职场中四大火吃香的IT安技能

　　北大青鸟武汉宏鹏光谷校区：职场中四大火吃香的IT安技能

       今天的雇主们希望找到怎样的安呢?他们需要哪些技能呢?需要的资格基本上就反映了攻击类型、损害类型，以及这些单位如今所面临的威胁，以及有助于控制其防御的规范等：雇主们正在寻找富有事件处理和响应、合规、风险管理、业务的敏锐性等方面经验的人才。

　　下面逐个看一下：

　　1、事件处理/响应

　　“光行动”攻击的曝光告诉我们，任何单位都可能成为靶子，在眼皮底下发生的攻击，在被人们发现时，总是为时已晚。

　　ClearanceJobs.com的创办人和主管Evan Lesser说，和这些攻击使政府和企业有了更紧密的联系，工作市场变得日益纠结，因为政府和企业都要寻找相似的技能。政府正在盼企业，企业也在盼政府。Lesser认为，他们更紧密地携手工作，因为对于商务金融系统的攻击就是对的攻击，对于与基础架构相关的攻击也是一样。

　　这就使得事件响应成为一项重要的工作技能，许多雇主们对此趋之若鹜，例如，他们需要这种：不但知道怎样使用或配置一种入侵检测系统(IDS)或防火墙，而且知道怎样维护和分析日志文件及其它的事件数据，然后能够将这些信息与公司中的其他人共享。

　　思科公司的Bump说，事件的响应者和处理者是线的。他们对于细节的关注应当受到重视，应当有大量的文档证明，并且要与调查安损害的其它小组共享这些信息。

　　Bump还认为，而且安认证也在不断发展，以反应这种转变。例如，在过去，如果你通过了某项产品的认证，你就知道了如何使用IDS/IPS。而现在，我们正在越来越多地从产品认证转移到工作角色认证。

　　安们认为，新的认证要求知道如何使用由安设备和系统所收集的信息。Bump说，现在新的认证要求大量的架构知识、解决方案、佳方法等。还需要能够部署解决方案的安设计师，并能够设计这种解决方案，还要关注策略。

　　2、合规的专门知识

　　安需要知道其雇主的规章制度环境，不管是付款卡行业数据安标准(PCI DSS)，还是健康保险可携性和责任法案(HIPAA)。Kushner认为，监管和规章制度的职位要求应当匹配一致。他说，他看到更多的职位在寻找精通健康信息信任联盟(HITRUST)框架的专业技术，能够进行个人健康和金融信息的安交流或存储。

　　Kushner坦言，与客户数据安有关的任何资格和经验，不管是关于数据泄露预防的，还是关于数据库的安技能的，都是热门。他说，另外一个不断增长的领域是评估第三方合伙人的风险。评估第三方的风险主要涉及到监管、合规及风险等，企业所接受的工作可能是上述技能的混合。

　　Bump说，这意味着知道哪种安技能适合单位的需要，并且知道这种安技能的发展方向。这是安工作的一个动态变化。

　　ClearanceJobs.com的Lesser认为，联邦政府机构和合约人公司中空缺的工作是信息安和保险。这些工作包括DoD新的可进行深透测试的道德黑客认证。

　　3、风险管理

　　近由思科对球的CCIE进行了一项调查，其中有60%的被调查者认为安和风险管理将会在未来的五年内成为急需的技能。

　　思科的安解决方案营销主管Fred Kost认为，有越来越多的单位在考虑如何部署安，以便于将企业所面临的风险小化。他说，他们更多的客户正在寻找能够进行防御并能够支持业务运作的人员。客户们在考虑合规问题、风险管理问题，还有更宽广的业务，即如何部署安从而将风险赶出企业。

　　他说，现在，也有更多的安工作适合于更多的人员类型。他说，如果让你监视一个控制台，并查找事件，那么，这就是一套技能。如果你正在评估企业风险或者正在处理审计和合规，这又是另一套技能。比起过去，这种状况为当今的安创造了更多的机会。

　　4、业务的敏锐性

　　当今的许多IT安工作超出了技术的范围，要求安理解企业业务是如何运作的，还要知道安如何支持这些企业和业务，并且能够保护企业。

　　思科的一种新认证就反映了这种朝着更现实的经验的转变：思科认证架构师。根据思科的说法，思科认证架构师必须能够清晰的说出特定安或网络技术的企业价值，只有这样才能够满足要求。

　　Fred Kost说，所以，例如，在两家银行合并时，安需要能够理解整合运营的业务需求，然后选择实现这些需求的适当技术。这些安拥有雄厚的技术背景，但是还要把技术转换成企业的需要。他们在大型的解决方案部署和维护方面拥有大量的经验。

　　同时，找工作的人更大的一个错误是，以获取实际的工作经验(包括对企业业务的泄露)为代价，过分强调认证。

　　有些找工作的人总在说，我有认证或我有经验。在这些人当中存在着争议，Lesser认为，应当将两者结合起来。他认为，认证对于在政府工作的任何人来说都是必须的。但是认证并非部，也并非终点。现实的经验也是很重要的。