杨玄章

随着近些年互联网的爆发性发展，把信息安全的瓶颈一下子推到了风口浪尖。在近日举行的安全学科专业建设与人才培养研讨会上透露，我国目前已培养的信息安全专业人才总量不足10万，离目前需要的70万差距巨大。目前我国所有所设置信息安全相关专业105高校，每年培养本科生和研究生只有约1万人、大专生约2万人。

巨大的市场前景和人才需求，与相对滞后的科班人才培养能力形成了强烈反差，这给我们每个大学毕业生都带来了好机会。

虽然这个领域的很多方向是需要IT专业背景和良好的IT技能和基础，但是其中的一个很有前景的方向却是对所有同学敞开大门的。这个方向就是：信息安全（Cyber Security）。

需要IT技术，但不全是IT技术

“神马？你不是在忽悠我吧？”看到上面一段话，很多同学的第一反应也许是这样的。这个方向挂着“信息”两字，非计算机相关专业的同学们真的有很大的机会么？

曾经从美国流传着一个很有名的讽刺漫画：拳击台上正在上演一场特殊的拳赛“Cyber Security”。开场前，裁判宣布对战的双方。在拳台的一角云集着众多的“IT高手”。它们分别是：防火墙、杀毒软件、安全协议、加密算法、主机安全、脆弱性扫描、入侵检测……在拳台的另一端只有一个胡子咔嚓大腹便便的“宅男”，一看就是个没啥战斗力的人。他的胸前写着自己的角色：人为错误（Human Error）。表面上一边倒的拳赛开始后却来了个180度大转弯，“人为错误”君一上来就使出几个不起眼的“大招”，将众多高手一并打倒。

这则漫画虽然讽刺意义十足，但是一点都不夸张，在现实中漫画中的“宅男”也许比大家想象得都要强大。不信的话，大家可以自行搜索以下一些最吸引眼球的信息安全事件，看看“宅男”们是怎么“翻江倒海”的。

内部消息泄露是特朗普政府的真正威胁

止不住的内部消息泄露将可能成为真正威胁特朗普政府的变量。这些泄露不仅来自FBI和司法部，也来自白宫内部，这反映出内部人士对特朗普的不信任。

画外音：别看你是美国总统，随便动动手指头，透露点儿消息出去，就够你手忙脚乱一段。

特朗普向俄泄露“国际机密”引发轩然大波到底说了啥？

白宫当天晚些时候出面“灭火”，否认相关报道，并搬出国务卿雷克斯·蒂勒森和另两名当时在场的总统助理作证人，表示“确实没这回事”。

画外音：别看你是美国总统，只要把信息泄露这顶帽子扣上，你有口难辩。如何评价斯诺登以及泄密事件？

IoI，这是小人物的大胜利。任凭你安全防范多么密不透风，仍然是有的漏洞。

画外音：小诺要是在刚刚那个拳台上，击败的可不止是一堆“高科技”。

诚然，IT技术及相关产品是支撑这个领域发展的基础。但是，IT只是工具或者平台，复杂的安全形势客观上要求有更加专业的安全人才跳出IT这个“圈圈”，应用专业科学的管理流程和框架来进行安全调查和管控。这就催生了一个跨界的职业：信息安全顾问。

网上对于这个职业的定义有很多种，大多数的说法把它划到了管理科学的范畴。其主要职责更多是针对有关的安全管理问题提供独立的建议和帮助。具体包括：风险评估、流程评估、安全体系建立和评估、安全价值实现等等。从这一点上可以看出，信息安全顾问首先应该是个管理咨询师，具备敏锐的安全嗅觉且熟悉完备的安全管理体系。

信息安全这个领域的前景是毋庸置疑的。2017年初，我国工信部印发《软件和信息技术服务业发展规划（2016-2020年）》。在这个规划中首次明确将信息安全产品和服务纳入目标中，提出到“十三五”末达到2000亿元，年均增长率在20%以上，远超IT全行业平均13%的增速。2015年后，全球信息安全市场的规模已经达到了1300亿美元，年增长率为12%，成为最有潜力的领域之一。

我国的信息安全领域起步较晚，在很长一段时间里投入不足，没有形成一定规模。随着近些年互联网的爆发性发展，把信息安全的瓶颈一下子推到了风口浪尖。在近日举行的安全学科专业建设与人才培养研讨会上透露，我国目前已培养的信息安全专业人才总量不足10万，离目前需要的70万差距巨大。目前我国所有所设置信息安全相关专业105高校，每年培养本科生和研究生只有约1万人、大专生约2万人。

