诸子笔会2022 | 刘志诚:企业与行业网络安全发展趋势预测


自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。


企业与行业网络安全发展趋势预测


     文 | 刘志诚






刘志诚


乐信集团信息安全中心总监





关注企业数字化过程中网络空间安全风险治理,对技术风险治理拥有丰富的理论和相关经验。



又到了年底总结的时刻,微观维度执行的总结和规划趋于结束,宏观维度总有点想法不吐不快。当然,相对于专业调研组织或专业咨询组织长期的调研分析,本文是基于扎实的理论和实践基础做出的总结,因此我的预测仅能看作是自己日常所思所想所悟只言片语的梳理、分析、抽象并总结的产物。一家之言,仅图一乐,对自己认知的梳理也希望能惠之于同好之人。当然,任何不同意见、批评、蔑视、无视,一概笑而纳之。


01
整体预测



图一、行业发展与企业视角的网络安全发展趋势

对于网络安全整体发展趋势,主要基于两个视角,一个是行业发展的视角,一个是企业维度的视角。以三个参数观察在时间和空间两个维度的变化趋势,从而进行预测。

三个参数中,解决方案作为行业发展的参数,从技术与产品发展规律而言,接近线性发展,网络安全的边界作为行业与企业关联的参数,决定了企业网络安全风险的需求与行业解决方案之间的差距。网络安全的边界符合人类风险认知的规律,从初期的缓慢发展,逐渐向指数发展演进。资源是企业在网络安全投入的成本也是行业获得收入的主要来源,为了更好地表现出其中的趋势,我们采用资源比作为参数,资源比是同等效果下的资源投入,也是目前企业管理维度实现降本增效措施的基本趋势。因此虽然资源呈线性增长趋势,但资源比会在需求和解决方案平衡阶段呈指数下降的趋势,在失衡状态下重新表现出增长趋势。

以当下时点为原点,个人认为,2022年末,行业解决方案对企业网络信息安全的需求尚未达到平衡阶段,尚不能解决企业认知的网络信息安全边界的需求。在3-5年内,随着行业解决方案的发展,会达到企业当下认知水平的网络安全边界与解决方案的平衡,企业进入认知水平的风险平衡状态。

在这个状态下,行业解决方案水平依然继续发展,超过了企业认知水平的网络安全边界需求,在企业资源投入比与边界和解决方案交叉点,实现行业收入的最优化水平,行业处于巅峰状态。根据目前国产化进程和法律法规合规性要求的发展来看,这个状态预计可以在2035年到达。

企业在网络解决方案日益充沛,资源比持续下降,认知的网络安全边界与资源比达到平衡的状态,是企业投入成本的最佳状态,达到了业务平衡。这个时期虽然行业收入的利润下滑,但收入仍保持持续增长的状态,领先于客户认知网络安全边界水平的发展,行业仍处于一种盲目自大的乐观期。这个时间预估在2040年左右达到。

企业在追求能效比的前提下,仍持续提升效率,降低单位资源投入。但在数字化发展过程中,企业对网络安全的边界认知水平会指数级增长,在资源比不足、投入受限、认知水平超越行业解决方案的情景下,行业解决方案满足不了企业认知的网络安全需求,行业陷入低谷期。行业进入破坏性创新阶段,传统网络安全企业面临巨大的挑战,行业出现巨大的新机会,预计这个时间在2050年左右。

整体上来看,行业发展符合30年为周期的周期律规律。因此,我们尚处在现阶段的上升期,但喜忧参半,通过管控成本提升能效比是行业必须面对的挑战。


图二、时空维度四象限趋势预测法

对于分项预测,主要基于空间的边界复杂度,即以工作的范围及时间的长短划分为四个象限进行分析。第一象限,领域边界的复杂度与时间更接近于当下企业的实际情况;第二象限,是在逐渐突破已有领域边界复杂度提升下,空间维度和短期内的发展趋势;第三象限,是在领域边界复杂度持续发展的长时间演变的发展趋势;第四象限是在目前领域边界复杂度的前提下,长时间演变的发展趋势。从我个人的认知来看,未来基于时空复杂度的演变,因此,第四象限是未来发展的方向。


