一、写在前面
记得十年前曾经写过一篇涉及网络安全领域从业人员能力分析的文章,题为《行业信息安全项目运作模式研究》(见《计算机安全》2010年08期);2012年又曾专门写过一篇关于IT专业人员成长路线的文章,题为《IT职业发展的思考》(见《网管员世界》2012年第11期)。
然而光阴荏苒,时光飞逝。现如今,云计算、物联网、移动互联网、人工智能、区块链、5G等新技术、新应用的发展日新月异,国内外网络安全形势日益严峻,同时作者本人一直以来都在从事网络安全售前相关工作,毕竟吃饭的家伙什儿从未敢丢弃,思想意识上从未曾懈怠,工作思考上亦从不曾停歇,安全能力认知也日益在提高!
有感于此,以至于最近一直在思考一个老生常谈,而又令无数人困惑的难题:究竟网络安全专业人才(尤其是售前咨询领域)该如何规划、如何学习、如何成长,才能够从容地展现自我,为企业、为国家做出应有的贡献,以应对当前愈发严峻的安全形势与人才短缺的状况呢?
本文将通过“技能基线”的特殊表述方式,从不同方面、不同阶段综合阐述“网络安全领域售前咨询从业人员技术能力图谱”,以飨读者。
二、技能基线之构想
当前,针对IT行业售前咨询从业者的成长故事、工作技巧、励志文章等论述与培训甚多。总的来讲,与相声演员需要具备说、学、逗、唱四大基本功一样,IT行业售前咨询从业人员也应具备说、写、听、析四项基本能力。其中,说:意为讲解、说服之意;写:意为编写、撰写;听:意为倾听、辨听;析:是为分析、归纳和总结之意。需要说明的是,以上内容不纳入本文阐述,有意者可自行选择相应文章或课程研读、学习。
诚然,对于网络安全领域售前咨询从业人员来说,要想拥有说、写、听、析四大基本能力,必须要具备相应的技术支撑能力,即:掌握与之相对应的专业安全技能。
由此,为了能够清晰表述网络安全领域售前咨询从业人员的专业技能特性,亦或专业水平,本文创造性地提出构筑“技能基线”的设想,或者说是一个“水平基准线”。我们可以认定:“技能基线”是必备能力,达到“技能基线”即认为能够胜任网络安全售前咨询工作,实行量化计分评定,可赋予75分~80分。
在此,本篇将着重阐述“技能基线”所需的能力内容,而超越“技能基线”之上的、在项目和技术两大方向更高能力要求将作为“下篇”另行阐述、说明。本篇技能基线图谱如图1所示:
图1.网络安全领域售前咨询专业人员技能基线图谱
1. 技能基线之安全基础知识
“安全基础知识”是任何网络安全从业者都需要学习和掌握的基本技能,对于售前咨询从业人员而言更是如此。这里我们初步分为三个方面:技术基础、市场动态、业务方向,其技能图谱如图2所示。具体阐述如下:
图2.安全基础知识技能图谱
技术基础:
概括地说,技术基础包括网络基础知识、安全技术理论、最佳实践操作等相关内容。
网络基础知识涵盖的范围十分广泛,诸如OSI七层模型理解、TCP/IP通信原理、主要路由协议原理、网络抓包分析与排障、网络组网与互联技术等等,在国内各大院校、网络厂商、培训机构、网上校园等均有教授该方面的课程内容,还可以通过考取相应的认证证书来证明自身的网络技术能力。当然,无论从任何渠道获取相关的知识技能,最终都是要学以致用,因此以实战应用作为基本出发点是比较现实或实用的做法。毕竟,发现网络不能通信或某个设备出现问题可能不是难点,难的是能够通过自身所学和以往经验定位故障点,努力排除故障、解决问题,才能赢得用户的认可与尊重!
安全技术知识与网络知识一样,均是比较广泛和热门的话题。诸如防火墙技术、VPN技术、入侵检测技术、漏洞扫描技术、攻防渗透技术、安全评估技术、安全管理技术等基础技术的学习与认知自然是必不可少的选项。当然,如果能够有机会进行系统化的网络安全脱产培训与学习,自然是可喜可贺之事。
实践是检验真理的唯一标准。动手实践操作为我们的技术学习提供了一个理论验证和知识巩固的机会,也是证明自身技术能力的最佳途径。因此,最佳网络和安全实践将会为售前咨询工作增添无穷的个人魅力和自信心!
市场动态
对于网络安全售前咨询从业人员来说,还应积极了解企业市场动态方面的内容,主要包括市场宣传导向、企业文化氛围、企业业务战略等。
业务方向
除上述技能、知识基础外,一个合格的网络安全售前咨询从业者还应主动关注企业的业务方向,包括企业主营业务、产品技术研发方向,以及关键人才的需求方向等。
2. 技能基线之产品基础知识
本节内容主要包括对企业自有产品、外部合作产品,以及业内主流产品的研读与学习工作,这是售前咨询从业人员须深度掌握的另一个重要知识点。试想,如果企业自身员工都无法清晰描述在售产品的特性特点、使用方式,那无论如何也不能被用户信服,更谈不上为用户排忧解难了!
