|
從2024年1月1日開始到今天����,基本沒有真正放下自己休息過一天??赡芎芏嗳藭f是卷,其實真正的原因是壓力�。不僅僅是生活壓力還有行業(yè)壓力。 今年這個行業(yè)讓很多人開始感到了迷茫�,不僅是股市的低迷,更多的來自于各大公司不斷的因為經(jīng)營壓力的大量裁員���,公司整合���,畢業(yè)生的沖擊。在狹義的網(wǎng)絡(luò)安全領(lǐng)域中����,70%的技術(shù)人員執(zhí)著于純粹的攻防技術(shù)���,其實網(wǎng)絡(luò)安全攻防入門很簡單,但是走向頂峰卻是異常的艱難曲折��。這幾年��,不管是各種比賽還是攻防對抗演練�,讓很多人陷入了自己的海市蜃樓。真正從這些工作中走向技術(shù)頂峰的卻是千里挑一甚至是萬里挑一�。而這些活動也更多的讓網(wǎng)絡(luò)安全和業(yè)務(wù)越走越遠(yuǎn)。算起來從1993年從事IT����,真正接觸網(wǎng)絡(luò)安全領(lǐng)域應(yīng)該是在2001年。不知道能不能算是老人���,但是我本身并不屬于網(wǎng)絡(luò)安全圈���。可能是因為我沒有拿過站�����,沒有爬過庫甚至沒有發(fā)布過漏洞的緣故吧,不過這樣也挺好���。至少在人生發(fā)展中我不會把自己陷入迷茫���,我是如何解困的,在這和大家做一個簡單的分享����。 實際上,網(wǎng)絡(luò)安全或者信息安全領(lǐng)域從業(yè)人員到底應(yīng)該如何發(fā)展�。早期網(wǎng)絡(luò)安全領(lǐng)域不討論業(yè)務(wù)問題的根本是早期的業(yè)務(wù)與信息化之間并不討論強(qiáng)依賴關(guān)系��,或者說����,信息系統(tǒng)都沒了,對于業(yè)務(wù)的影響是有限的甚至是0�,這時候,網(wǎng)絡(luò)安全在形成攻防對抗的時候并不會或者無需更多的關(guān)注業(yè)務(wù)的持續(xù)性問題��。解決問題的手段更多的以產(chǎn)品化為主���,真正依賴于安全技術(shù)的服務(wù)市場和咨詢市場并沒有形成����。這使得我們的網(wǎng)絡(luò)安全咨詢僅僅在2005-2010年之間形成體系后一蹶不振,一個不去與業(yè)務(wù)融合�����,不去討論不可復(fù)制性的咨詢活動注定是失敗的�,更有甚至還有模板化咨詢、生成式算法咨詢等等產(chǎn)物將網(wǎng)絡(luò)安全咨詢產(chǎn)業(yè)徹底打入了冷宮�����。2010年前做安全服務(wù)的大多數(shù)是從IT運(yùn)維服務(wù)轉(zhuǎn)型����,在融入安全服務(wù)的過程中,能夠理解IT基礎(chǔ)知識和業(yè)務(wù)的基本屬性�。然而現(xiàn)在更多做安全服務(wù)的是從攻防出身,刻意強(qiáng)調(diào)“暴露”和“漏洞”問題����,而不去討論如何合理解決這些暴露和漏洞,最終在影響被夸大以及昂貴的修復(fù)成本導(dǎo)致甲方逐漸對網(wǎng)絡(luò)安全失去了信心�����,支撐網(wǎng)絡(luò)安全工作的僅僅是立法和合規(guī)要求。這就使得這個市場表面在擴(kuò)大��,實際上和數(shù)字化產(chǎn)業(yè)的發(fā)展而言����,很難形成正比。 隨著信息化的演進(jìn)和發(fā)展����,尤其是數(shù)字化的提出,網(wǎng)絡(luò)安全從單一的攻防對抗與業(yè)務(wù)持續(xù)性之間產(chǎn)生了本質(zhì)的沖突�����。業(yè)務(wù)與數(shù)字化之間形成了強(qiáng)依賴關(guān)系��;薄弱的基礎(chǔ)設(shè)施和非工程化的建設(shè)下���,我們的數(shù)字化體系其實是千瘡百孔。