网络安全行业热火朝天,但我们很少看到这个领域职业路线规划文章,但这恰好是网络安全行业生力军 - 大学生(包括研究生)最需要了解的内容之一。在网络安全领域工作的十多年里,我的工作内容不断扩展,从研究生阶段的研究(research),到企业的研发(R&D)、产品管理和市场营销,再到作为老师的教学科研。

面对学生时,我看到了十多年前的自己,兴奋同时有不确定感,毕业时能找一份怎样工作呢?最近有同学问我选择开发还是研究路线,更让我萌发写这篇文章的想法。本文仅以个人视角作探讨。

网络安全行业主要有四类技术岗位:安全产品研发、安全研究、安全管理和产品,本文主要谈前两者。

研发路线

软件工程师是安全行业需求量最多的岗位,主要负责对产品的设计和实现。和其他行业的研发岗位类似,网络安全研发工程师主要职责包括系统开发、测试和文档编写,高级别工程师同时负责系统架构和前沿技术把握。研发又分为前端和后端,整个行业前端工程师比后端工程师更加缺乏;当然,最受欢迎的是全栈工程师。根据不同产品线,研发工程师需要对网络安全领域知识(即业务)有不同程度了解,包括网络协议、网络攻防原理以及Linux内核等。(国内优秀的C高级工程师太过稀缺,而C是网络安全“官方语言”。)

研发岗位的职业路线是初级工程师->中级工程师->高级工程师->架构师->首席架构师/CTO。

研究路线

安全研究侧重对某一个或几个方向深入研究,例如漏洞挖掘、操作系统安全等。研究岗位通常不放在研发团队中,而放在较为独立的“安全实验室”。做安全研究是否需要有研发能力?大部分安全研究岗位对开发技能有明确要求,在公司或学校(作为学生)从事安全研究更准确的术语是“Research engineer”(研究工程师),既精通安全(业务),又有较强研发能力

研发岗位的职业路线是初级研究员->中级研究员->高级研究员->科学家->首席科学家。

有位国外行业资深人士(某上市安全公司创始人、现为投资人)曾语“网络安全是工程(engineering),而非科学(science)”。网络安全的对抗性、实用性导向决定了这个领域独具魅力的一面,工程化导向是这个行业的主色调硬核领域的实用性、工程化导向更为明显,例如操作系统安全和二进制分析。

当我从工业界回到大学后,更加理解相比其他IT领域,网络安全技术岗位的工程化能力十分重要。行业青睐复合型人才-专业的网络安全功底、再加上丰富的开发经验(但也许你会最终找到自己真正热爱和擅长的领域)。

下一篇谈产品岗位。用黎叔的话讲,“21世纪最缺什么?产品经理!

声明:本文来自渔人刘的沙龙随笔,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。