从事网络安全工作需要哪些资质？转岗到安全岗位是否简单易行？就职于该行业的最大好处是什么？

 

近期，我联系了来自世界各地的多位网络安全招聘专家，以找出这类问题的答案。在这篇博客中，你将获得以下专家的见解和建议：

 

Miguel（北美）：在过去五年里，美国针对网络安全和信息安全设立了专门的学位。以前，如果你申请工程师岗位，其岗位要求只会提到具备基本的 IT 知识；你可能会从传统的 IT 基础设施岗位慢慢过渡到网络领域。

 

但是现在，这些新学位有着特定的要求——它会从安全的角度教授基本的网络知识和基础设施知识，而不是从诸如路由器和交换机配置等更广泛的角度进行探讨。

 

因此，应届毕业生的求职道路发生了转变，他们会直接担任 SOC 职务，成为安全信息与事件管理（SIEM）监管方面的分析师——而不是以前的常规转岗。

 

不过这些转变并不局限于大学和学位。总的来说，针对网络安全的学习内容越来越多。最终，所有大学和学院都将普及这些课程，原因是各企业对此的需求极高——未来也将是如此。

 

James（英国和爱尔兰）：在英国，虽然设有一些网络安全方面的学位，但还远没有普及。我们发现，想从事网络工作的人大多是那些从 十四、五岁就开始学习黑客技术的人。通常，这些人不会去大学读书，但他们很可能会是最优秀的网络渗透测试人员，因为他们从小就开始学习该领域的知识。

 

此外，还有针对网络方面的学徒制度。这样的人才比较少，往往会被政府通信总部（GCHQ）或招募顶级学校毕业生的特殊企业网罗。

 

Robert（澳大利亚和爱尔兰）：在澳大利亚和新西兰，想要进入网络安全行业工作，证书并不是必备条件。但是，如果你缺乏实践经验，证书是展示你的兴趣和学习能力的一个好方式。

 

网络安全有很多细分领域，且每一个领域都有相应的资质证书。我们建议初入门时尽可能多地接触各种知识，并考取诸如 Comptia Network 和 Security+ 等证书。对于那些更高级的专业人士来说，他们早已胸有成竹，知道自己想要发展的网络安全领域，他们现阶段的任务就是确定更明确的目标。如果你的目标是网络治理、风险与合规管理（GRC），需要注册信息安全员（CISM）或 信息系统安全专业认证（CISSP），但如果你的兴趣是进攻型安全，那么道德骇客认证（CEH）或网络安全研究机构（SANS）的任何证书将会为你的简历锦上添花。

 

Edmond（亚洲）：在亚洲地区，我推荐信息系统安全专业认证（CISSP）、国际注册信息系统风险控制专家（CRISC）、注册信息安全员（CISM）、国际信息系统审计师（CISA）、全球信息保证认证（GIAC）、思科认证网络安全工程师（CCSP）或云计算安全知识认证（CCSK）资质证书。当然你应当也熟知信息及相关技术控制目标（COBIT）、NIST 标准和 ISO27000 标准。

 

Edmond（亚洲）：一般来说，技术岗位之间的转岗并不容易——尤其是在网络安全方面，因为公司会希望由一个值得信赖且能力出众的团队来守护网络安全。然而，也有一些诸如安全分析师/运营等入门级岗位，或是类似风险管理等功能性岗位，应聘者只需在掌握基础设施和网络知识的基础上，考取初级的网络安全认证，就可以入行。

 

Miguel（北美）：我认为转岗到网络安全岗位的难易程度取决于你当前的岗位。总有一些岗位是一脉相通的，但最终，关键还是在于改变自己的思维。例如，在开展配置和落实工作时，你需要转变自己的思维并自问：我该如何防卫？我该怎样监控这个设备？

 

同样，具备相关的基础知识会使转岗更加容易。你需要确认自己想从事什么领域的工作，并评估自己是否具备该工作所需的技能。如果需要学习或培训，那么资质证书或在线课程将会是最简便的途径。或者，你可以在当地社区找一位导师来帮助你。

 

