在大公司作為一名安全工程師,是一種什麼樣的體驗?
主要分為哪幾種類型的工作?
一般情況下一天的工作時間安排會是什麼樣子?會遇到什麼在其他公司難以遇到的挑戰?應屆生來大公司(如阿里巴巴、騰訊、百度),可能會遇到的最大的挑戰與困難是什麼?安全工程師工作適合什麼樣子性格和能力的人,怎麼樣就算做得「優秀」?
做安全工作,普遍情況不好說,個人來說主要感覺還是「緊張,自信,偶爾焦慮,偶爾很有成就感」。花邊故事和業內傳聞就不講了,雖然可以吸引很多人來看。
很多同學很好奇「感覺」,其實這要基於安全工程師到底在做什麼工作上,下面一一列出。由於公司規模和組織分工的差異,這些答案不能代表整個行業,邏輯性可能也不是很強,請諒解。
1,IT部門
2,產品設計及部署團隊(含安全)3,產品測試與安全測試團隊4,應急響應團隊5,開源和供應商管理團隊6,安全技術團隊7,流程與質量團隊8,法務與PR9,標準與認證團隊
還有些,我就不列了。
在很多公司中,上述角色或不全或合併。都可以理解,畢竟不同公司的業務範圍不同。———————IT部門這裡特指維護企業IT系統的部門,也是最常見的需要做安全工作的部門,應對來自內外部的安全威脅。其安全工作包括什麼呢?
各種內外網站的安全部署,維護,審計。各種用戶賬號和許可權管理,信任域隔離。各種數據和許可權管理,加密,隔離,容災。各種IT系統的缺陷補丁和攻擊測試。
各種接入管理,鑒權,VPN部署等。EMAIL防護與過濾,防釣魚。PROXY訪問許可權設置與異常記錄分析。針對IT系統本身的應急響應。安全宣傳和答疑等。這些是比較常見的,也是最普遍的。不僅BAT會做,只要上規模的企業IT都會做。
有些公司還會有防APT措施,內部審計,專職滲透測試等等,不能盡列。至於查帳號共享啊、查私設VPN啊、查反代、查違規發郵件啊,都是例行工作。無線電探測器?呵呵,這個預算不常有,但也是有的。沒事就喝茶例行工作,有事連軸轉。
————產品設計開發團隊也是要做安全的。
安全威脅和風險分析
安全架構安全設計和安全組件的使用各種加密協議,演算法,資料庫各種安全日誌和告警設計各種許可權,資源,操作的設計防注入設計防協議攻擊設計
防DDOS/DOS設計防破解和防木馬可信計算,沙箱指紋混淆SOC太多了不寫了
我要狠狠吐槽,很多開源組件的安全做得跟屎一樣,是不是故意的?————安全測試,呵呵,這個估計是一談到做安全大家最有興趣的崗位了
通常所謂白帽子,其中的大部分是做這個崗位的。
大部分安全研究員都會做測試,很多大牛更是如此。但是這其實是個最枯燥,最苦逼,最容易惹是生非的崗位。其實際工作內容,也是跟普通人之間的幻想差異最大的崗位。他們做些什麼呢?