這時候這個行業(yè)本應(yīng)是一個知識密集型產(chǎn)業(yè)�����,實際上現(xiàn)在正在向勞動密集型和商務(wù)型產(chǎn)業(yè)快速膨脹。云技術(shù)使得業(yè)務(wù)的集中化實際上壓縮了網(wǎng)絡(luò)安全市場的發(fā)展�,一方面技術(shù)的要求越來越高,另一方面人力資源的需求卻在急速下降�。這時候網(wǎng)絡(luò)安全從業(yè)人員該何去何從呢? 在一個組織中��,真正具有話語權(quán)的部門是哪一個�����?不是IT部門�����,更不是網(wǎng)絡(luò)安全部門而是業(yè)務(wù)部門�����。作為為IT部門和網(wǎng)絡(luò)安全部門提供高端技術(shù)支撐的網(wǎng)絡(luò)安全從業(yè)人員如果不能從業(yè)務(wù)視角去建立工作規(guī)劃���,這些人員最終將成為矛盾部門的導(dǎo)火索或者某一方勢力的槍手���。那么這些人員該如何更好的站在這個圈子里面呢?勇敢的去了解業(yè)務(wù)�����、理解業(yè)務(wù),從業(yè)務(wù)視角去公立的提供咨詢��。什么是了解業(yè)務(wù)���,一個組織利益是建立在業(yè)務(wù)基礎(chǔ)之上�,在組織業(yè)務(wù)中���,哪些是核心業(yè)務(wù)���,哪些是支撐業(yè)務(wù),哪些是輔助業(yè)務(wù)����,對業(yè)務(wù)的了解越多,和業(yè)務(wù)部門溝通的能力也就越強(qiáng)����;理解業(yè)務(wù)是從兩個視角�����,一個是業(yè)務(wù)的實現(xiàn)視角,業(yè)務(wù)流程和業(yè)務(wù)責(zé)任�;另外一個視角是從構(gòu)成業(yè)務(wù)的IT邏輯視角。從IT角度而言��,更多的時候我們討論的安全問題是依賴于IT構(gòu)成關(guān)系的抽象化表達(dá)���。比如業(yè)務(wù)功能如何表現(xiàn)�����,業(yè)務(wù)邏輯如何通過代碼調(diào)度����,數(shù)據(jù)如何實現(xiàn)業(yè)務(wù)活動等等問題��,因為在傳統(tǒng)理解的網(wǎng)絡(luò)安全工作是圍繞著這些問題來展開的����。但是更多的時候,當(dāng)業(yè)務(wù)流程本身存在缺陷���,或者業(yè)務(wù)在通過IT表達(dá)的時候刻意留出特權(quán)賬號和特權(quán)功能時���,我們該如何應(yīng)對���?換個角度來說,當(dāng)我們的網(wǎng)絡(luò)安全從業(yè)人員放下產(chǎn)品化安全的思考�,降低攻防對抗的眼界,更多的從業(yè)務(wù)角度深入理解網(wǎng)絡(luò)安全工作的時候����,你會發(fā)現(xiàn)上帝為你打開了一扇窗戶。 任何職業(yè)都有自己生命周期�����,做技術(shù)的黃金年齡35-45歲�����,一旦過了這個年齡��,很多人的技術(shù)就已經(jīng)到達(dá)了瓶頸���,很難再有大的突破�����;但是做業(yè)務(wù)和咨詢卻是越老越妖���。技術(shù)每個月都可能產(chǎn)生新的變更,而業(yè)務(wù)三五十年都很難發(fā)生大的變化�����,最多改變的是業(yè)務(wù)的表現(xiàn)形式��;而網(wǎng)絡(luò)安全領(lǐng)域有一個最大的優(yōu)勢就是這個行業(yè)可以涉及所有行業(yè)和領(lǐng)域����,這是任何一個專業(yè)都不可企及的優(yōu)勢。