信息安全行业的门槛有多高？安全行业个人职业发展规划建议（二）

我从事信息安全(现在很多人称之为网络安全)工作已经有20年了，而且大部分时间我也在写有关信息安全的文章。 所以我收到了大量的邮件询问以下问题:

如何才能进入信息安全行业？

所以这个系列文章就是我对这个问题的回答，我把这个问题的所有方面都集中在文章中。 这个系列文章会给你一些知识，让你从一个完全的新手，到找到你的第一份工作，最终到达行业的顶端。（建议你从第一篇开始阅读）

信息安全行业的门槛有多高？安全行业个人职业发展规划建议（一）

要有存在感

好了，现在你已经完成了一些项目，是时候让人们通过你的品牌平台了解你。 没错，你应该为自己代言。 如果你愿意，你也可以低调一些，而且这个行业已经充满了太多的自负，但是你确实需要一个可以传播展示自己的平台。

如果你是一个内向的人，或者你觉得谈论你做过的任何事情都是自吹自擂，那就停止吧。 在这个行业，这种心态不会对你有所帮助。 为了达到中高层，你需要学习如何推销你自己和你的工作。

内向和(假) 谦虚是行不通的。 把工作做好，并且愿意谈论工作。 但这样做是从分享和合作的角度出发，而不是从傲慢的立场出发。

网站

首先你需要一个网站。 有些人称之为博客，没关系。 关键是你需要一个展示自己的地方。 你应该有一个“关于”的页面，展现一些好的联系信息、项目列表等等。 再说一次，如果你创建了博客网站，那就是你写作的地方。

要知道，你的域名和你的网站是你的身份的中心，所以理想的情况下，你应该选择一个可以用一辈子的好域名。 Firstnamelastname.com 可能是理想的选择，但许多人不能这样做，因为他们的名字相当常见。 还有其他的选择，但是要仔细想好。 你希望这个域名一直保持不变，直到你死去。

所以我想说的是，挑选好这些东西。 这是你的品牌，你的品牌很重要。

你应该在你自己的网站上写博客，托管你所有的项目，并在其他地方同步发布。

避免在 Medium 或 Blogger 等其他服务上写太多东西，除了随意的想法或互动，绝对不要在 Facebook 上写任何东西。 如果你在不是你自己的域名的平台上创建了任何有趣的东西，把它变成一个完整的部分，并把它带回到你自己的网站。

Twitter

推特也是一样。要处理好一些东西。 理想情况下，昵称应该是 firstnamelastname，但如果你不能做到这一点，请选择一个好的替代品。 同样，这是永久性的个人基础设施，所以不要把它设为@l33th4x0rs97。 随着你年龄的增长，这会变得越来越没有魅力。

一旦你处理好之后，就可以开始关注一些人。 在信息安全中，有很多好的列表供人们关注。 使用其中的一个作为开始，然后慢慢调整自己的喜好。

参与谈话。 但不要勉强。 当你不了解情况的时候，不要过分夸大。 但是如果你有什么要补充的，那么请自由贡献。 如果你只有3个关注者，而他们有10000个关注者，不必在意，这并不重要。 推特是一个精英体制。 如果不是，那就假装是。

一个好的开始是转发你喜欢的内容。 当你变得更有能力增加自己的价值，你可以开始轮流转发和你自己的原创内容。

不要太认真。 许多顶级的安全人员在 Twitter 上90% 的时间都在闲逛。 其他人只发布原始的内容。 只要做你自己，一切都会过去的。 如果不是这样，而且你觉得自己做错了，不要担心。 只要坚持以上几点，你就会没事的。

社交媒体

还有很多其他的社交媒体渠道。 另一个你应该关心的重要网站是 LinkedIn。 建立个人档案、 付出努力、 随时更新、并且只和你认识的人或者至少和你有过接触的人联系。每个人的加入会削弱网络对你和其他人的威力。

人们很容易在社交媒体上做太多的事情。 抵制这种想法。 关注你的网站和 Twitter，加入一些 LinkedIn。 我基本上会把 Facebook 独立开来，但这是我个人的偏好。

