明白了自己應該具有怎樣的心態，我們還是希望讓自己能夠在選擇自己的職業發展道路的時候更加明白不同的工作是怎樣一回事，各個不同的工作之間有什么不同。那么就讓我們逐一來分析信息安全這個類別中可能的職位，當然，還是那句話，由于我個人經驗、知識、能力等等因素的限制，分析肯定帶有強烈的個人經驗色彩，僅供參考。

1． 各類職位略解
信息安全的職位總體來說可以分為依靠具體的安全技術、產品來實施安全建設和運維的安全技術類工作和依靠策略、制度、流程來進行安全管理、監督和審計的安全/風險管理/審計類工作，我們在后面的討論中就把其簡稱為安全技術工作和安全管理工作。真正的工作中這些東西可能互有交叉，各個組織內部由于部門設置、組織文化的不同而有所差別，我們只是討論一些比較理想的狀況。
[separator]
安全技術類工作由于和IT技術關系密切，我們可以先從整個IT看起。前面說過，整個IT從功能上來說主要包括基礎架構、協同辦公以及業務應用程序等幾部分，從生命周期上來說可以分為項目建設和日常運維兩個階段。縱橫切割之后，基本可以分為基礎架構建設，基礎架構運維，應用程序開發和建設，應用程序維護（可能有的公司會有專門的IT流程管理和IT審計部門，這個我們暫時不討論）。我們來看看這中間有多少和安全相關的職位，傳統網絡安全的防火墻、×××、IDS等設備基本上都可以放在基礎架構建設和運維中，基礎架構運維中負責主機部分的工程師一般要負責主機操作系統層面的安全，基礎架構或者協同辦公運維的工程師還要負責員工賬號的管理，基礎架構運維中的helpdesk分支基本上還要負責客戶端防病毒等安全性的管理。應用程序開發和建設的工程師要保證開發出來應用程序的安全性，應用程序運維的工程師要管理應用程序中的員工賬號和權限。在甲方來說，這些工作基本上都不屬于專門的信息安全工作人員，而是IT工程師在安全方面應該承擔的一部分安全的職責。
所以，在甲方工作的IT基礎架構工程師如果能夠掌握更多的網絡安全的知識，那么就會在自己的領域內具有更好的競爭力，而如果我們只是單純的了解一些網絡安全的知識，而對整個系統沒有全面地了解，就很難在甲方的基礎架構部門立足。在乙方來說，相應安全產品的工程師其實和其他IT產品的工程師一樣，負責支持自己熟悉的產品和技術領域。所以我們即便只是在某個特定的領域或者產品方面有自己的特長，我們也照樣可以在安全產品的供應商中謀得一席之地。但是，如果我們的乙方是給客戶提供綜合的信息安全技術解決方案和服務，那么我們就需要在網絡、主機、數據庫、應用等各個領域以及相關的安全領域內都有所涉獵。
那么是不是我們在甲方的信息安全人員就沒有位置了呢？也不是。從運維角度來說，隨著SOC概念的興起，有的組織已經把防火墻、IDS、SOC等等集中到一個團隊來進行集中管理和響應，這個團隊主要是負責安全設備的集中管理和安全事件的集中響應，同時有的還負責相應安全事件的后續調查。當然，對于這些人員的綜合能力要求也會相對比較高一些，既要對IT的各個領域都有所涉獵，又要對于安全設備比較熟悉，同時還要有網絡***這方面的知識。
從系統開發和建設的角度來說，有的組織會有專門的團隊來進行應用程序上線前的安全性測試等等。這部分工作就需要技術人員對應用程序開發語言比較熟悉，能夠熟練的運用各種***測試技術。這些工作和***工作有同工異曲之妙J 對于數據加密、終端管理等等這樣的項目在甲方來說如果沒有信息安全部的話，一般也會由負責基礎架構項目建設的團隊來完成。
其實在一些信息安全作的比較好的公司，技術方面可能還會有信息安全架構師的職位，主要是設計公司的總體信息安全技術架構，參與評估各種IT新項目中系統架構設計的安全性等等。
到這兒安全技術類的工作基本上可以告一段落，那么安全管理類的工作有哪些呢？一方面需要有人制定信息安全方面的策略，一方面需要人有管理這些策略的日常執行，一方面需要有人審計這些策略是否執行到位。這些工作可以定義為風險管理，也可以定義為信息安全管理，也有人定義為信息安全審計。但是不管是做什么，我們有一點很清楚，我們做的這些事十有八九還是和IT相關，做這些事的人十之八九還是需要有比較強的IT基礎和信息安全技術基礎。當然，在這之上，這些人還需要具有一些流程、管理等方面的知識和經驗。

