好的用戶(hù)體驗度？08-15

在韓國留學(xué)是一種怎樣的體驗08-15

網(wǎng)站基礎體驗得分怎樣做到訖情盡意09-18

怎樣做一名合格的物流經(jīng)理08-18

怎樣做一名合格的速錄員02-22

作為一名優(yōu)秀心理咨詢(xún)師需具備的素質(zhì)05-31

怎樣成為一名心理咨詢(xún)師10-22

怎樣發(fā)揮造價(jià)工程師的作用08-26

怎樣做好監理工程師01-11