02
组织与角色发展趋势


图三、企业网络安全组织发展趋势预测

目前企业的网络安全组织架构与企业所在的行业、规模、信息化水平、网络安全风险意识和认知水平密切相关,从整体的情况来看,大多作为二级和三级部门存在,以向IT部门汇报为主,也有向财务、行政、以及IT二级部门运维、基础架构部门汇报的情况。鉴于网络安全和信息安全以及安全管理的差异,也存在三部分职能分属于IT、行政、合规等不同部门分别管理一部分职责的情况。总体上,网络安全的重要程度有所上升,独立职能成为主流趋势。

伴随着《网络安全法》《数据安全法》《个人信息保护法》颁布和修订密集实施,企业在网络层面的合规责任日益加重,国家监管和处罚力度日益趋严,网络安全职能重要程度会持续上升。从领域边界来看,网络安全复杂度进一步上升,其中数据安全与个人信息保护贯穿传统网络安全、系统安全、应用安全的范畴,与企业的业务日益紧密。传统网络安全组织汇报关系限制了合规性的完整保障体系建设,建设网络安全与个人信息保护的相关委员会,贯穿不同职能部门实现统筹协作成为共识。然而,委员会的松散结构和兼职特性,对职能执行存在制约,长时间来看,未必是最佳的组织模式。

安全领域边界的复杂性同样会对安全组织的规模以及资源投入提出挑战。随着时间的发展,企业难以在所有领域成为专家,以及通过大规模的资源投入实现安全体系保障。对于中小规模企业而言,第三方托管将是主流方式。利用外部资源保障企业网络安全的合规,把合规与安全风险控制到企业接受的范围内,实现资源投入成本与收益的平衡,网络安全服务托管也会成为行业发展的一种高速成长的商业模式。

对于中大型企业而言,为了满足数字化发展的趋势,为了实现技术风险的可管可控,依赖第三方产品和解决方案,在竞争优势和可持续发展的适应性方面,面临巨大的挑战,企业的全面风险管理(ERM)需要建立在具备核心竞争优势的安全风险控制的解决方案上。因此,独立运营的安全科技公司将成为集团化大型企业的标配,类似于目前的财务公司、IT公司,在满足企业自我需求的同时,对外能力输出。而独立运营的安全科技公司,由于对场景、对业务、对风险的敏锐度,将对传统网络安全企业形成巨大的挑战。


图四、网络安全负责人的发展趋势

网络安全负责人作为企业网络安全建设和运营的第一负责人,承担着专业领域企业规划和建设安全风险处置能力、运营网络安全体系、与企业内外部协作、处理相关安全情报、风险、事件的责任,保障企业的网络安全,落实企业的安全合规与保障义务。目前,与网络安全组织架构相适应,在企业一般是中层管理层的总监、高级总监或总经理岗位,但也不排除在信息化水平尚处于初级阶段,或对网络安全的认知水平仍处于初级阶段,以组长、经理级别的初级管理者作为网络安全负责人的情况。

同样从网络安全边界领域复杂度的角度来看,一旦涉及到个人信息保护、数据安全,或是与国家安全和社会安全领域相关的重要数据保护和关键基础设施安全保障,中层管理者的资源调度能力和决策层级就难以满足实际需求,对企业而言,存在较大的合规与网络安全风险。因此,在数字化原生企业与数字化转型较为成功的企业或互联网业务企业,安全负责人直接进入执行会员会、决策委员会,向CEO和COO汇报,作为CXO执行层中的一员,成为趋势之一。

从时间发展的角度来看,数字化转型是VUCA时代企业面对的必然挑战。云大物移或ABCDE技术对企业的业务发展带来极大促进作用的同时,也进一步加剧了企业的网络安全风险。在CTO和CIO逐渐进入公司决策层序列的同时,网络安全负责人以高层管理者VP的身份,协调企业网络安全与信息安全的体系化实施和落地将更具有推动力,单纯从目前网络安全边界复杂度的角度来看也是未来的趋势。

