作為一名安全工程師是怎樣的體驗

　　在某世界前三云計算公司做安全攻城獅，在中國也有業(yè)務但是和世界其他地方是分開的，我不負責中國區(qū)。

　　主要有幾大團隊

　　安全運營團隊，分布在全世界幾大地區(qū)，輪流oncall，主要負責應急響應，和內部業(yè)務團隊溝通處理安全事件等等

　　安全整合團隊，負責將安全作為主要功能結合在產品里

　　應用安全團隊，red team這種，對內滲透測試和代碼安全審計。

　　安全平臺團隊，寫各種安全相關的工具和管理平臺。

　　威脅情報團隊，精英都在里面，人數很少技術很牛逼，主要研究botnet和malware。

　　更神秘的研究團隊，挖0day，主要是hypervisor和內核級的。

　　很多大產品團隊本身也有自己的安全團隊，我們主要就是有事和他們溝通了。

　　忙不忙看人品，有時候oncall一大早十來個page，有時候兩三天也沒一個。

　　具體負責什么主要看你在哪個團隊了。

　　進入大公司安全部門最大的挑戰(zhàn)就是熟悉業(yè)務，熟悉業(yè)務，熟悉業(yè)務，重要的事情說三遍。比如，有人給你們報了某產品有漏洞，你要知道去找哪個團隊，由誰負責，又比如你們的掃描器發(fā)現某主機存在漏洞，你要知道這個主機是誰負責，上面有什么業(yè)務，存了什么數據等等。

　　另外就是要會寫小工具，有時候一下通知幾百上千個團隊更新軟件包是件很痛苦的事情。

　　主要分為哪幾種類型的工作?

　　主要分類：安全運維，安全審計。按照CISSP，安全要細分十個領域，不過真正在甲方工作的話，職位就這兩個差不多了。(不知道保安算在哪一種?)

　　有些公司是直接分到IT/技術部門;有些公司有安全部門，部分公司會有很多安全小團體，共同向安全總監(jiān)匯報。第三種比較常見。

　　一般情況下一天的工作時間安排會是什么樣子?

　　不管具體是負責安全哪一塊的，都差不多是這樣工作的：

　　開會，總結安全的問題(被黑了，信息泄露了，公司發(fā)現了哪些安全脆弱了)

　　做產品(包括開發(fā)安全產品，各種需要的產品，包括寫文檔之類的，文檔很重要，可以把安全信息可視化，主要看公司的需求)

　　協(xié)助其他部門買產品或做顧問(買安全設備，檢查別的部門買的設備是否有明顯的安全漏洞，檢查別的部門的工作會不會影響公司的安全。不僅僅是指參與IT部門的安全啊，甚至包括財務人事等，各個部門，當然會有分工的，不是一個人查全部。)

　　安全檢查(全方位，因為大公司要過安全審計的。這點很瑣碎，無所不及，而且還不能影響其他部門正常工作，所以基本是中午啊，半夜啊，雖然會有自動化工具什么的，但是依然心里惦記著，晚上手機震動就會醒了，以為有報警。)

　　會遇到什么在其他公司難以遇到的挑戰(zhàn)?

　　這里是重點：

　　1、團隊人少是肯定的，安全部門不會很龐大，有經驗的就更少了，幾乎只有經理級別的有經驗。大多數隊員們都是來自各行各業(yè)(開發(fā)啊，運維啊，測試啊)就算是安全公司跳過來的，技能也比較局限，比如人家只會挖web漏洞，給他個二進制的他也不行，給他系統(tǒng)級的安全問題，他也 不擅長，沒辦法，安全是需要積累的，但是堅持下來的人很少。事多錢少背黑鍋。