记住——一切都从你的网站开始。在那里创建内容，然后通过Twitter、Facebook、LinkedIn和其他任何你使用的渠道发布出来。

关于资质证书

我有很多关于信息安全认证的问题。 太多了。 它们有两种形式:

1.信息安全认证真的值得吗？

2.我应该拿到哪些证书？

好消息: 我这有答案。

是的，证书很重要。 大学文凭也是如此，经验也是如此。 

事物具有别人赋予它们的价值。

认证没有任何内在价值。 它们的价值正如人们所认为的价值一样。 如果雇主在你想要应聘的地方要求你提供这些信息，那证书就很重要。 如果你想应聘的地方根本不在乎证书，那就没有价值。 就是这么简单。

但是对于初学者来说，证书还是很重要的。

我应该获得哪些证书？

让我们按级别来说:

· 初学者证书

如果你刚刚入行，我建议你获得以下认证:

1.A+

2.Network+

3.Linux+

4.Security+

CompTIA？不，我不为 CompTIA 效力，不过谢谢你的关心。

在这种情况下，我并不是说除了初学者之外，这些证书都有巨大的价值，但在学习方面是有价值的。

就像我在教育部分提到的，证书有很好的学习教材，如果你获得了所有这四个证书，你将对基础有一个相当好的理解。

· 高级证书

我喜欢这样解释信息安全认证: 你需要 CISSP，你应该得到一个审计证书(CISA/CISM) ，你应该得到一个技术证书(SANS)。 所以:

1.CISSP 对任何想要在安全领域有所作为的人来说都应该拿到

2.CISA/CISM 面向希望成为管理者的全能型安全人员

3.SANS (GSEC/GPEN/GWAPT) 适用于技术人员

4.OSCP 只用于渗透测试人员

一旦你有了四年的信息安全经验，你应该有你的 CISSP。 这是我们这个行业最接近标准底线的东西。 它实际上比许多组织的计算机科学学位要更好(因为很多人在大学里什么也没学到)。

接下来，我会介绍审计空间，这是信息安全的一个关键部分。 你需要拿到 CISA 或 CISM。

最后，如果你想要获得一个或多个技术认证。 我建议从 GSEC 开始，它非常全面。 你可以根据你的喜好选择 GCIA 或 GPEN 或 GWAPT。

OSCP 和 CREST 是核心渗透测试人员最受尊敬的证书，所以如果你感兴趣的话，一定要开始考虑这些证书。

然后是 CEH。人们有时会提到这个证书，所以你最好还是拥有它。 但是不要吹嘘自己拥有它，尤其是在经验丰富的安全人员面前。

与他人建立联系

请记住，你可以并行地执行上述许多步骤。

好了，现在我们有了一些教育经历，也有了一个实验室，而且我们正在做一些项目，我们有了我们的网站和 Twitter，所以，我们已经准备好入行了。

现在你需要主动去和一些人交谈。 同样，你可以并且应该一直这样做，但是如果你还没有这样做，那么现在绝对是时候这样做了。

看看谁访问了你的网站。 查看推特上有趣的互动。 接触那些人并开始对话。 去他们会去的地方，亲自和他们交流。 去拉斯维加斯参加黑帽大会和 DEFCON。 那里有很多信息安全行业的人可以一起聊聊天。

找一个良师益友

找一个你喜欢的风格的那种人，让他指导你。 给他们发邮件或者给他们打电话。 但是我们要事先做好研究。 首先确保你已经完成了本文中的内容。

为了从潜在的导师那里得到最好的反馈，在你们的第一次互动中要明确你已经在前期付出了努力。

让他们尽可能容易地帮助到你，这样你就不会被拒绝。 我在信息安全行业中看到的一件事是，人们非常愿意帮助那些渴望工作并且刚刚开始工作的人。

提供实习机会

主动提出与某人一起实习并且主动帮他们做一些苦差事。 为他们写脚本、编辑他们的博客文章、帮助他们筛选数据。 这些事情可以帮助到你，并可能在未来直接给你面试或其他机会。