尤其是对于企业自有产品而言,更是要熟练掌握其适用场景、使用方法、功能特点,必要时还要进行上机实操练习,加深产品记忆与理解,以便娴熟、自信地为用户讲解,提供合理建议。其技能图谱如图3所示。
图3.产品基础知识技能图谱
正所谓知己知彼、百战不殆。对于售前咨询从业人员而言,还应积极主动地去了解、学习业界主流网络安全产品的特性与特点,以备不时之需,做到有的放矢。
3. 技能基线之方案/集成设计
安全方案设计/安全集成设计是网络安全售前咨询从业人员的核心技能,属于关键软实力之一。
众所周知,面对日益复杂的网络安全威胁形势,越来越多的用户更加注重整体安全解决方案或者安全专项解决方案的资源投入;与此同时,由于主流网络安全产品同质化日趋严重,诸如功能雷同、性能差异不明显、价格无底线等现实问题,依靠某类安全产品就能够大概率获胜的项目也屈指可数。以上综合因素,最终导致了安全方案/安全集成咨询、设计、实施的强力增长趋势。
结合目前安全市场发展现状,本节涉及的安全技能可以分为平台类方案设计、组合型方案设计和定制化方案设计三大细分方向。其技能图谱如图4所示。
图4.方案/集成设计技能图谱
平台类方案设计
平台类方案设计有其独特的内在需求,通常是为了解决某一类安全问题而设计、研发。它的显著特点就是适用在特定的使用场景,功能模块复杂或平台组件较多,需要结合用户的具体需求进行现场调研、沟通交流,然后仔细甄别、认真分析、去伪存真,提出切实可行的解决方法,形成解决方案,帮助用户解决实际问题。
就该项业务技能而言,要求售前咨询人员在熟悉企业自身平台类产品的基础上,还应具备一定的需求分析、需求设计能力。这,相当于具备了IT产品经理的一部分业务能力。诚然,挑战与机遇共存,努力与收获同在!
组合型方案设计
组合型方案大体上可以分为两类,一类是为满足某种特定需求,由多种安全技术、产品有序组合而设计的安全解决方案,称之为按需组合型方案;如由云抗DDoS服务+本地抗DDoS设备而共同组合形成的立体化抗DDoS解决方案;
另一类就是依据政策文件、法律法规、安全标准、行业规范设计而成的、体系化的安全解决方案,称之为合规型解决方案;如等级保护安全解决方案。
按需组合型解决方案要求售前咨询人员须具备挖掘用户实际需求、摸清用户真实诉求的分析与辨识能力,然后选择相应的安全技术、安全产品、安全服务等,为用户提供合理化建议和方案。
合规型安全解决方案则要求售前咨询人员须依据国家网络安全政策文件、法律法规,以及安全标准、行业规范、安全指引等合规性文件,构建整体化、结构化、层次化的安全体系框架,编制整体安全解决方案或安全整改方案。
定制化方案设计
定制化解决方案是为满足用户特定需求而量身定做的、具有部分定制开发工作的安全解决方案。平台类解决方案很容易转化为定制化解决方案,因为不同的行业用户其自身业务特点会有所不同,安全类的需求点上自然也会差异化。因此,在平台类解决方案的基础上进行所属行业个性化标签的研究与开发定会获得用户的高度认可!
在市场竞争日益惨烈的今天,如何通过定制化的安全解决方案在行业细分领域占有一席之地,是我们当前需要迫切关注和重点投入的方向之一。这需要售前咨询人员能够有时间、有毅力、有机会沉下心来,与用户一起认真调研、潜心研究,了解用户方业务特点,分析业务场景,熟悉业务流程,然后再结合产品市场、功能效用进行集成设计,辅以不高于20%人力投入的定制开发工作,做到真正能够解决业务安全难点,提升用户方安全应对能力,同时提高自身核心竞争力。
三、结束语
作为一名始终从事网络安全行业工作的老兵,知识水平难免有限,实践经验亦乏善可陈,但仍希望通过整体化地、系统化地知识梳理与分享,使得新入行或即将入行的网络安全从业者能够有所参考、借鉴,并学以致用,树立工作自信心,快速地参与项目、运作项目,与团队一起走向成功,为国家网信事业添砖加瓦,贡献绵薄之力!
不管怎样,我想,无论何时,无论何地,我们总得有“不负过去,不惧将来”的信念与勇气!
来源:freebuf.com 2020-07-01 08:00:00 by: publicshang
请登录后发表评论
注册