　　2、事情雜多雜多的，全部要自己來。一般其他部門的開發(fā)就開發(fā)，運維就運維，安全部門基本上是自己做的。絕對不可能讓開發(fā)公司app的或web的團隊幫你做安全產品。原因很簡單，他們是為公司賺錢的，安全表面上看不出賺錢。所以基本上開發(fā)測試上線運維都自己來，雖說自己來是指安全部門或團隊自己來，但是由于安全團隊不可能跟開發(fā)團隊人數比，所以實際工作中還是相當于一個人能做的.越多越好。之前說了，安全還要參與別的部門的事情，所以知識面必須很廣。比如銷售們出臺了一個活動，你要放下手里的代碼，去看看他們這么玩行不行，會不會有安全隱患。根據經驗，人事部門，銷售部門經常出問題。IT部門中的開發(fā)測試也問題多多，運維也不省心，產品選型必須參與。有時心態(tài)也會調整不好，我那邊正忙著補一個漏洞呢，你們這種過家家的事還要浪費我時間，但是不去不行啊，你這邊好不容易防護過濾通通上了，人家一做活動，大字報一貼，什么奇奇怪怪的信息都能輕易的泄露出去。

　　3、安全部門地位尷尬。事情要做，但是沒人理你。舉個例子，要開發(fā)安全產品，沒有人給你資源，因為開發(fā)部門都不夠用呢。你要買安全產品，人家不批準，因為安全產品比較貴。你部署的要求，沒人理你，什么?你要加一個設備在我的網絡里?你要干嘛啊，我們網絡組好不容易把網維護的棒棒噠，你別多事。因為安全很難引起管理層的重視。哪怕出了事故了也很難引起足夠的重視。

　　4、永遠招人恨。業(yè)務部門想出來絕妙的點子。安全部門沖上去說不行!!! 開發(fā)部門來不及上新版本了，安全部門沖上去說慢著!!!人事部門只是發(fā)郵件收集一下信息，安全部門說等下!!!大家會覺得安全部門太TM煩了。安全部門的要求很難被理解。還會打擾人家。比如人家DBA玩的挺hi的你過去說：季度審計一下，不好意思配合做個。。。溝通永遠是個麻煩的問題，更惡心的是安全沒有大家想象的那么閑的蛋疼，相反是很忙很忙。已經盡可能避開業(yè)務高峰了。

　　5、專業(yè)背黑鍋。從CSO開始到工程師都背的。信息安全是全公司的事，并不是安全部門的事。但是大家不會理你的。每次溝通，說的再清楚也沒用。因為安全一定會與便利性沖突，沒辦法CIA原則平衡起來確實困難。漏洞百出安全部門只能看在眼里也沒辦法。舉個例子：安全掃描(這個無論大小公司比做吧，而且一般是半夜做哦)發(fā)現一臺數據庫服務器有系統(tǒng)漏洞。然后跑去跟系統(tǒng)部門說吧，他們不理你，說這是DBA的事情啊。DBA會說：什么漏洞?我們的數據庫很安全的，絕對注入不了，安全部門要從何科普起好呢?這還是技術部門內部。其他部門就更坑爹了，業(yè)務部門根本無法理解安全部門擔心的問題。覺得是想多了，也不好解釋這是風險控制吧，不好直接給她們看那個定性的量表圖吧?然后出事了，就是安全部門背黑鍋，雖然在具體追責的時候會追個人的責任，但是大家對安全部門印象好不起來。”我們的安全部門不行“。經驗得，出事情最多的：行政部(社會工程防不勝防)>測試部>運維部>其他部門。

　　應屆生來大公司(如阿里巴巴、騰訊、百度)，可能會遇到的最大的挑戰(zhàn)與困難是什么?

　　同上所訴，就是因為回答這個小問題，才決定匿的。個人覺得三家的安全部門百度管理的好一些。但也是50步笑百步，都比較散亂。最亂的是阿里個人感受。要補充說明一下，安全是非常隱蔽的，非專業(yè)人士難以評價的，這三家還有一些大公司在安全上都是付出了努力的，但是由于一些非常致命的原因，他們的安全還是會出問題，以及他們自己對安全不到位可能產生的后果的承擔能力不同，所以給人感受不同(簡單說就是，有企業(yè)明確安全目標是：老子不怕你來黑我，這樣的指導思想會直接影響安全結果，與企業(yè)的一個安全工程師是否優(yōu)秀無關，安全是打全局戰(zhàn)的)

