用技术扎牢信息安全之篱
随着信息化程度的提高,国民经济和社会运行对信息资料和信息基础设施的依赖程度越来越高,网络信息安全问题日益凸显。在这样的背景下,“信息安全测试员”应运而生,邓强就是其中一位从业者。
2011年,邓强进入北京知道创宇信息技术有限公司。一开始,主要帮助客户分析问题,提供安全解决方案。后来,邓强慢慢发现,即使安全方案设计得再全面,安全产品部署得再完备,在实操中仍面临层出不穷的考验。“传统的信息安全思维注重防御,总设想‘坏人会从大门进来,只要安上个特安全的大铁门就可以’,但实际上,攻击者往往‘攻其不备’,防御一方难免‘百密一疏’。”邓强说。
而信息安全测试,能够从攻击者的视角完全模拟攻击过程,主动探错、试错、纠错,帮助客户发现系统在实战过程中可能存在的弱点。根据定义,信息安全测试员是通过对评测目标的网络和系统进行渗透测试,发现安全问题并提出改进建议,使网络和系统免受恶意攻击的人员。在邓强看来,这份职业“能够实实在在地发现并解决问题”,给他带来了极大的满足感及价值感。
“信息安全测试是一门综合学科,想成为一名合格的信息安全测试人员,首先需要大量的计算机基础知识和网络安全知识,最好能深入学习一种数据库语言,熟练掌握一门编程语言,这对工作的开展与进阶很有帮助。”邓强说,“其次还要具备‘黑客视角’或‘黑客思维’,从攻击者的角度、思维来渗透、评估网络系统,从而发现问题并及时修复。”
从企业用人需求看,目前信息安全测试员的就业途径主要有几类:一是国内各大安全公司;二是国家各级保障单位;三是金融、能源、通信、互联网等领域的政府部门、重点行业企业。“以我们公司为例,知道创宇的安全服务部门目前有一百多名员工,基本上80%以上都是信息安全测试员。”邓强说。
对于求职者关注的薪酬待遇问题,邓强介绍说,目前国内用工单位对于信息安全测试员给出的薪酬待遇相较于传统安全岗位还是具备一定优势的,业内很多做到比较顶尖的技师或高级技师甚至可以达到百万年薪。
“我国网络安全攻防人才还面临数量缺口较大、能力素质不高、结构不尽合理等问题,与保护关键基础设施、维护国家网络安全的实际需求差距较大。”邓强说,新冠肺炎疫情暴发以来,线上业务已经成为常态,系统和网络的安全问题将更加突出,急需基于实战能力的专业人员及时发现问题,解决问题,不断提升防护能力。
【专家点评】
中国社会科学院大学经济学院副教授刘帆:未来3-5年,“信息安全测试员”将迎来非常好的发展机遇,大量从业人员通过专业化培训流程进入职业通道,填补我国这方面的空白,促进网络安全人才的培养和供应,弥补现有高校专业人才的不足。设立“信息安全测试员”新职业,对推动网络安全技术和产业发展,提升全社会的网络安全防护能力有重要的现实意义。