安全架構分析,威脅和風險分析和測試安全組件和開源組件缺陷分析和測試各種協議缺陷分析,各種系統調用和I/O缺陷分析各種攻擊測試,各種滲透測試。各種CERT組織的郵件列表時時關注和討論。各種安全缺陷庫的時時關注。
各種源碼白盒審計各種測試工具和用例構建。看著工作雜亂無章,其實內含的方法論是一套一套的。這話我還是有資格說的。
對付缺乏安全意識的產品開發和互聯網公司時,隨便就能找出一堆問題,挺沒勁的。也就工具小子們還會激動一下。對付具有足夠安全意識的產品和公司時,難度挺大的,需要消耗幾個月在上面,而且不一定有很好的結果,有時候也會有挫敗感,搞出幾個來還是蠻開心的。在公司內部搞的時候,各種判定標準和利益撕扯幾乎是必然的,千萬不要抱著「我就是要搞大」的心態,受人薪水是來發現和解決問題的,次次都只做一半必然周邊關係極差。特別地,對待第三方公司的時候,特別是非甲乙方關係的第三方公司的時候,言談舉止要格外小心,拿捏不準就不要說或者做,否則可能吃官司。不開玩笑,否則我們養一堆法務幹啥。花邊1:業界有個特別的辭彙「0day」,一說出來光芒四射,吸引一堆人膜拜。
其實這玩意有另外一個朗朗上口的名字:「Bug」,特指可以被惡意利用的安全缺陷,也特指在某些核心系統中被首次發現、尚未公開的安全缺陷。0day其實蠻多的,呵呵,但是良心白帽子一般都會通過CERT機制將其公開,賺個好名聲。至於說某些網站應用構築上的Bug(烏雲上經常報的那些),嚴格來說叫0day是不合適的,其實都是已知缺陷的各種重複而已。
花邊2:今年defcon上說黑掉汽車的那兩個大牛,吸引了無數目光。
其實嵌入式軟體系統中原本考慮安全的部分就少,其主要設計目標是性能和可靠性,找幾個安全缺陷出來不奇怪。至於把人家firmware都換了,後面的確想怎麼玩怎麼玩。firmware的升級替換防篡改屬於可信計算的範疇,有常見的TPM技術可用。---------待續
下次講應屆生和挑戰問題主要分為哪幾種類型的工作?
主要分類:安全運維,安全審計。按照CISSP,安全要細分十個領域,不過真正在甲方工作的話,職位就這兩個差不多了。(不知道保安算在哪一種?)有些公司是直接分到IT/技術部門;有些公司有安全部門,部分公司會有很多安全小團體,共同向安全總監彙報。第三種比較常見。
一般情況下一天的工作時間安排會是什麼樣子?
不管具體是負責安全哪一塊的,都差不多是這樣工作的:
開會,總結安全的問題(被黑了,信息泄露了,公司發現了哪些安全脆弱了)做產品(包括開發安全產品,各種需要的產品,包括寫文檔之類的,文檔很重要,可以把安全信息可視化,主要看公司的需求)協助其他部門買產品或做顧問(買安全設備,檢查別的部門買的設備是否有明顯的安全漏洞,檢查別的部門的工作會不會影響公司的安全。不僅僅是指參與IT部門的安全啊,甚至包括財務人事等,各個部門,當然會有分工的,不是一個人查全部。)安全檢查(全方位,因為大公司要過安全審計的。這點很瑣碎,無所不及,而且還不能影響其他部門正常工作,所以基本是中午啊,半夜啊,雖然會有自動化工具什麼的,但是依然心裡惦記著,晚上手機震動就會醒了,以為有報警。)會遇到什麼在其他公司難以遇到的挑戰?
這裡是重點:1、團隊人少是肯定的,安全部門不會很龐大,有經驗的就更少了,幾乎只有經理級別的有經驗。大多數隊員們都是來自各行各業(開發啊,運維啊,測試啊)就算是安全公司跳過來的,技能也比較局限,比如人家只會挖web漏洞,給他個二進位的他也不行,給他系統級的安全問題,他也 不擅長,沒辦法,安全是需要積累的,但是堅持下來的人很少。事多錢少背黑鍋。2、事情雜多雜多的,全部要自己來。一般其他部門的開發就開發,運維就運維,安全部門基本上是自己做的。絕對不可能讓開發公司app的或web的團隊幫你做安全產品。原因很簡單,他們是為公司賺錢的,安全表面上看不出賺錢。所以基本上開發測試上線運維都自己來,雖說自己來是指安全部門或團隊自己來,但是由於安全團隊不可能跟開發團隊人數比,所以實際工作中還是相當於一個人能做的越多越好。之前說了,安全還要參與別的部門的事情,所以知識面必須很廣。比如銷售們出台了一個活動,你要放下手裡的代碼,去看看他們這麼玩行不行,會不會有安全隱患。根據經驗,人事部門,銷售部門經常出問題。