目前,在关于网络安全边界复杂性和长时间发展趋势的维度来看,董事会需要具备相关的专业能力和经验,判断企业的风险水平和网络安全态势。但是,作为企业的决策层,董事会成员需要具备业务发展的洞察力和企业价值运营能力,传统的网络安全人员如果缺少跨界的运营经验和业务运作管理能力,在董事会中将受到较大制约。

因此,网络安全负责人如果要匹配未来网络安全负责人岗位发展趋势,需要提升自己的跨界管理和运营能力,否则,这个未来的重要岗位,将主要产生自非网络安全领域专业出身人士。机会到了,可惜不是你,实属遗憾。


03
网络安全边界趋势预测


图五、企业网络安全边界发展趋势

网络安全最早的狭义是Network Security,是计算机安全(Computer Security)在网路发展过程中出现的安全风险。今天的网络安全一般是指Cyberspace Security,即网络空间安全,网络空间安全的范畴,除了包含传统的Network Security,Computer security之外,范围更广,但在基础设施管理部门来看,主要是网络、主机、系统、应用安全的范畴。

信息作为Cyber的承载,在非计算机时代也存在古老的信息安全问题,主要是保密的应用,古老的凯撒密码体系是最早的信息安全控制信息机密性的解决方案。今天我们谈到网络安全,一般包含信息安全的范畴,我个人经常使用的术语一般是“网络信息安全”,以区分传统的网络安全和信息安全。

从领域边界的复杂度来看,数字化对企业信息系统的影响以云原生的DevOps、容器化、微服务、持续交付四个特征为主。当信息系统成为企业业务运作的作业系统,决定了企业的核心竞争力,则从传统的购买商业套件(COTS)信息系统变成了自主开发系统。

研发的安全性决定了企业网络安全的保障水平,而作业系统中对个人用户信息、企业商业秘密、国家重要数据的处理,需要关注数据安全的DIPA(数据影响保护分析)以及基于隐私和安全的设计(PbD,PsD)。作业系统中人工智能为核心的算法设计以及流程自动化(RPA)同样需要关注算法的可解释性、透明性,以及反歧视、反垄断、消费者保护等合规性的业务安全风险。

因此,从领域边界复杂度的角度来看,具备从技术安全(T Security)到业务安全(B Security)发展的趋势。

从时间发展的角度来看,网络安全风险主要关注由技术领域资产脆弱性导致外部威胁攻击所造成的安全风险。数字化技术的发展,技术的安全要素,需要逐渐扩充到技术风险的防范。ISACA组织的CRISC、CGEIT等专业认证,主要关注的是安全风险和技术治理领域的专业知识。因此,从时间维度来看数字化技术发展带来的技术安全(T Security)有技术风险(T Risk)治理发展的趋势。

数字化发展的势不可挡以及数据作为生产要素参与到国民经济的方方面面,从时空整合维度的发展来看,网络安全需要关注数字化和数据的风险范畴。数字化风险可以看作是业务安全与技术风险的叠加,不再赘述。数据风险是目前在企业全面风险管理中容易忽视的环节。

数据风险除了传统意义上的个人信息保护,数据安全的保障体系风险以及基于此延伸的合规风险之外,在数据的统一、规范、标准化等数据质量方面,一般被企业纳入数据治理的范畴;但在个人信息原始数据禁止交易的前提下,基于原始数据和处理算法的数据产品则被纳入数据交易范畴;而数据产品背后原始数据的覆盖率、完整性、可靠性、时效性等评估标准,以及数据产品有效性的评估体系均缺少依据,无论从企业数据风险还是从监管部门数据质量风险监控方面均存在空白地带。

当然,还有学术界比较关注的产权风险,以及实现数据处理和应用的技术风险,都是未来难以逾越的难题。因此,从时空整体趋势来看,网络安全边界未来的发展趋势在于解决数字化与数据风险问题。