巨大的市场前景和人才需求，与相对滞后的科班人才培养能力形成了强烈反差，这给我们每个大学毕业生都带来了好机会。先来打基础

故事讲到这里，相信不少同学会问：我们要怎么做，才有可能成为一名合格的信息安全顾问呢？

首先，对于信息安全顾问的核心要求虽然不再是IT能力了，但是对于IT安全工具的使用和安全平台的理解仍然是比较基础的能力之一。前面我们提到，目前市场上提供安全工具的厂商非常多，产品也五花八门。我们有必要对它们进行一个大致的分类。

防病毒软件和恶意软件扫描工具类：

功能：保护服务器和个人终端，扫描病毒及恶意代码/软件。

代表厂商：McAfee、Symantec、Bluecoat、AVG、Barracuda、金山、360等

通用防火墙类：

功能：防止不明来历的访问进入内部网络，就像给“大门上了一把锁”

代表厂商：PaloAlto、Cisco、Juniper、F5、Fortinet、H3C、山石、启明星辰、天融信、联想等

安全认證及身份管理类：

功能：有效管理用户身份和认证信息，防止未授权的登陆

代表厂商：微软及一些LDAPU商等。

WEB应用防火墙类：

功能：保护在线应用

代表厂商：Imperva、F5、Akamai、安恒、yxlink等

入侵保护系统：

功能：保护内部网络中各类应用，定位并处理异常流量

代表厂商：CheckPoint、SonicWall、FortiGate、HP等

脆弱性扫描系统类：

功能：不断扫描各个主机及应用系统的安全漏洞和潜在风险

代表厂商：nCircle、Nessus、Qualys、Nmap等

安全信息和事件管理平台类：

功能：汇聚各个大类安全工具产生的重要信息和报警，统一进行关联调查和事件处理。

代表厂商：Splunk、IBM、HP、McAfee

以上只是对于信息安全类产品的一个大致分类，很显然大家不需要现在就掌握它们。其中相当一部分工具还是很昂贵的，因此也不可能学会使用上面所有的东西。但是，一定要对它们有一定的概念，在今后遇到这样的工具时，至少有个常识性的认识。

当然，如今大红大紫的人工智能AI在这个领域也有很多大展拳脚的机会。安全攻击和潜在威胁也是不断地演化和再生的。如果只是出了安全事故才去研究和建立防范机制，由此带来的损失就已经发生了。本着“宁可错查一千，不能放走一个”的原则，怎么变“被动防守”为“主动对应”，甚至是“预测性防范”呢？Al在这个时候就显示出威力了。比较常见的异常检测（Anomaly Detection）技术，结合大数据平台，可以在海量的正常信息中找到“灰色地带”或者“可疑事件”，汇报给信息安全顾问进行处理。

在对基本的工具集有个基本的认知后，学习各种安全规范和方法其实是最重要的。安全工具只是能够支撑信息安全服务的一个基础，更需要有科学合理的流程和在相关领域有经验的信息安全顾问。这才是信息安全咨询服务的核心。在这一点上，首先学习信息安全理论和标准规范还是很有必要的。有意思的是，这些往往和具体的IT技术没有关系，更多的是一些安全框架、流程和方法论。全球范围内相关的标准有很多，比较有影响力的标准包括ISO 27000系列信息安全管理标准以及ISA/IEC-62443自动化控制安全过程标准等等。此外，各个国家也有自己的信息安全规范，我国就公布了多项相关的国家标准。提升自己对信息安全管理理论和方法的认知是很关键的一步，也是跨入这个领域的最主要的一步。

還有一个关键点就是对不同行业的信息安全要求和最佳实践的理解。在这一点上，其他专业的同学反而可能比IT专业的同学有更大的优势。比如说，机械专业的同学可以更容易的理解机械制造行业信息安全的痛点，生化专业的同学看到生物制药领域的信息安全挑战时会更容易领会。在各个细分的垂直领域，行业内的知识和理解对于一个成功的信息安全顾问是非常重要的。而这些对行业的最深刻的理解，就算是看起来最咄咄逼人的人工智能技术也是无法掌握和替代的。

最后就是一些个人品质上的软性要求了。在众多的优良品德中，正直和诚实对于这个职业来说是最重要的了。除此以外，直接有效的表达和沟通能力也是做这个工作的关键。

总之，在如今的信息安全领域中，IT技术和工具虽然是基础，但并不是核心。经过多年的发展和提高，信息安全工具已经非常智能和易用了。

在此基础上，能够熟知安全理论和最佳实践，有效遵循标准流程及方法论进行调查和管控的安全咨询顾问才是核心。巨大的市场前景和人才缺口以及独特的技能要求，给众多非IT类专业的同学以更多的职业机会。怎么样？准备好入行了么？

责任编辑：方丹敏