IT部門中的開發測試也問題多多,運維也不省心,產品選型必須參與。有時心態也會調整不好,我那邊正忙著補一個漏洞呢,你們這種過家家的事還要浪費我時間,但是不去不行啊,你這邊好不容易防護過濾通通上了,人家一做活動,大字報一貼,什麼奇奇怪怪的信息都能輕易的泄露出去。3、安全部門地位尷尬。事情要做,但是沒人理你。舉個例子,要開發安全產品,沒有人給你資源,因為開發部門都不夠用呢。你要買安全產品,人家不批准,因為安全產品比較貴。你部署的要求,沒人理你,什麼?你要加一個設備在我的網路里?你要幹嘛啊,我們網路組好不容易把網維護的棒棒噠,你別多事。因為安全很難引起管理層的重視。哪怕出了事故了也很難引起足夠的重視。4、永遠招人恨。業務部門想出來絕妙的點子。安全部門衝上去說不行!!! 開發部門來不及上新版本了,安全部門衝上去說慢著!!!人事部門只是發郵件收集一下信息,安全部門說等下!!!大家會覺得安全部門太TM煩了。安全部門的要求很難被理解。還會打擾人家。比如人家DBA玩的挺hi的你過去說:季度審計一下,不好意思配合做個。。。溝通永遠是個麻煩的問題,更噁心的是安全沒有大家想像的那麼閑的蛋疼,相反是很忙很忙。已經儘可能避開業務高峰了。5、專業背黑鍋。從CSO開始到工程師都背的。信息安全是全公司的事,並不是安全部門的事。但是大家不會理你的。每次溝通,說的再清楚也沒用。因為安全一定會與便利性衝突,沒辦法CIA原則平衡起來確實困難。漏洞百出安全部門只能看在眼裡也沒辦法。舉個例子:安全掃描(這個無論大小公司比做吧,而且一般是半夜做哦)發現一台資料庫伺服器有系統漏洞。然後跑去跟系統部門說吧,他們不理你,說這是DBA的事情啊。DBA會說:什麼漏洞?我們的資料庫很安全的,絕對注入不了,安全部門要從何科普起好呢?這還是技術部門內部。其他部門就更坑爹了,業務部門根本無法理解安全部門擔心的問題。覺得是想多了,也不好解釋這是風險控制吧,不好直接給她們看那個定性的量表圖吧?然後出事了,就是安全部門背黑鍋,雖然在具體追責的時候會追個人的責任,但是大家對安全部門印象好不起來。」我們的安全部門不行「。經驗得,出事情最多的:行政部(社會工程防不勝防)&>測試部&>運維部&>其他部門。應屆生來大公司(如阿里巴巴、騰訊、百度),可能會遇到的最大的挑戰與困難是什麼?
同上所訴,就是因為回答這個小問題,才決定匿的。個人覺得三家的安全部門百度管理的好一些。但也是50步笑百步,都比較散亂。最亂的是阿里個人感受。要補充說明一下,安全是非常隱蔽的,非專業人士難以評價的,這三家還有一些大公司在安全上都是付出了努力的,但是由於一些非常致命的原因,他們的安全還是會出問題,以及他們自己對安全不到位可能產生的後果的承擔能力不同,所以給人感受不同(簡單說就是,有企業明確安全目標是:老子不怕你來黑我,這樣的指導思想會直接影響安全結果,與企業的一個安全工程師是否優秀無關,安全是打全局戰的)三家都有一個優勢,就是他們的安全部門都已經不僅僅是support部門了,都受到公司的重視了,可以有明確的目標,有東西學。比如 阿里的雲安全,其實是可以算作「盈利」的存在了。因為保護的用戶不是散戶而是企業級的用戶。另外,應屆生的話,其實就是沒有經驗的學生,很遺憾的是,學生不等於沒有經驗,牛的學生足夠多,但是!做安全太依賴經驗了,所以安全行業的學生等於沒有經驗。所以,沒經驗的話我剛剛說的那麼些(那些只是一部分工作內容,還不是全部)基本不會給你接觸的,所以,學生其實只是做最落到實處的部分,比如:開發。區別就是人家開發app,你開發安全應用咯。一定要說有什麼工作上的區別,對學生來說可能就是你要學的東西太多了吧,具體上手不會有太多的區別的。人家開發你也是,人家寫文檔你也是。所以,學生做安全的一天基本上是這樣的:開發領導開會回來了,告訴你要繼續開發開發領導去參與其他部門的安全問題了,告訴你繼續開發開發驗收開發的階段性成果下班,下班前做一下安全審計的工作,很簡單很耗時下班回家,擔心著自動化的審計工具有沒有問題啊?第二天上班,先查看一下昨天的審計是否順利,順利則上交審計數據,不順利?則今晚重來一遍。開發。。。當然,這也只是一種,也有其他的,比如把開發改成運維,審計改成分析log等等,大致就是這個節奏了。安全工程師工作適合什麼樣子性格和能力的人,怎麼樣就算做得「優秀」?