04
网络安全战略发展趋势预测


图六、企业网络安全战略趋势预测

这项预测应该会有比较大的争议,主要在于从企业网络安全战略的维度来看,企业的网络安全战略需要服务于企业的业务战略,与业务战略保持高度一致,实现对企业发展的全面支持。由于企业千差万别,因此很多企业已经度过了事件驱动和能力建设的阶段,在以风险驱动和安全运营为中心开展网络安全的战略指导工作了。但不可否认的是,仍有大部分企业尚不能满足理想的状态。从中位数来看,大部分企业应仍符合四象限划分的预测趋势,优势是,领先企业已经证明了发展趋势的正确性。

事件驱动的安全战略说上去好像有点低级,是因为假设前提所谓的事件是被动响应的相关事故。如果从狭义的事件驱动而言,是在安全运营进入了成熟期,具有事件的发现、分析和应急响应能力,才能称之为真正的事件驱动。第一象限的事件驱动也是指被动的外部事件驱动。很多企业重视网络安全的起始就是由于以往的网络安全事件给企业带来巨大的困扰,这也是以救火队长和救火队员出现的网络安全团队的主要工作模式。这种战略驱动,表面上看起来网络安全团队工作繁忙,其实往往身心俱疲、士气低下。

从领域边界复杂的角度来看,基于风险的管理似乎是基本要求,不过风险管理同样需要具备风险管理的专业能力和相关意识,在企业全面风险管理(ERM)尚未把网络安全风险甚至是信息技术风险纳入的情况下,两种风险管理模式之间仍存在专业鸿沟。而传统的网络安全风险评估往往落入具体的基于表格的合规要求,而未能实际指导网络安全工作的开展。从发展趋势的角度而言,具备风险驱动的网络安全战略,是绕不开的关键路径。

从时间维度来看的发展趋势而言,未雨绸缪地进行安全预防、检测、监测、响应能力的建设,实现工作的井然有序,让信息安全团队回归到正常的工作状态,兼顾工作与个人团队的持续发展。从时间维度来看,应该是大多数安全团队的常态。

安全运营驱动的战略,关注的是网络安全自身的数字化建设,以数据驱动实现风险、事件的可观测行和有效性治理,是网络安全战略驱动的未来趋势。


05
网络安全解决方案的发展趋势


图七、行业网络安全解决方案发展趋势

从网络安全行业的维度来看,解决方案最好基于标准化的产品,可以实现成本可控的规模化复制,这也是产品模式的商业模式成立与存在的理由,网络安全产品也是以此为始。但伴随着网络安全领域边界复杂度受到数字化和企业面对VUCA时代的变化,传统安全产品模式的弊端日显。为了实现标准化,行业产品需要缩小需求,解决企业网络安全某一领域的痛点或难点,但往往因此陷入了只见树木不见森林的误区。而单一产品的产业规模限制,又促生行业从业者产品多元化模式的发展,而产品边界的重合以及彼此竞争兼容性壁垒,给企业带来了治理的噩梦。

产品模式问题在领域边界复杂性增长前尚不构成威胁,但在数字化模式下以及安全进入研发、数据、业务领域后,场景适应性变成首当其冲的问题。这个问题首先发生在大型互联网企业,互联网企业在遍寻不到解决方案后,往往会投入重金打造场景适应性产品,而操刀的互联网企业的网络安全负责人,也会从中发现机会,从而加入网络安全创业的大潮。而对于中小型数字化企业而言,想要从0打造,成本、效率、资源方面显然不足;而找到志同道合者,在一致的方向上战略合作成为可行的路径。

从时间维度来看,网络安全行业标准化产品的成熟,以及企业不断下降的资源投入比,企业需要养一只专业的安全团队,采购大量的安全产品日益面对挑战,中小企业上云也对传统网络安全能力的建设提出不一样的建设需求。在国外流行的网络安全托管服务(MSSP)将成为中小企业选择的主要趋势。

