返回
信息安全-职业发展之惑系列

信息安全-职业发展之惑系列

ID:36290459

大小:40.25 KB

页数:16页

时间:2019-05-08

信息安全-职业发展之惑系列_第1页
信息安全-职业发展之惑系列_第2页
信息安全-职业发展之惑系列_第3页
信息安全-职业发展之惑系列_第4页
信息安全-职业发展之惑系列_第5页
资源描述:

《信息安全-职业发展之惑系列》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、职业发展之惑系列之一--要不要做信息安全[写在前面]文章写出来之后,引起大家对于信息安全职业的悲观,这是我所不愿意看到的。从行业来说,随着大公司越来越看好安全这块蛋糕,独立的安全公司的生存的确受到一定的威胁。但是作为个人的职业来说,信息安全的前景还是不错的,因为信息安全的重要性一定会随着IT应用的日益增加而增加,所以IT人员需要掌握信息安全知识肯定是一个必然的趋势。只是从长远来说,我们从事信息安全的人员一定要拓宽自己的知识面,不要仅仅满足于了解防火墙、了解加密、了解安全管理,一定要能够用一个更加

2、宽广的视野来思索自己的发展。至于文中我提到劝一些人不要做信息安全,那其实只是针对一些志向远大同时又潜力十足的人来说。毕竟,多少作IT的人中才能产生一个CIO,而多少人中才能产生一个CEO,从这个角度来说,我们做信息安全的人做到CISO的几率反而要大很多。虽然也许我们会觉得目前大多数组织没有CISO这个职位,但是我相信,随着信息安全重要性的日益增加,一定会有越来越多的CISO出现。另外,我把要不要做信息安全放在第一篇,并不是我自己没有信心,只是我想我们在解决后续的问题之前必须要先明白自己到底要什么

3、?其实我真正希望这一系列文章的重点在后面部分,而不是第一篇所引起的疑惑。当然,如果以前没有想清楚这个问题,趁着这个机会想清楚也不错,免得等你做到了CISO之后才后悔当初不应该做信息安全而导致自己没有机会做CIO、CEO。但是,有一点我想很重要,就是看完第一篇后不管我们决定是不是要做信息安全,这个问题在很长的一段时间内都不要再进入我们的脑海。如果我们每年思考要不要做信息安全这个问题的次数超过一次,那么不是我故作悲观,我们真的很难在这样一种状态下成功。职业发展之惑系列小序弹指间,在IT的路上已经走过

4、了不少个年头,在信息安全的路上也是越陷越深,回首看来,这样的职业发展之路好还是不好?真的很难回答。不过为了解答自己的疑惑,也为了给他人提供一个参考,试着做出一些分析,希望能够让自己明白一点。问题一:我要不要做信息安全要不要做取决于个人追求与外部环境的综合作用,个人追求因人而异,但是外部环境对大家来说却大致相同,在这里我就信息安全能够提供的舞台、信息安全发展的前景等一些外部因素略作分析。[separator]1.信息安全在组织内部的舞台我们先来看看信息安全在一个公司内部所承担的职责。信息安全含义很

5、大,就是要保护组织所有信息的安全,保护信息的措施就是我们信息安全从业者的主要工作内容。那么,企业内部的信息现在无非就是电子的和非电子的两种,对于非电子信息的保护方法基本上都是传统的方法,流程优化、人员管理和物理保护等,这些工作基本上都由传统的管理职能实现。物理保护是行政管理部门或者专门的物理安全部门的工作,人员管理教育由人力资源部门,peoplemanager或者还包括法律部门来共同完成,流程则是由相应执行部门和人员来完成,这里面在Operation层面基本上没有信息安全部门什么事。那么还有电子

6、信息的保护方法,基本上就是IT技术和传统方法的结合,虽然传统方法中加入了一些IT的技术,但是实际的操作肯定还是可以由这些传统的管理部门来实现。剩下的就是IT技术本身以及其管理,那么所谓的信息安全主要的工作肯定就要和这一部分联系起来。那么在这些个IT技术及其管理中,信息安全到底可以做些什么呢?我们就从IT在企业内部的构成来进行分析,看看信息安全到底可以做些什么。一般来说企业内部的IT从功能上来说可以分为基础架构、协同办公以及业务应用程序等几部分,从生命周期上来说可以分为项目建设和日常运维两个阶段。

7、基础架构主要包括网络、客户端、服务器硬件甚至操作系统层面,在这个层面的信息安全的主要目的是保护一个完整、可用并不易被攻击的网络环境,传统意义上的网络安全也主要是针对这一层面来设计的,防火墙、防病毒、漏洞扫描、入侵检测、甚至是日志分析、SOC等等。这部分内容基本上就是ITSecurityOperation团队所负责的主要内容。协同办公、业务应用程序就千差万别了,各式各样的邮件系统、工作流软件,企业门户、web2.0的推广更是把信息的传播推上了一个全新的高度,制造、流通、公用事业的ERP系统各不相同

8、,金融、电信中的业务系统自成体系,产品研发、制造的产品管理系统更有一套专门的系统,甚至更多的信息都是以office或者专用格式文件的形式存储在我们的客户端或者服务器上。这些信息基本上可以分为两大类,一类是有集中的信息存储地,通过专用的客户端或者是web登陆去访问、使用这些信息,应用系统有自己的帐号、权限管理体系。另一类就是以电子文档的形式存储在客户端或者服务器,文件的访问和控制依赖于操作系统的访问控制功能。那么我们可以看到,保护这些信息的措施最主要的还是依赖于各种各样的访问控制或者数据加密手段,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。