適合打人生下半場的人做。仔細回憶一下,身邊做安全的,好像沒什麼人能堅持下來從事這一行的。因為錢少事多背黑鍋。所以嘗試轉行的基本上都轉回去了。學生來做的,紛紛轉行的也不少。真正坐下來的,我認識的從事這行也有5年以上,到十幾年的都有。他們已經有很大的不可替代性了,已經是manager級別的了。所以堅持很重要。回答最後一個問題,網上總會有各種人才,腳本小子也好,漏洞達人也好。我想說一下,那不是安全從業者追求的狀態。原因是這樣的,安全是正當職業。雖然黑客也可以賺錢,而且暴利。但是很難洗白。真正的需要安全人才的公司不要流氓的。另外一個原因,安全很大的只是寬度,而不是深度。當然,深度也需要,只是沒寬度重要。現在可以做黑客,找漏洞。那麼10年之後呢?還繼續找漏洞?10年後公司不是需要一個找漏洞的人,而是可以保護企業安全的人,那時候你要可以全面評估企業資產安全,制定計劃,出台安全政策。說了安全有10個領域,局限於一個是不行的。最後說一下:安全不會比開發這種工作工資高的哦。都說了不受重視了。所以很有可能題主找工作的時候直接奔著錢就去做開發了,還懂些安全很受歡迎了。或者覺得開發簡單一心做開發就好了,安全學那麼多學都學不完。我技術不差為什麼要受人指點,轉行吧。這兩個誘惑可以過,基本就適合做安全。利益相關:CISSP,工作經歷:大公司安全工作人員(SIEM),曾在乙方主要做加密,DLP等方向。在大公司里,一個優秀的員工,得具有"匠心"。
匠心是一種性格,也是一種做事追求完美的風格,譬如街上每天烙餅的大叔,每天一成不變的烙餅,直至把烙餅這件事做到極致完美。
當然遇到的挑戰也是要克服這種"一成不變",不能讓自己處於安逸之中,要保持創業公司員工的活力,不斷去超越自己,接受挑戰。
困難的話我自己感覺還是在溝通和信息對稱方面,大公司略顯笨重,阻力大。沒有創業公司執行力高,速度快。但是不管在哪,阻力都會有,有阻力說明在前進,克服阻力才能不斷前進。
(? ?_?)?以上。看到裡面幾個答案,要麼文不對題,要麼場景經驗有限,真捉急。先佔個坑,有空答。
剛下班,先發一些。
1.安全分甲方和乙方。如果是有一定hack基礎的,建議直接去甲方(如BAT)學習做一名專業「防」而非「攻」的安全工程師,企業需要的安全人員和黑客區別很大,體系比較健全,也便於以後創業。要是沒有經驗,建議去如綠盟好好學習,不少甲方的優秀安全工程師都是3大安全廠商出來的,綜合能力(滲透、項目管理、產品設計、演講銷售、ppt)比較高。但是,甲乙雙方有個很大的區別,來源於業務目標,就是乙方注重銷售服務或產品,但甲方注重整個SDL全流程的保障,需要owner意識比較強。也就是說,你做甲方安全,負責一件事,全部和它相關的都要搞定,為業務為安全結果負責,不是僅僅做了這件事而已。
2.具體在甲方公司有哪些可以做?常見的安全技術工程師(方向有web、基礎架構、移動、辦公網等),安全產品研發和設計(黑白盒掃描器、Waf、SOC等),安全運營(SRC、全局漏洞運營、規範標準創建、產品宣傳推廣),安全審計,數據和許可權安全等,也有如攻防實驗室,專門負責業界安全漏洞挖掘和研究。安全技術和安全研發都是急缺的崗位。
B一般都會讓技術新人從基本的漏洞處理做起,然後根據能力個個人愛好,轉向研發、攻防或人工代碼審計;運營管理審計等一系列一般都是一個小非技術團隊解決。更多的情況是一人身兼多個崗位。等年頭兒到了可以有選擇權,待越久具體的工作量越少。可以轉崗,但不鼓勵。離職率高。