网络安全保险虽然在国外早有普及,并在国内成为热点,但落地依然存在巨大的障碍。对于保险企业来说,如何实现多企业安全的整体感知,从而精确计算其中的风险以实现精算至关重要,否则,就变成了产品定义狭窄的特殊领域责任险的试错。

要了解企业网络安全的状态,难以依赖企业现有的网络安全产品体系,产品设计的功用在于处理企业安全风险,缺少整体性的安全指标进行度量和呈现。而以企业为客户的网络安全行业也缺乏对网络保险企业服务的能力和意识,企业也不会因为行业与保险业的合作,而接受供应商锁定的风险。

所以在未来发展趋势上,我大胆地预测,会催生出网络安全保险科技企业,以保险公司为服务对象,解决保险企业对企业的网络安全评估和评价能力,这个市场对行业、企业、保险业都会产生革命性的影响。


06
网络安全评估指标的发展趋势


图八、网络安全评估指标的发展趋势

无论是未来网络安全运营战略的数据化驱动安全,还是行业解决方案的信息安全保险科技,核心都离不开网络安全评估指标的发展趋势。态势作为网络安全的风险、事件的可视化呈现,实现对企业风险和安全事件的全局性可见,一度是网络安全炙手可热的领域。当然,炫丽的前端确实在指挥中心体现出巨大的震撼力,但本质上却面临着各种各样的问题,比如准确性、滞后性、覆盖率、关联性等,往往成为了形象工程。

领域边界的复杂度体现的是资产的复杂度,静态的CMDB式资产管理,将会面临资产生命周期管理的动态挑战。企业需要建立多标签的动态资产管理体系,突破传统资产的定义,关注新兴资产的分类分级。基于动态资产管理实现对脆弱性、威胁,以及结合ATT&CK框架的脆弱性利用的知识图谱,实现时序分析的可跟踪性关联分析,也是Gartner在扩展攻击面管理(EASM)中的重点,这也是实现对内部风险、威胁、事件实现可见、可管、可控的基础。

从时间的维度来看,企业的网络安全指标,主要关注的是安全控制措施的有效性,安全控制措施包含预防、检测、监测、管理等一系列措施,不仅是对安全设备的有效性检测,也不仅是对漏洞利用的攻击绕过,也包括配置的核查和安全策略的逻辑审核和有效性验证。基于渗透与威胁模拟测试(BAS)的技术是其中的一个环节,而自动化可持续行红队(CART)等也是未来有效性指标验证的可行技术选择。

有效性关注的是结果,结合扩展的攻击面管理,未来的趋势是实现网络安全的可观测性。我对可观测性的定义是实现对过程的可视化,相对于结果的后知后觉和追溯分析,我们需要以上帝视角关注到网络安全攻防的全过程,透过玻璃盒子观测到进行中的网络安全,进一步进行干涉和控制。这是企业网络安全达到相应境界的指标,也是网络安全保险科技为保险公司提供服务的依据。


07
总结


网络安全这个行业不易,看到这么多龙头企业亏损,创业企业为了项目地板价的厮杀竞争,未免感慨唏嘘。行业和企业都需要关注当下和未来业务、技术、网络安全发展的趋势,积极应对、主动调整,不要作被动的响应者,疲于奔命、劳民伤财而不得其获。个人才疏学浅,不自量力进行预测,希望能作为行业中的一员为这个行业的发展添砖加瓦,不求有功,但求引起更多的思索和探讨,是为记。