当然，请牢记要同专业的技术招聘专家合作。如果你对此感兴趣，请点击这里联系我们瀚纳仕的技术顾问。

 

Robert（澳大利亚和爱尔兰）：确实如此。在大型企业中，你会置身于庞大的团队里，你的职务内容往往会局限于狭窄的专业领域之内。而在小型企业里，你很可能会身兼数职。

 

James（英国和爱尔兰）：我同意 Robert 的观点；在大型企业里，你们很可能会各司其职，互不相干；你们会设有标准化的第一、第二和第三道防线。然而，在较小的企业或初创企业中，很有可能你自己就是第一、第二兼第三道防线！

 

但是，如果公司的岗位划分比初创公司稍微细致一点的话，你的职务就将专注于风险而非运营（运营岗位往往会被分配给专注于技术的网络专业人员）。这意味着你的岗位工作内容将包括风险控制、审计、监管和业务咨询。

 

Miguel（北美）：我认为安全计划的成熟度是决定经验的要素。由于小型公司里的团队人手不足，所以会要求员工掌握更多的技能。员工需要打理其公司的里里外外，例如监管、风险或工程。

 

而大型企业可能会拥有一个更强大且更完善的计划，他们设有庞大的团队，将职责一一细分，环环相扣，例如 SOC、IAM、架构、网络治理、风险与合规管理（GRC）。所以，他们在招聘时更侧重于具备特定技能的专业人士。

 

Robert（澳大利亚和爱尔兰）：各有千秋。如果选择大企业，你更有可能进入结构严明、后援强大的企业，同时接触到不同团队，并获知清晰的职业晋升路径。但在较小的企业中，可能会有机会更早地承担更多职责。

 

Miguel（北美）：正如我们之前所讨论的，在像初创公司这样的微型企业中，可能只会有一名（或是两名）网络安全员。这位员工既是首席安全专家，还需要能够样样皆通、面面俱到。所以这样的岗位并不适合初入职场的新人。

 

重点应当是业务的成熟度，而不是规模。最好是从一家成熟的企业（可以是大型企业或中小型企业）开启你的职业生涯，先习得经验。

 

Robert（澳大利亚和爱尔兰）：初期的工作范围越广泛越好！理想情况下，该岗位将让你了解到 IT 网络的技术知识以及相关的管理要求。

 

Edmond（亚洲）：技术含量较低的安全分析师职位是一个不错的入门选择。此外，IT 公司（安全服务/产品提供商）和专业咨询机构（例如 PwC、德勤Deloitte、EY 和 KPMG）都培养出了许多网络安全专业人士和安全技术专家。他们提供各个行业和地区的大量网络安全合规项目及技术项目，因此这将是开启职业生涯的好的开始。

 

James（英国和爱尔兰）：在我看来，最大好处是该职位的多元化，事实上它包罗万象、变化无穷。在网络安全行业，各种技能组合和各类人都有一席之地。从这个意义上来说，它可能算是最多样化的技术专业。

 

而且薪酬也极为可观！

 

Robert（澳大利亚和爱尔兰）：这是一个具有重要战略意义且不断发展的行业，你将在此接触到最先进的技术。从事该职业，将拥有绝佳的机遇，收获丰厚的薪酬。

 

Edmond（亚洲）：如今，网络是科技市场中最热门的领域。这一趋势还将继续发展，因为随着业务的扩展和数字化转型，各企业的业务体系和架构不断扩大，并且变得更加复杂。网络攻击是真实存在的，而且日益猖狂。这意味着对网络安全专业人员的需求将永无止境，该需求将提供良好的职业晋升路径和丰厚的薪酬。

 

Miguel（北美）：从事网络安全工作是一种思维模式。每个人都有这样的思维——不论你从事的安全工作是预防性的还是攻击性的。该行业非常适合拥有这种思维方式的人，而这些人也将在此蓬勃发展。

 

如果你想要了解网络安全工作所需的特定软技能和技术技能（以及当今雇主最急需招聘的人才岗位），请查阅我之前的博客《在网络安全职业中取得成功所必备的技能》。