理想的網(wǎng)絡(luò)安全公司應(yīng)該是我只做一個行業(yè)�,比如:運(yùn)營商、金融��、政府����、交通或者醫(yī)療。長期在一個行業(yè)的沉淀能夠使自己的公司及員工更加了解和掌握的這個行業(yè)和領(lǐng)域��。但現(xiàn)實中很難找到這樣的公司���,比如:長期沉淀于電力的南瑞����,長期扎根在石油的瑞飛。在這樣的場景下�����,我們更應(yīng)該脫離開網(wǎng)絡(luò)安全的束縛去理解業(yè)務(wù)特征����。同樣網(wǎng)絡(luò)安全涉及眾多的技術(shù)領(lǐng)域,比如:網(wǎng)絡(luò)技術(shù)�����、主機(jī)/操作系統(tǒng)技術(shù)���、數(shù)據(jù)安全�、ICT供應(yīng)鏈��、物聯(lián)網(wǎng)�、人工智能等等,不可能存在萬精油���,但各個技術(shù)之間又是相互關(guān)聯(lián)相互輔助����,因此專注于一個領(lǐng)域或兩個領(lǐng)域,讓自己不要迷失在各種概念和欲望中時�,前面的路自然也就通了��。 實際上網(wǎng)絡(luò)安全領(lǐng)域是最容易轉(zhuǎn)行��,因為一個真正的網(wǎng)絡(luò)安全從業(yè)人員需要具備的技術(shù)和能力遠(yuǎn)非我們看到的這么多���。首先從個人經(jīng)歷而言�����,建議每一個做網(wǎng)絡(luò)安全的都能了解一些哲學(xué)知識�����,他會為后續(xù)各個知識域的融合起到重要作用����;其次���,如果能夠長期扎根于一個行業(yè)���,建議能夠多讀讀這個行業(yè)的業(yè)務(wù)知識資料和專業(yè)知識�,比如:運(yùn)營商卡業(yè)務(wù)涉及到業(yè)務(wù)支撐網(wǎng)���、信令網(wǎng)和網(wǎng)管網(wǎng)���,那么一個卡流程是如何在各個網(wǎng)元中形成交互和調(diào)度的,這是分析卡業(yè)務(wù)故障和入侵的重要知識保障�����;第三���,能夠?qū)W習(xí)一些法律知識����,一方面是為了保護(hù)自己���,另一方面也是為用戶建立需求提供一種依據(jù)��,你對法律掌握的能力越強(qiáng)���,為今后步入法務(wù)行業(yè)打下的基礎(chǔ)也就越厚�����;第四�����,抓住一個領(lǐng)域深入學(xué)習(xí),而不是跟著概念的屁股跑�,任何一個新生概念最終需要回歸的基礎(chǔ)技術(shù)之上,比如:數(shù)據(jù)安全�。而數(shù)據(jù)安全所需要的基礎(chǔ)知識又為未來數(shù)據(jù)要素、數(shù)字化產(chǎn)業(yè)��、物聯(lián)網(wǎng)�����、智慧產(chǎn)業(yè)����、人工智能、大數(shù)據(jù)提供必要的支撐��。第五,能夠掌握一些商務(wù)能力��,一方面能夠從財務(wù)角度分析項目的收益和實施成本管理��;一方面能夠通過甲方的立項��、付款流程的了解為需求方提供合理的立項方式和付款途徑���;為未來創(chuàng)業(yè)打好基礎(chǔ)�。 不管是疫情三年�,還是網(wǎng)絡(luò)安全最火的疫情前,實際上作為一個自由人從來不會為自己的生計過多擔(dān)憂的一個重要因素就是做自己����,規(guī)劃自己,不貪�����,不隨波逐流����。以上內(nèi)容只是個人體會,并不一定適合每一個網(wǎng)絡(luò)安全從業(yè)人員��。希望此文能夠給陷入迷茫的同行提供一些參考和幫助。
|