推荐阅读

2022诸子笔会  

【12月主题:回顾与展望,无题】

张永宏 


【11月主题:考场,战场与职场】

刘志诚   张永宏  杨文斌  肖文棣  孙琦  

孙瑜 王忠惠  朱文义  陈圣   回顾


【10月主题:过与不及】

刘志诚   肖文棣  张永宏  杨文斌

孙琦  孙瑜  王忠惠  朱文义  陈圣   回顾


【9月主题:查漏补缺】

刘志诚   张永宏  杨文斌  肖文棣  孙琦

  孙瑜  王忠惠  朱文义  陈圣  回顾


【8月主题:红与蓝】

刘志诚  张永宏  王忠惠  孙琦

  肖文棣  孙瑜  杨文斌 陈圣 回顾


【7月主题:误区与陷阱】

刘志诚  张永宏  孙瑜  王忠惠  肖文棣  

朱文义  杨文斌  孙琦  陈圣  回顾


【6月主题:远程办公与安全】

王忠惠  于闽东  刘志诚  孙琦  朱文义

  张增斌  肖文棣  杨文斌  张永宏  孙瑜  陈圣 回顾


【5月主题:安全之变】

 王忠惠   张永宏  朱文义  于闽东  刘志诚  杨文斌 

 孙琦  孙瑜  半藏咸鱼  肖文棣  王振东  陈圣  回顾


推荐阅读

2021首届诸子笔会

   颁奖 | 评优投票 | 1月盘点 | 12月盘点

11月盘点 | 10月盘点 | 9月盘点 | 8月盘点

7月盘点 | 6月盘点 | 组团 | 报名




原文阅读查看往期征文合集

齐心抗疫 与你同在 



你怎么这么好看


本篇文章来源于微信公众号: 安在

诸子笔会2022 | 刘志诚:网络安全职业成功的三个层次路径详解



自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。


网络安全职业成功的三个层次路径详解


     文 | 刘志诚






刘志诚


乐信集团信息安全中心总监





关注企业数字化过程中网络空间安全风险治理,对技术风险治理拥有丰富的理论和相关经验。



安在的超级CSO课程举办三期,为解决信息安全职场迷茫期的新生力量成长的烦恼,适时推出了未来CSO的课程,忝列为导师,参加了关于网络安全职场成长的第一期直播,畅谈网络安全这碗饭到底香不香。囿于时间原因,再加上圆桌访谈,颇感意犹未尽,恰好本期征文主题涉及这个话题,就仗着自己近25年的工作历程,反思过往,复盘过程中的抽象总结,体系化谈一下这个问题。当然,个人经验适用范围有限,仅供参考,以免误人子弟。





一、职业成功的三个层次与核心要素




图一、网络安全职业成功的三个层次

职业成功是个逐层递进的关系,相对于马斯洛需求的五个层次,我把网络安全领域职业成功分解成三个层次。首先是岗位的成功,从职场小白到组织骨干,在岗位上要有扎实的业绩。其次是组织的成功,岗位是对本职工作的要求,到了一定阶段,要不满足于岗位的限制,从组织的维度看待网络安全对组织的威胁和机会,协同组织内不同部门,共同应对风险,抓住机遇,有了这个领域的成功,无论是晋升为公司管理层的一员,还是承担无管理职衔的领导者,本质上都实现了组织级的成功。然后是在网络安全行业的成功,对行业的发展创新、洞察意见以及人才培养等,具备独特的见解和体系化的思想,受到行业的普遍认可,达到了行业成功的层次。无论是作为网络安全行业的创业者,还是组织的CSO,甚或是某领域的资深专家,都具备行业领导者和传道者的美誉。



图二、网络安全职业成功三个层次的核心要素

专业是从知识与技能领域的维度谈成功要素,职业是从组织的社会关系中具备沟通、协调、组织的管理能力谈成功要素,敬业是从认知、创新、发展、努力的精神角度谈成功要素。虽然成功的层次中,每个层次都需要做到专业,职业,敬业,但从职业发展的道路上,核心要素的比例是逐层递进的,和每个阶段的成功密切相关,本文就从这个维度进行逐层分解。