A是固定工作專人專事,有的人呆很多年都是做一類工作。基於微軟SDL為核心做工作,專門有工程師為具體事業部安排負責,做的也更深入,但一線SDL工程師比較辛苦,同時具備的不止是技術能力,還要與人溝通能力、推動能力、報告能力,第一次看到這裡工程師的報告都驚呆了,太專業了。研發,運營一般都專人專事,會做多個項目或產品,但是一般比較少出現同時做SDL工程師又做研發又做運營又做Pd的。
T沒去過,暫且不表。
3.日常工作安排
最大的特點是,早飯到晚飯間,很多時間都在溝通,既向他人提需求也響應他人的需求。正經計劃好的工作,沒有那個環境讓你專心致志不被打擾進行,很多時候只能安排到晚飯後做。女生並行進行工作能力好些,但是剛來的男生可能會有不適應。方法可以是,提前計劃好下一周工作,並進行詳細任務拆分並劃分優先順序,細化到每個關鍵里程碑和完成時間(具體到天或半天),把代辦事項和時間記到note或者便簽,每天一睜眼就知道要做什麼,抓緊一切時間完成最重要的任務。曾經看過有人聊天工具簽名寫什麼時間處理什麼任務來劃分時間,但對需求方不友好。你的需求方很多時候也會幫助你,所以滿足他人需求也是為以後工作提供便利。4.怎樣能做到比較出色?
不要做「窮忙一族」。你或者別人當重複工作堆積時,當被眼前問題折磨煩惱時,當發現工具不好用、流程不順暢時,不要人云亦云抱怨,這些都是你可以出類拔萃的機遇。公司評價你的價值的時候,不是你按部就班做了什麼,而是要有人善於發現目前的問題,並給出解決方案,owner起來去解決問題。試問,一個人是一個月每一天處理了100個漏洞價值更高,還是花一個月時間開發功能將70%的漏洞能夠自動處理工作的價值更高?是按部就班開發或使用掃描器,還是鑽研具體漏洞挑出可以擴展的功能和規則更重要?5.注音事項
大公司里,關鍵的事物,一定要發郵件,一定要發郵件,一定要發郵件。發郵件前後,一定要溝通,一定溝通,一定要溝通(方式包括但不限於方面、視頻會議、電話個聊天工具,且必須得到反饋)。做到這兩點,會減少70%的矛盾和問題,同時更是遇到糾紛自保的底牌(別對自己的智商情商太有自信,大部分人會專註於自己績效內的業務,項目涉及多個團隊,扯皮常有)有他人參與的業務,一定要提前,一定要提前,一定要提前,做好響應準備。大家工作安排都很滿,沒有那麼多時間去響應你的臨時需求,尤其是一些會議需要參與的關鍵人物,如果不到,基本上會議無效。
降低預期。大公司業務方的安全意識多少會好些,會有業務方過來求你做安全測試,但是也會出現安全人員追著業務跑的情況。即使一個公司安全人數很多,但是具體做起事情,人還是不夠用,得需要利用各種技能搶佔資源。曾經在百度做過一段時間安全工程師,負責殺毒引擎相關的工作,簡單回答。主要分為哪幾種類型的工作?樓上已經說得很好了,而且這個分類沒什麼統一標準,看你喜好,有些網管也被叫作安全工程師。一般情況下一天的工作時間安排會是什麼樣子?和普通碼農區別不大。會遇到什麼在其他公司難以遇到的挑戰?小公司你需要做許多不同種類的事情,廣泛但不深,在大公司就相反。應屆生來大公司(如阿里巴巴、騰訊、百度),可能會遇到的最大的挑戰與困難是什麼?可能會一種當螺絲釘,無出頭之日,找不到自己的位置,所做工作沒有成就感的失落。安全工程師工作適合什麼樣子性格和能力的人,怎麼樣就算做得「優秀」?和其他技術職業一樣適合耐得住寂寞肯鑽研,同時又善於歸納總結,把自己所學所研究的成果展現給別人的人。作為一個黑客,「優秀」簡單可靠的定義就是,其他公認的黑客覺得你不錯。
[警告:本回答只針對此問題最後一小問]
