就像我在本文中所说的，在信息安全/网络安全行业，有个非常奇怪的现象。老板们觉得没有

合适的求职者，但是那些想进入这一行业的人却觉得不适合。以他们自己的观点来说，也是有

道理的。对于这种自相矛盾的问题，人们往往相当困惑。然而，这揭示了一个极其简单的道理

：信息安全产业没有初级阶段，只有中级阶段才是高级阶段。

 

 

 

 

在信息安全领域，没有初级层次的定位。要想成为一个团队的一员，你必须从第一天开始就开

始工作，也就是说，你必须具备以下条件：计算机科学(CS)学位或与信息安全相关的学位。

二、学位相关知识的认证。一组实际的、真实的项目工作，证明你有能力胜任当前的工作。

 

 

对大部分阅读这篇文章的读者来说，显然第一项不再需要担心。所以你最需要考虑的是如何

把第二和第三点结合起来。关于资格认证这个部分，可以参考本文的认证部分。在实践中，

你需要一个blog，一个GitHub账户，一个twitter账户。首先，您需要发现或创建您感兴趣的

项目，并实际编写代码。以我自己的项目为例，只需要最少的编程技巧就可以完成。没有

要求你是一个全栈的开发者，但你必须会编程。你们要有创造事物的能力。也许是一种自

动化过程，也许是一种开发新工具的过程，也许是一种针对过时工具的更新版本。

 

 

总而言之，行动起来，做点小事情吧。了解工作。下一步要做的就是，表现出你在技术方

面的成熟程度。以二十多年的实践经验为基础，我列举了以下几点：安全性管理首先要做

的是，管理一组安全设备或系统，比如防火墙、IPS等。了解这些设备/系统的工作原理。

学习如何配置(可能需要阅读使用手册和观看录像)。打开记录装置，定时输出报告，以便

观察保护效果和设备价值。安全性咨询响应每一个安全小组都必须这样做。它还是一个

肮脏的工作，需要足够的技术能力、经验、其他能力…和创造力。假如您可以在这一层

次上为团队提供帮助，那么，您就可以在团队中拥有一个位置。

 

 

 

评价产品。管理层通常会要求安全团队实施某种类型的保护，包括终端保护、云WAF、

欺骗技术、AISOC扩展等。您应当能够筛选出最好的产品，从构建评分系统到评估，

并根据您的研究结果将您的建议和评估输出给管理层。关于此功能，更多细节请参阅

其他文章。

 

快写脚本。小组经常需要您从其他地方收集数据，进行分析处理，并输出结果。经常

需要对数据进行收集、清洗和分类显示。拥有这种能力，将是你的一大优势。安全性

审核出于各种原因，您将经常需要评估一个网站、一个公司的安全性水平。您需要以

一个非专家的角色，大致地查看所有内容，然后快速地进行评估。

 

 

 

当我考虑到其他更多的时候，我会不断地加入这个简短的清单。但是，我发现这份名

单有趣的地方在于，它很好地解释了为什么没有初级信息安全从业者的职位。这一切

都需要良好的教育、训练、经验、智慧，或这几个方面的结合。假如你在面试时证明

自己能做到这一点，你被雇用的可能性就会大大增加。这一切都需要一种共同的技能

-好的写作技巧。