表一、职业成功从要素、逻辑、根源到路径





二、岗位成功需要对技术知识体系化的训练成就专业


网络安全职业成功的第一站是岗位的成功,涉及到网络安全专业体系的复杂度,会有不同的专业领域。例如,攻防实战领域是比较热门的,无论是白帽黑客的漏洞挖掘、渗透测试还是破解、反编译、跟踪调试等系列ATT&CK攻击技术实战。也有建立安全防御基础设施三分之一天下的密码技术体系的技术研究,从身份认证、证书公钥、区块链到可信计算、隐私计算,同样具有广阔天地。还有以管理促进技术的ISO27001安全管理体系的审计与合规检测等,都可以走出同样精彩的道路。

岗位成功的底层逻辑是对技术的把握,需要体系化掌握领域内的知识体系,这个阶段需要的是对操作性知识的训练以及显性知识的记忆,最好的路径其实是在科班出身的基础上进行专业证书的学习和考取。当然,这是个相对轻松的捷径,未走过这条路的大神们,比如依靠网上论坛、曾经的杂志和自己的摸索取得成功,或许会对这个捷径嗤之以鼻,但本质上而言,考证确实是个事半功倍的捷径。例如攻防领域的OSCP、CEH,包括国内现在的CISP-PTE都是可以参考的体系化技术知识体系。还有管理领域的CISM、CISA,当然,密码技术体系学科教育中已经有不少基础课程可以用于训练。

岗位的成功,并不是以局限于某一安全领域作为终结,对安全专业领域进行全面涉猎,有过3-5个领域的经验,对走向领域专家的道路更有价值。例如,CISSP的考试就涉及到安全所有的10个领域,并建议学员具备3-5个领域的实践经验。岗位成功的时间阶段有长有短,我个人认为,在这个阶段停留3-5年,对打好自己的基础,实现下一个阶段的成功多有裨益。





三、组织成功需要管理能力的实践达到职业水平

岗位上的成功并不一定处于低级成功的阶段,这和个人发展路径,社会认知和文化因素密切相关。比如一个老生常谈的话题,西方的程序员,做到50-60岁,满头白发依然奋斗在第一线者依然时有耳闻。但西方社会工作、生活、成功的态度,于当下中国的现状并不一致,因此在中国就会存在“35岁现象”。虽然这种对一线工作的年龄歧视并不符合人类知识发展的规律,但在社会价值观普遍如此的前景下,在职业规划的道路上,如何在现有模式下脱颖而出才是我们讨论的重心,而不是进行社会性批判。

在3-5年的岗位成功基础上,我们需要考虑的是组织层面的成功。组织层面成功关注的是组织的目标实现,作为网络安全从业者,懂业务、知目标、谈贡献是必备的功课,这个时候仅靠网络安全领域知识的专业性,显然难以满足成功的必要条件。既然我们需要关注组织的战略目标,就需要把网络安全的目标与业务目标进行整合,实现组织网络安全建设成本与效益的平衡,以最小的代价实现最大的价值。

组织成功是需要竞争意识的,如何在岗位成功的基础上脱颖而出,实现组织成功,需要具备通用的管理能力,组织、协调、指挥、控制的管理基本职能涉及到跨领域的协同,下级、平级、上级、目标、利益实现平衡,获得相应的认可,是跟人打交道,在组织文化的基础上实现软技能的提升。这其实对技术出身,利用智商对技能和知识体系深耕的技术人员而言是一个挑战,但又是组织成功的必然路径。这个阶段,通过职业化的训练非常有价值,而MBA、或者项目管理(PMP)的职业认证是一些学习领域知识、讨论和探讨、案例分析与实践快速提升自己软性能力的机会。如果能有行业的专业领域课程则是意外之喜。从这个意义上来说,安在的超级CSO和未来CSO课程可以说是看到行业的痛点,适时推出的最佳课程,通过对行业经验的提炼、抽象,为后来者提供了一个捷径。

至于这个领域的停留时间,我觉得一个台阶3-5年在同一个组织内可能是按部就班的过程,当然,具备跨组织经验这个过程也可能快速突破瓶颈,实现职业生涯的飞跃。每个人的成长经历,所处的行业、组织不同,遇到的机会和机遇大不相同,很多人会停留在这个阶段,也有不少人会卡在这个阶段的某个阶层中,彷徨与徘徊。但也不否认,有些人快速实现突破,达到很多人难以企及的高度。每个人都需要想明白,对个人而言,这个阶段已经不是单纯努力就可以收获的,有太多因素参杂其中,要学会得失淡然,只管努力,莫问前程,保持一颗平常心。