並非答主親身體驗,只是介紹一個我認識的人。他是日本Macnica Networks Corp的安全工程師, 因為自己私下的項目ShinoBOT去過日美n多安全類會議,上周還在拉斯維加斯的black hat 2015上當講者。
以下是我發現的他的幾個特點,僅供參考:
1. 對概念本身的喜好。 倒不是說狹義的安全概念,就是廣義上的雙方攻防競爭這一行為。他自己私下的愛好就是玩策略類分勝負的遊戲和看競技類運動項目(其實我對後者表示懷疑)。也就是說,在工程師能選的工種裡面,特別適合安全這塊。
2. 持續探索的興趣。 其實和樓上 @Demon 的匠心是一個概念。 我之前在凌晨三點多發郵件給他,秒回。後來問,他那時是在改進ShinoBOT(因為白天要在公司工作,顯然的)。當然這廝的人生興趣就是編程,基本上想碼就碼,但是要針對一個主題不斷研究還是需要心力的。話說回來,這還是要和1.結合, 他的模擬器之前幾次被安全軟體封了,然後又幾次想辦法繞過,那傢伙描述整個過程的時候是真的覺得很有趣。努力一般人都做得到,但出於本身興趣努力會好很多。
3. 國際化的能力。 呃這點已經和題主問題完全沒什麼聯繫了,所以就算了。在某世界前三雲計算公司做安全攻城獅,在中國也有業務但是和世界其他地方是分開的,我不負責中國區。
主要有幾大團隊安全運營團隊,分布在全世界幾大地區,輪流oncall,主要負責應急響應,和內部業務團隊溝通處理安全事件等等安全整合團隊,負責將安全作為主要功能結合在產品里
應用安全團隊,red team這種,對內滲透測試和代碼安全審計。
安全平台團隊,寫各種安全相關的工具和管理平台。
威脅情報團隊,精英都在裡面,人數很少技術很牛逼,主要研究botnet和malware。
更神秘的研究團隊,挖0day,主要是hypervisor和內核級的。
很多大產品團隊本身也有自己的安全團隊,我們主要就是有事和他們溝通了。
忙不忙看人品,有時候oncall一大早十來個page,有時候兩三天也沒一個。
具體負責什麼主要看你在哪個團隊了。
進入大公司安全部門最大的挑戰就是熟悉業務,熟悉業務,熟悉業務,重要的事情說三遍。比如,有人給你們報了某產品有漏洞,你要知道去找哪個團隊,由誰負責,又比如你們的掃描器發現某主機存在漏洞,你要知道這個主機是誰負責,上面有什麼業務,存了什麼數據等等。
另外就是要會寫小工具,有時候一下通知幾百上千個團隊更新軟體包是件很痛苦的事情。
想多寫點但是又不能泄密,就這樣吧~_~;一般來說,如果在安全部BU,那基本上都是螺絲釘,各司其職,無論是SDL還是風控、移動
但是對我們來說,人少項目多,哪裡缺上哪裡
舉個例子,前段時間有移動安全的需求,被扔到集團呆了幾天,回來就是幾十個APP扔過來
平時就是近千個應用上萬個介面,安全就我們幾個人在做,順便還要看著防爬防刷業務評審
還有大量的IoT安全需求,好多協議都沒聽說過
不過這種感覺還是蠻爽的(雖然是個連iPone都沒用過的屌絲,搞iOS APP暈死,,,還有就是結課了竟然都不知道,差點畢不了業)
//還有,我只是個垃圾實習生,隨便吹的,不要當真,出了問題可是要負澤任的
非請自來,先挖坑,看是否有空填了。
