作為一名安全工程師是怎樣的體驗

　　在某世界前三云計算公司做安全攻城獅，在中國也有業(yè)務(wù)但是和世界其他地方是分開的，我不負(fù)責(zé)中國區(qū)。

　　主要有幾大團(tuán)隊

　　安全運(yùn)營團(tuán)隊，分布在全世界幾大地區(qū)，輪流oncall，主要負(fù)責(zé)應(yīng)急響應(yīng)，和內(nèi)部業(yè)務(wù)團(tuán)隊溝通處理安全事件等等

　　安全整合團(tuán)隊，負(fù)責(zé)將安全作為主要功能結(jié)合在產(chǎn)品里

　　應(yīng)用安全團(tuán)隊，red team這種，對內(nèi)滲透測試和代碼安全審計。

　　安全平臺團(tuán)隊，寫各種安全相關(guān)的工具和管理平臺。

　　威脅情報團(tuán)隊，精英都在里面，人數(shù)很少技術(shù)很牛逼，主要研究botnet和malware。

　　更神秘的研究團(tuán)隊，挖0day，主要是hypervisor和內(nèi)核級的。

　　很多大產(chǎn)品團(tuán)隊本身也有自己的安全團(tuán)隊，我們主要就是有事和他們溝通了。

　　忙不忙看人品，有時候oncall一大早十來個page，有時候兩三天也沒一個。

　　具體負(fù)責(zé)什么主要看你在哪個團(tuán)隊了。

　　進(jìn)入大公司安全部門最大的挑戰(zhàn)就是熟悉業(yè)務(wù)，熟悉業(yè)務(wù)，熟悉業(yè)務(wù)，重要的事情說三遍。比如，有人給你們報了某產(chǎn)品有漏洞，你要知道去找哪個團(tuán)隊，由誰負(fù)責(zé)，又比如你們的掃描器發(fā)現(xiàn)某主機(jī)存在漏洞，你要知道這個主機(jī)是誰負(fù)責(zé)，上面有什么業(yè)務(wù)，存了什么數(shù)據(jù)等等。

　　另外就是要會寫小工具，有時候一下通知幾百上千個團(tuán)隊更新軟件包是件很痛苦的事情。

　　主要分為哪幾種類型的工作?

　　主要分類：安全運(yùn)維，安全審計。按照CISSP，安全要細(xì)分十個領(lǐng)域，不過真正在甲方工作的話，職位就這兩個差不多了。(不知道保安算在哪一種?)

　　有些公司是直接分到IT/技術(shù)部門;有些公司有安全部門，部分公司會有很多安全小團(tuán)體，共同向安全總監(jiān)匯報。第三種比較常見。

　　一般情況下一天的工作時間安排會是什么樣子?

　　不管具體是負(fù)責(zé)安全哪一塊的，都差不多是這樣工作的：

　　開會，總結(jié)安全的問題(被黑了，信息泄露了，公司發(fā)現(xiàn)了哪些安全脆弱了)

　　做產(chǎn)品(包括開發(fā)安全產(chǎn)品，各種需要的產(chǎn)品，包括寫文檔之類的，文檔很重要，可以把安全信息可視化，主要看公司的需求)

　　協(xié)助其他部門買產(chǎn)品或做顧問(買安全設(shè)備，檢查別的部門買的設(shè)備是否有明顯的安全漏洞，檢查別的部門的工作會不會影響公司的安全。不僅僅是指參與IT部門的安全啊，甚至包括財務(wù)人事等，各個部門，當(dāng)然會有分工的，不是一個人查全部。)

　　安全檢查(全方位，因為大公司要過安全審計的。這點很瑣碎，無所不及，而且還不能影響其他部門正常工作，所以基本是中午啊，半夜啊，雖然會有自動化工具什么的，但是依然心里惦記著，晚上手機(jī)震動就會醒了，以為有報警。)

　　會遇到什么在其他公司難以遇到的挑戰(zhàn)?

　　這里是重點：

　　1、團(tuán)隊人少是肯定的，安全部門不會很龐大，有經(jīng)驗的就更少了，幾乎只有經(jīng)理級別的有經(jīng)驗。大多數(shù)隊員們都是來自各行各業(yè)(開發(fā)啊，運(yùn)維啊，測試啊)就算是安全公司跳過來的，技能也比較局限，比如人家只會挖web漏洞，給他個二進(jìn)制的他也不行，給他系統(tǒng)級的安全問題，他也 不擅長，沒辦法，安全是需要積累的，但是堅持下來的人很少。事多錢少背黑鍋。