四、行业成功需要经营认知能力跨界共享实现敬业

敬业从爱岗敬业的角度一般会谈对岗位对企业的忠诚度,对职业的尊重与敬仰。这里拿过来重新诠释,被用来指代在行业中受到普遍认可需要对行业的创业和发展做出了自己的贡献,真正实现职业的尊敬、认可与融入。看到这个词,笔者想到的是稻盛和夫老先生的敬天爱人,而成功的最高阶段,是对网络安全职业的崇敬与奉献。

如果前两个阶段的成功主要源于输入,无论是对专业知识的硬能力,还是对职业知识的软能力,在学、练、总结、思考、持续优化的过程中实现自我成长。那么第三个阶段的成功主要源于输出,对行业的思考、总结,创新向行业从业者的回馈,通过分享、共享、探讨,实现行业的繁荣与发展。

这个阶段需要跨越行业的界限,站在网络安全行业的外面,以第三者的视角观察体会网络安全行业,从而发现不同的风景以及忽略的细节。Security有证券的含义,也是金融领域在大航海时代规避海运奉献的金融创新,如果去了解金融行业的历史,发现其中共通之处。当个人信息涉及到个人权利保护,当重要数据涉及到国家安全和社会稳定时,就会越来越多地从法律合规的视角看待安全的风险与责任,思考是否从法律的视角和维度关注安全。



安全意识涉及到人,社会工程涉及到人,那么人的思想、行为之间的关系维度如何定义?心理学的若干领域是如何通过实验干涉人的行为和思考?从这几个例子而言,金融、法律、心理学、社会学、政治学都与安全有底层的逻辑关系,更不用说,技术相关的新技术演进与发展、云大物移、ABCDE新技术都是安全创新与进步的源泉。因此,提升自己的认知能力,跨界思考与创新,是网络安全行业成功绕不开的主题。





五、总结

条条道路通罗马,个人的经验抽象总结,仅能当作其中的一条可能路径,作为思维的借鉴与参考。希望每个网络安全从业者都能走出自己成功的道路,汇聚在一起,就会为后来者提供更多参考的路径,也为后来者提供一条适合自己职业生涯成功的道路。







推荐阅读

2022诸子笔会  

【10月主题:过与不及】

刘志诚   肖文棣  张永宏  杨文斌

孙琦  孙瑜  王忠惠  朱文义  陈圣



【9月主题:查漏补缺】

刘志诚   张永宏  杨文斌  肖文棣  孙琦

  孙瑜  王忠惠  朱文义  陈圣  回顾


【8月主题:红与蓝】

刘志诚  张永宏  王忠惠  孙琦

  肖文棣  孙瑜  杨文斌 陈圣 回顾


【7月主题:误区与陷阱】

刘志诚  张永宏  孙瑜  王忠惠  肖文棣  

朱文义  杨文斌  孙琦  陈圣  回顾


【6月主题:远程办公与安全】

王忠惠  于闽东  刘志诚  孙琦  朱文义

  张增斌  肖文棣  杨文斌  张永宏  孙瑜  陈圣 回顾


【5月主题:安全之变】

 王忠惠   张永宏  朱文义  于闽东  刘志诚  杨文斌 

 孙琦  孙瑜  半藏咸鱼  肖文棣  王振东  陈圣  回顾


推荐阅读

2021首届诸子笔会

   颁奖 | 评优投票 | 1月盘点 | 12月盘点

11月盘点 | 10月盘点 | 9月盘点 | 8月盘点

7月盘点 | 6月盘点 | 组团 | 报名




原文阅读查看往期征文合集

齐心抗疫 与你同在 



你怎么这么好看



本篇文章来源于微信公众号: 安在