當然，具體到每個公司，可能有的會把安全管理類工作和安全技術類工作放在同一個部門，有的信息安全部可能只是負責安全管理類工作和安全技術類中項目建設的部分，具體的運維還是由各相應的IT運維部門負責。但是，作為從業人員，我們的專業技能基本上也就是這樣幾個方面。在工作中，我們可能根據自己的工作經歷、興趣、機會等各種因素有選擇的發展。

2． 道路選擇中的幾個矛盾
a. 安全技術VS安全管理
在工作的時候，我們可能會面臨一些疑惑，到底是從安全技術方面做起還是從安全管理、審計、流程制度等方面做起？其實我覺得都沒有關系，如果想能夠在這條道路上走的更遠，兩方面的知識和經驗都會對你有所幫助。問題的關鍵在于，在工作的過程中，一方面積累自己的專業知識，另一方面要積累對于業務需求的理解。為什么這么說？回到問題的本質，我們做信息安全的目的是為了保護組織的信息，同時信息對于組織有價值是因為它能夠促進組織的業務。所以我們一定要理解組織的業務模式，理解信息對于組織的作用和價值，理解信息安全在中間的作用和工作機理。因為這對于我們和其他業務部門打交道，對于我們和老板打交道，更是對我們的職業生涯的發展有非常重要的意義。

b. 甲方VS乙方
我們經常會困惑于甲方還是乙方的選擇，其實很簡單。甲方的主要工作是日常運維（甲方專門的項目建設部門除外），乙方的主要工作是負責IT項目建設（Managed Service除外），我們在這兩個階段需要的能力和獲得的能力都不太一樣。日常運維來說，需要的能力比較全面，因為一，多數情況下我們要負責維護多個不同的系統，二，我們要解決日常碰到的可能各種各樣的問題。這樣，通過不斷的解決問題你就會對所負責領域的知識有更加深入地了解，同時由于運維工作很多時候比較貼近用戶所以能夠獲得對于組織業務和流程的更好的理解。
項目建設來說，又分為多種不同的角色，售前和售后是兩個基本的分類，售后工程師的基本要求相對低，只要能夠對你負責的領域內的產品比較熟悉，基本上就可以勝任。在工作的過程中可以不斷積累對于該領域和產品的知識和經驗。售后實施中如果是大項目的話，項目經理的角色就非常重要，綜合要求比較高，但是實施過程中獲得的經驗也往往非常寶貴。說一句題外話，像終端管理、文件加密等等和用戶關系密切的項目，一般都需要比較好的項目管理，不然，項目的客戶滿意度就很難保證。售前要求的綜合素質比較高，但是我們除了可以提高自己的溝通能力、presentation能力之外很難在專業方面有所收獲，那些廠商工程師的經驗積累多半是在售后支持的時候獲得的。

明白了各個不同的職位需要什么樣的能力，自己能夠獲得什么樣的收獲，我相信每個人都可以得出自己的判斷

?

轉載于:https://blog.51cto.com/linkboy/297682

總結

以上是生活随笔為你收集整理的【信息安全】职业发展之惑系列三 -- 我该选择怎样的职业发展道路的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。