　　2、事情雜多雜多的，全部要自己來。一般其他部門的開發(fā)就開發(fā)，運(yùn)維就運(yùn)維，安全部門基本上是自己做的。絕對不可能讓開發(fā)公司app的或web的團(tuán)隊幫你做安全產(chǎn)品。原因很簡單，他們是為公司賺錢的，安全表面上看不出賺錢。所以基本上開發(fā)測試上線運(yùn)維都自己來，雖說自己來是指安全部門或團(tuán)隊自己來，但是由于安全團(tuán)隊不可能跟開發(fā)團(tuán)隊人數(shù)比，所以實際工作中還是相當(dāng)于一個人能做的.越多越好。之前說了，安全還要參與別的部門的事情，所以知識面必須很廣。比如銷售們出臺了一個活動，你要放下手里的代碼，去看看他們這么玩行不行，會不會有安全隱患。根據(jù)經(jīng)驗，人事部門，銷售部門經(jīng)常出問題。IT部門中的開發(fā)測試也問題多多，運(yùn)維也不省心，產(chǎn)品選型必須參與。有時心態(tài)也會調(diào)整不好，我那邊正忙著補(bǔ)一個漏洞呢，你們這種過家家的事還要浪費我時間，但是不去不行啊，你這邊好不容易防護(hù)過濾通通上了，人家一做活動，大字報一貼，什么奇奇怪怪的信息都能輕易的泄露出去。

　　3、安全部門地位尷尬。事情要做，但是沒人理你。舉個例子，要開發(fā)安全產(chǎn)品，沒有人給你資源，因為開發(fā)部門都不夠用呢。你要買安全產(chǎn)品，人家不批準(zhǔn)，因為安全產(chǎn)品比較貴。你部署的要求，沒人理你，什么?你要加一個設(shè)備在我的網(wǎng)絡(luò)里?你要干嘛啊，我們網(wǎng)絡(luò)組好不容易把網(wǎng)維護(hù)的棒棒噠，你別多事。因為安全很難引起管理層的重視。哪怕出了事故了也很難引起足夠的重視。

　　4、永遠(yuǎn)招人恨。業(yè)務(wù)部門想出來絕妙的點子。安全部門沖上去說不行!!! 開發(fā)部門來不及上新版本了，安全部門沖上去說慢著!!!人事部門只是發(fā)郵件收集一下信息，安全部門說等下!!!大家會覺得安全部門太TM煩了。安全部門的要求很難被理解。還會打擾人家。比如人家DBA玩的挺hi的你過去說：季度審計一下，不好意思配合做個。。。溝通永遠(yuǎn)是個麻煩的問題，更惡心的是安全沒有大家想象的那么閑的蛋疼，相反是很忙很忙。已經(jīng)盡可能避開業(yè)務(wù)高峰了。

　　5、專業(yè)背黑鍋。從CSO開始到工程師都背的。信息安全是全公司的事，并不是安全部門的事。但是大家不會理你的。每次溝通，說的再清楚也沒用。因為安全一定會與便利性沖突，沒辦法CIA原則平衡起來確實困難。漏洞百出安全部門只能看在眼里也沒辦法。舉個例子：安全掃描(這個無論大小公司比做吧，而且一般是半夜做哦)發(fā)現(xiàn)一臺數(shù)據(jù)庫服務(wù)器有系統(tǒng)漏洞。然后跑去跟系統(tǒng)部門說吧，他們不理你，說這是DBA的事情啊。DBA會說：什么漏洞?我們的數(shù)據(jù)庫很安全的，絕對注入不了，安全部門要從何科普起好呢?這還是技術(shù)部門內(nèi)部。其他部門就更坑爹了，業(yè)務(wù)部門根本無法理解安全部門擔(dān)心的問題。覺得是想多了，也不好解釋這是風(fēng)險控制吧，不好直接給她們看那個定性的量表圖吧?然后出事了，就是安全部門背黑鍋，雖然在具體追責(zé)的時候會追個人的責(zé)任，但是大家對安全部門印象好不起來。”我們的安全部門不行“。經(jīng)驗得，出事情最多的：行政部(社會工程防不勝防)>測試部>運(yùn)維部>其他部門。

　　應(yīng)屆生來大公司(如阿里巴巴、騰訊、百度)，可能會遇到的最大的挑戰(zhàn)與困難是什么?

　　同上所訴，就是因為回答這個小問題，才決定匿的。個人覺得三家的安全部門百度管理的好一些。但也是50步笑百步，都比較散亂。最亂的是阿里個人感受。要補(bǔ)充說明一下，安全是非常隱蔽的，非專業(yè)人士難以評價的，這三家還有一些大公司在安全上都是付出了努力的，但是由于一些非常致命的原因，他們的安全還是會出問題，以及他們自己對安全不到位可能產(chǎn)生的后果的承擔(dān)能力不同，所以給人感受不同(簡單說就是，有企業(yè)明確安全目標(biāo)是：老子不怕你來黑我，這樣的指導(dǎo)思想會直接影響安全結(jié)果，與企業(yè)的一個安全工程師是否優(yōu)秀無關(guān)，安全是打全局戰(zhàn)的)