　　三家都有一個優(yōu)勢，就是他們的安全部門都已經不僅僅是support部門了，都受到公司的重視了，可以有明確的目標，有東西學。比如 阿里的云安全，其實是可以算作“盈利”的存在了。因為保護的用戶不是散戶而是企業(yè)級的用戶。

　　另外，應屆生的話，其實就是沒有經驗的學生，很遺憾的是，學生不等于沒有經驗，牛的學生足夠多，但是!做安全太依賴經驗了，所以安全行業(yè)的學生等于沒有經驗。所以，沒經驗的話我剛剛說的那么些(那些只是一部分工作內容，還不是全部)基本不會給你接觸的，所以，學生其實只是做最落到實處的部分，比如：開發(fā)。區(qū)別就是人家開發(fā)app，你開發(fā)安全應用咯。一定要說有什么工作上的區(qū)別，對學生來說可能就是你要學的東西太多了吧，具體上手不會有太多的區(qū)別的。人家開發(fā)你也是，人家寫文檔你也是。所以，學生做安全的一天基本上是這樣的：

　　開發(fā)

　　領導開會回來了，告訴你要繼續(xù)開發(fā)

　　開發(fā)

　　領導去參與其他部門的安全問題了，告訴你繼續(xù)開發(fā)

　　開發(fā)

　　驗收開發(fā)的階段性成果

　　下班，下班前做一下安全審計的工作，很簡單很耗時

　　下班回家，擔心著自動化的審計工具有沒有問題啊?

　　第二天上班，先查看一下昨天的審計是否順利，順利則上交審計數據，不順利?則今晚重來一遍。

　　開發(fā)。。。

　　當然，這也只是一種，也有其他的，比如把開發(fā)改成運維，審計改成分析log等等，大致就是這個節(jié)奏了。

　　安全工程師工作適合什么樣子性格和能力的人，怎么樣就算做得“優(yōu)秀”?

　　適合打人生下半場的人做。仔細回憶一下，身邊做安全的，好像沒什么人能堅持下來從事這一行的。因為錢少事多背黑鍋。所以嘗試轉行的基本上都轉回去了。學生來做的，紛紛轉行的也不少。

　　真正坐下來的，我認識的從事這行也有5年以上，到十幾年的都有。他們已經有很大的不可替代性了，已經是manager級別的了。所以堅持很重要。

　　回答最后一個問題，網上總會有各種人才，腳本小子也好，漏洞達人也好。我想說一下，那不是安全從業(yè)者追求的狀態(tài)。原因是這樣的，安全是正當職業(yè)。雖然黑客也可以賺錢，而且暴利。但是很難洗白。真正的需要安全人才的公司不要流氓的。另外一個原因，安全很大的只是寬度，而不是深度。當然，深度也需要，只是沒寬度重要�，F在可以做黑客，找漏洞。那么10年之后呢?還繼續(xù)找漏洞?10年后公司不是需要一個找漏洞的人，而是可以保護企業(yè)安全的人，那時候你要可以全面評估企業(yè)資產安全，制定計劃，出臺安全政策。說了安全有10個領域，局限于一個是不行的。

　　最后說一下：安全不會比開發(fā)這種工作工資高的哦。都說了不受重視了。所以很有可能題主找工作的時候直接奔著錢就去做開發(fā)了，還懂些安全很受歡迎了�；蛘哂X得開發(fā)簡單一心做開發(fā)就好了，安全學那么多學都學不完。我技術不差為什么要受人指點，轉行吧。這兩個誘惑可以過，基本就適合做安全。

　　利益相關：CISSP，工作經歷：大公司安全工作人員(SIEM)，曾在乙方主要做加密，DLP等方向。

【作為一名安全工程師是怎樣的體驗】相關文章：

1.英語好是一種怎樣的體驗

2.怎樣做一名合格的監(jiān)理工程師

3.盲人當速錄員是一種怎樣的體驗

4.造價工程師的職業(yè)素養(yǎng)是怎樣的

5.怎樣成為一名優(yōu)秀監(jiān)理工程師

6.怎樣做好一名文秘

7.作為一名管理怎么和上下級溝通

8.作為一個秘書應該擁有怎樣的口才