安全工程師,在不同的公司裡面,定義不一樣:1、搞內部服務支撐的安全工程師;2、對外支撐系統的安全工程師;按照題主提到如阿里巴巴、騰訊、百度;那麼我理解更多的會是第一種。下面會簡要的進行一些描述。第一種,內部的安全工程師,你要知道,大公司裡面,崗位職責劃分都比較清晰,那麼這個安全工程師的職責也會有細化的區分。再細分:a、如果是對自己公司業務伺服器的運維安全,那麼首先你需要清楚公司的業務伺服器上都用到了哪些軟體/系統,相關的版本有哪些;日常的時候,就是跟蹤相關的漏洞,補丁;如果有漏洞產生,就需要有打補丁,測試等工作環節;如果暫時沒有,那麼你可能需要有一些滲透的技巧,自己來尋找業務應用的相關漏洞;不斷的遭遇:打補丁,保障,測試,演練,宕機,加班等體驗。b、對於內部網路安全的工程師,那麼需要深入的了解網路的組建和規劃,網路互聯傳輸等協議;通過一些手段來探測網路是否存在薄弱點,比如在對外的機器上錯誤開啟了一個什麼服務,而這個服務可以作為跳轉直接訪問到內部的什麼資料庫;不斷的遭遇:掃描、破解、滲透等體驗;c、當然,還有和技術相關性不是很大的,負責安全體系的,就是說對於維護操作等都需要有一些審核等;這些相對來說要輕鬆一些,但是應該不是題主主要關注點。總體來說,這些體驗,在沒有什麼問題的情況下,體驗回比研發好一些,但是如果遇到了一些0day漏洞,或者對於自己的業務系統影響比較大的,比如SSL、apache、mysql等的越權。先寫這麼多吧,後續有空再補充。防住了人家覺得是本分,漏過了人家覺得你不行
忙的時候熬夜24小時不間斷,閑的時候就在回復你
在某巨型汽車廠做了這個,工作比較全面而且複雜,偏向於管理,對協調和溝通能力要求較高。是一個有無限發揮空間的工作,但是很多事情需要接地。
其實蠻無聊,沒電影裡面講的辣么有基情。先佔個坑,捋一捋再來填。
修漏洞,修漏洞,修漏洞
應屆生都是螺絲釘,建議還是去創業公司。甲方很鬧心的,業務相關安全。
BAT招聘安全分析運營工程師!(有興趣私聊)
工作內容:
1.負責數據系統的運營和價值推廣,制定和建設系統的運營體系,推廣數據的業務和應用價值;
2.據產品要求,設計數據指標體系及制定數據規劃,對運營數據設計分析邏輯,發現潛在的產品機會、風險,提供決策數據支持,推動業務閉環。
遇到的多數客戶包括客戶的運維人員,安全方面的知識和經驗嚴重不足。業務系統 中挖礦,cpu100%,不知道怎麼殺互守進程。歷史命令有執行可執行文件記錄,且參數中包含礦池地址,居然一點意識不到安全問題的嚴重性。買了安全產品,基本不上去看,說看不懂,設備當擺設,全程笑嘻嘻。
關注此問題,以便更加了解husband的工作。我還是不太了解我夫工作內容,也沒真的搞懂他帶兩個小弟的team每天在幹嘛。就像他不了解我所謂產品經理都在幹嘛。每天上班時間比他長,加班比他多。工資只有他的四分之一。
求兩枚資深安全專家,一枚漏掃規則庫方向;一枚安全底層開發方向(dpdk,dns開發,QBS百萬級以上)。薪資70W以下可談,具體看人。
要求:1.有5年以上的經驗;2.年齡28歲以上;3.學曆本科+(人特牛X可以不在此列)。
安全工程師的範疇可廣泛了,與之對應的叫計算機工程師。安全分安全管理和安全操作。管理基本上就是制定policy,standards and procedure. 同時還包括 governance, compliance and audit. 安全操作基本上就是安全相關的系統維護。其實這些完全可以由系統管理員來做,多一個好聽的名稱。安全管理基本上不用加班不用on call.安全操作基本上就要加班了。對了,這裡漏了一個安全架構師,個人認為屬於安全管理一類吧。
推薦閱讀:
※辦公網路被優酷路由寶DHCP劫持了,怎麼解決?
※怎麼突破校園網的網速限制,或者入侵學校管控網路的伺服器?
※如果全中國停網一天,會有什麼變化。?
※想系統學習web安全...做了個計劃求大神幫忙看看?
※我的QQ沒有進行任何操作,為什麼會自動轉載優買網的日誌呢?