　　三家都有一個優(yōu)勢，就是他們的安全部門都已經(jīng)不僅僅是support部門了，都受到公司的重視了，可以有明確的目標(biāo)，有東西學(xué)。比如 阿里的云安全，其實是可以算作“盈利”的存在了。因為保護(hù)的用戶不是散戶而是企業(yè)級的用戶。

　　另外，應(yīng)屆生的話，其實就是沒有經(jīng)驗的學(xué)生，很遺憾的是，學(xué)生不等于沒有經(jīng)驗，牛的學(xué)生足夠多，但是!做安全太依賴經(jīng)驗了，所以安全行業(yè)的學(xué)生等于沒有經(jīng)驗。所以，沒經(jīng)驗的話我剛剛說的那么些(那些只是一部分工作內(nèi)容，還不是全部)基本不會給你接觸的，所以，學(xué)生其實只是做最落到實處的部分，比如：開發(fā)。區(qū)別就是人家開發(fā)app，你開發(fā)安全應(yīng)用咯。一定要說有什么工作上的區(qū)別，對學(xué)生來說可能就是你要學(xué)的東西太多了吧，具體上手不會有太多的區(qū)別的。人家開發(fā)你也是，人家寫文檔你也是。所以，學(xué)生做安全的一天基本上是這樣的：

　　開發(fā)

　　領(lǐng)導(dǎo)開會回來了，告訴你要繼續(xù)開發(fā)

　　開發(fā)

　　領(lǐng)導(dǎo)去參與其他部門的安全問題了，告訴你繼續(xù)開發(fā)

　　開發(fā)

　　驗收開發(fā)的階段性成果

　　下班，下班前做一下安全審計的工作，很簡單很耗時

　　下班回家，擔(dān)心著自動化的審計工具有沒有問題啊?

　　第二天上班，先查看一下昨天的審計是否順利，順利則上交審計數(shù)據(jù)，不順利?則今晚重來一遍。

　　開發(fā)。。。

　　當(dāng)然，這也只是一種，也有其他的，比如把開發(fā)改成運(yùn)維，審計改成分析log等等，大致就是這個節(jié)奏了。

　　安全工程師工作適合什么樣子性格和能力的人，怎么樣就算做得“優(yōu)秀”?

　　適合打人生下半場的人做。仔細(xì)回憶一下，身邊做安全的，好像沒什么人能堅持下來從事這一行的。因為錢少事多背黑鍋。所以嘗試轉(zhuǎn)行的基本上都轉(zhuǎn)回去了。學(xué)生來做的，紛紛轉(zhuǎn)行的也不少。

　　真正坐下來的，我認(rèn)識的從事這行也有5年以上，到十幾年的都有。他們已經(jīng)有很大的不可替代性了，已經(jīng)是manager級別的了。所以堅持很重要。

　　回答最后一個問題，網(wǎng)上總會有各種人才，腳本小子也好，漏洞達(dá)人也好。我想說一下，那不是安全從業(yè)者追求的狀態(tài)。原因是這樣的，安全是正當(dāng)職業(yè)。雖然黑客也可以賺錢，而且暴利。但是很難洗白。真正的需要安全人才的公司不要流氓的。另外一個原因，安全很大的只是寬度，而不是深度。當(dāng)然，深度也需要，只是沒寬度重要�，F(xiàn)在可以做黑客，找漏洞。那么10年之后呢?還繼續(xù)找漏洞?10年后公司不是需要一個找漏洞的人，而是可以保護(hù)企業(yè)安全的人，那時候你要可以全面評估企業(yè)資產(chǎn)安全，制定計劃，出臺安全政策。說了安全有10個領(lǐng)域，局限于一個是不行的。

　　最后說一下：安全不會比開發(fā)這種工作工資高的哦。都說了不受重視了。所以很有可能題主找工作的時候直接奔著錢就去做開發(fā)了，還懂些安全很受歡迎了�；蛘哂X得開發(fā)簡單一心做開發(fā)就好了，安全學(xué)那么多學(xué)都學(xué)不完。我技術(shù)不差為什么要受人指點，轉(zhuǎn)行吧。這兩個誘惑可以過，基本就適合做安全。

　　利益相關(guān)：CISSP，工作經(jīng)歷：大公司安全工作人員(SIEM)，曾在乙方主要做加密，DLP等方向。

【作為一名安全工程師是怎樣的體驗】相關(guān)文章：

1.英語好是一種怎樣的體驗

2.怎樣做一名合格的監(jiān)理工程師

3.盲人當(dāng)速錄員是一種怎樣的體驗

4.造價工程師的職業(yè)素養(yǎng)是怎樣的

5.怎樣成為一名優(yōu)秀監(jiān)理工程師

6.怎樣做好一名文秘

7.作為一名管理怎么和上下級溝通

8.作為一個秘書應(yīng)該擁有怎樣的口才