文/鄭小小

網(wǎng)絡空間安全的威脅與日俱增，極大的推動了信息安全領域的蓬勃發(fā)展。燃鏡科技(Burning Glass Technologies)最近發(fā)布的一份報告顯示，安全行業(yè)的招聘規(guī)模在近五年間增長了74%，這是其它IT職位增長規(guī)模的兩倍。

不僅如此，安全領域在未來幾年有望繼續(xù)高速增長，據(jù)美國勞工數(shù)據(jù)統(tǒng)計局預測，僅信息安全分析師職位的招聘規(guī)模就將在2012年到2022年間增長37%。這些增長使得信息安全領域成為一個令人興奮的職業(yè)選擇，但與此同時，高速增長的安全行業(yè)也使得職業(yè)路徑的選擇過程變得更加復雜。

以下是基于Payscale(擁有世界上最大，最完善的雇員薪酬數(shù)據(jù)庫)的最新數(shù)據(jù)，依據(jù)總體薪酬等級排出的十大信息安全高薪職業(yè)。雖為國外數(shù)據(jù)，但在全球高度一體化發(fā)展的互聯(lián)網(wǎng)領域里，絕對有參考價值，供求職的安全人士借鑒：

1. 首席信息安全官(CISO)

首席信息安全官是C級高管，其主要任務是監(jiān)督企業(yè)的IT安全部門和其它相關人員的日常工作。首席安全官最關注企業(yè)的整體安全情況，因此，那些渴望擔任該職位的職員們必須在IT戰(zhàn)略和安全體系方面展示出過硬的背景?；谶@份工作的性質(zhì)，首席安全官將組建并管理由IT安全專家組成的團隊，并與其它的企業(yè)高管或政府機構展開探討。因此，擔任該職位的人們還必須具備與他人溝通的技巧。

2. 安全架構師

安全架構師的職責是建立和維護計算機網(wǎng)絡安全基礎設施，屬于企業(yè)的高級職員。擔任該職位的人應當能針對企業(yè)的技術和信息需求制定一份全面的規(guī)劃，并在此基礎上開發(fā)和測試安全基礎設施，保護企業(yè)的系統(tǒng)。安全架構師應當掌握一系列技術概念：ISO 27001/27002(信息安全管理實施規(guī)則與規(guī)范體系)、ITIL(IT基礎架構庫)和COBIT框架(信息及相關技術控制目標)、風險評估流程、操作系統(tǒng)、邊界安全控制等安全架構。

3. 安全主管

安全主管的職責是監(jiān)督企業(yè)中所有安全措施的實行情況，屬于公司高級職員。他們需針對公司中的各種安全項目進行設計、管理、分配資源；在公司中組織培訓，培養(yǎng)用戶意識，進行安全教育;與非管理層員工進行互動；在安全事件發(fā)生過程中、事后執(zhí)法調(diào)查時提供關鍵援助。安全主管的技能需求和首席信息安全官類似，都基于對IT策略、企業(yè)架構以及其它與安全相關概念的理解。事實上，安全主管直接向首席信息安全官匯報;而在一些較小的企業(yè)中，其功能相當于首席信息安全官。

4. 安全經(jīng)理

安全經(jīng)理的職責是管理企業(yè)的IT安全政策，屬于公司中級職員。安全經(jīng)理需要有領導能力、較強的人際交往和溝通能力，需根據(jù)高層指令創(chuàng)建和執(zhí)行安全策略。他們還必須測試和使用新的安全工具，引導安全意識教育，同時管理部門預算和人員安排。安全經(jīng)理應當同時具有程序設計、公司架構、IT策略背景。不過，并不需要對這些領域有深厚的理解。

5. 安全工程師

安全工程師的職責是建立和維持公司的IT安全解決方案，屬于公司的中級員工。具體而言，安全工程師需要配置防火墻、測試新的安全解決方案、調(diào)查入侵事件并完成其它任務，同時向安全經(jīng)理匯報。渴望成為安全工程師的話，必須有漏洞、滲透測試、虛擬化安全、應用和加密、網(wǎng)絡和相關協(xié)議方面的資深技術背景。

6. 應急響應人員

應急響應人員的主要工作是對公司內(nèi)的安全漏洞、安全事件、威脅進行響應，并為之負責。他們必須實時監(jiān)控公司的網(wǎng)絡，發(fā)現(xiàn)其中的入侵跡象，進行安全審查、滲透測試、惡意軟件分析、逆向工程。不僅要有能力減少特定安全事件的影響，還需制定防止類似入侵進一步發(fā)生的策略。應急響應人員一般為信息安全事件響應小組(CSIRT)成員，并向CSIRT經(jīng)理匯報。他們應熟悉大量的技術，包括基于網(wǎng)頁的應用安全、數(shù)據(jù)處理及電子鑒定軟件和工具。

7. 安全顧問

安全顧問是幫助公司根據(jù)安全需求實現(xiàn)最佳解決方案的外聘專家。他們必須了解一系列安全標準、安全系統(tǒng)和驗證協(xié)議。還需要建立所屬公司的深度模型，這包括和管理人員以及其他高管進行商談，并熟悉公司的安全策略?；诠镜陌踩枨?，安全顧問可以使用專業(yè)知識部署一系列合適的安全工具，還需負責進行系統(tǒng)測試和系統(tǒng)更新。

8. 計算機鑒定專家

被Infosec列為A級職位的計算機鑒定專家，其職責是分析從計算機、網(wǎng)絡和其它數(shù)據(jù)存儲設備上抓取的證據(jù)，以調(diào)查計算機犯罪事件。他們必須熟悉多種編程語言、操作系統(tǒng)、密碼學原理、數(shù)據(jù)處理及電子鑒定工具。鑒定專家通常與執(zhí)法部門關系密切，收集可以作為法律證據(jù)的信息。起草技術報告、在法庭上提供專業(yè)意見，并訓練執(zhí)法機構收集計算機取證的技術。大量的組織，包括執(zhí)法機構、法律公司以及各級政府都經(jīng)常雇傭計算機鑒定專家。

9. 惡意軟件分析師

惡意軟件分析師的職責是幫助公司理解病毒、蠕蟲、自運行木馬、傳統(tǒng)木馬，以及其它日?？赡芪：揪W(wǎng)絡的惡意軟件。惡意軟件分析師通常和鑒定專家、應急響應人員協(xié)同工作，在一次入侵或其它可疑計算機行為中發(fā)現(xiàn)那些可能滲透進公司計算機系統(tǒng)的惡意軟件。擔任這項職務需要具有對惡意代碼進行靜態(tài)或動態(tài)分析的能力，以找出惡意軟件的指紋，并開發(fā)能夠防止未來可能入侵的工具。

首席安全官最關注企業(yè)的整體安全情況，因此，那些渴望擔任該職位的職員們必須在IT戰(zhàn)略和安全體系方面展示出過硬的背景。

10. 安全專家

安全專家是公司的中級或低級職員，他們需執(zhí)行一系列旨在加強公司安全情況的職責。通常情況下，安全專家需要分析一家公司的安全需求、在企業(yè)網(wǎng)絡上安裝和配置安全解決方案、進行漏洞測試、幫助培訓其他員工的安全意識。想要稱為安全專家的人們應當對黑客、計算機網(wǎng)絡、編程、安全信息和事件管理(SIEM)系統(tǒng)感興趣。