網絡安全工作現在也有細分很多崗位,比如系統安全工程師、網絡安全工程師、Web安全工程師、安全架構師等等,具體的會根據公司業務需求來劃分。
招聘時的崗位需求基本就描述清楚了所要做的工作,日常工作和JD差不多。
比如Web安全工程師,主要的工作有:
網站滲透測試,就是透過一些黑客的手段去找網站的漏洞;
代碼安全審計,對網站代碼進行審計,發現其中可能存在的漏洞;
漏洞修補方案制定,對發現的漏洞制定修補方案;
web安全培訓,主要針對開發人員、運維人員的安全培訓,提升安全人員意識;
安全事件應急響應,當發生安全事件的時候,如何去處理,處理完後,寫處理報告,發現其中存在的安全問題,再進行修補;
新漏洞攻防研究,研究一些新的安全漏洞,比如最近的struts2的漏洞研究,域名被黑的研究等,制定相應防護方案;
開源/第三方組件漏洞跟蹤,針對公司使用的第三方,開源組件,進行跟蹤,發現漏洞後第一時間修復;
安全產品的推動實施等,僅僅透過技術是不夠的,有的時候,需要將技術轉換爲安全產品,來減少人的工作量;
我一直不覺得把資訊安全工程師分爲很多種有什麼好,雖然大家都說術業有專攻,但從目前的安全從業者形式來看,搞web的看不起搞系統的,搞系統的看不起搞web的,搞系統的看不起搞網絡的,搞網絡看不起搞系統的,web安全和系統安全以及網絡安全本來就是一體的,對於甲方工作來說,我覺得知識全面一些沒啥不好,不要將崗位職能定死,搞web的就不會搞系統?搞滲透測試的就不會搞web安全?這都不科學,個人技能的提升不能依靠公司給你定死的title!
上邊有朋友回答說調試產品、安全加固、漏洞掃描是低級安全工程師的工作,這點我不敢苟同,搞滲透測試的在乙方我相信很多人都會遇到搞應急響應、加固工作,在甲方相反,運維基礎打的'好的情況下這些都可以做爲安全基線和日常工作比如加固可以做成上線加固服務包,而不是頻繁救火,當然這些是基礎工作,對於level高的人來說或許不重要,但對甲方來說,能把這些做好完全可以獨擋一面,什麼!你不信?那就等出了事情,這些人就會浮出水面了,顯示其工作重要性。
網絡安全工程師這個職位我特定看了下51job,很多公司叫資訊安全工程師、或者叫網絡安全工程師,但職位職能都差不多,說到底企業對於資訊安全的重點源於“丟錢了,丟面子了”,很少有公司會主動來做安全方面的事情,這也是目前的現況。
對於安全工程師的工作,相比程序員來說,工作會相對輕鬆些,因爲你大概聽一句話,安全工程師爲什麼那麼閒?其實他們在掃描、在測試、寫了程序在自動跑,所以安全工程師應該普遍比程序員空限度高,在往上一級來說,安全研究員更主動對漏洞的利用和漏洞挖掘,安全架構師關注的是企業整體的運維安全工作。安全裏難度較高的工種就是安全開發和漏洞挖掘了,很多安全工程師普遍沒啥開發能力。