信息安全企業(yè)和企業(yè) IT 部門在招募安全人才的時(shí)候，往往本著來之能戰(zhàn)，開箱即用的篩選原則，因此計(jì)算機(jī)科學(xué)，尤其是信息安全專業(yè)背景成了香餑餑，如今連賣煎餅果子的大媽都知道信息安全很熱門，好就業(yè)。

[[285656]]

但是一個(gè)重要的問題被掩蓋了，那就是在安全市場(chǎng)高速增長(zhǎng)，產(chǎn)業(yè)結(jié)構(gòu)升級(jí)的大背景下，安全團(tuán)隊(duì)的基因多樣化、技能多維化趨勢(shì)。居安思危，雖然中國(guó)信息安全市場(chǎng)近年來逆勢(shì)飄紅，2019 年市場(chǎng)規(guī)模保持著 20% 的 “逆市” 高速增長(zhǎng)，并且對(duì)標(biāo)歐美日安全市場(chǎng)還有相當(dāng)大的成長(zhǎng)空間，但是正如安全牛在過去的報(bào)道中曾指出，信息安全職場(chǎng)和人才市場(chǎng)目前存在很多問題，女性參與度低、老齡化、過度疲勞、軟技能缺失、創(chuàng)新力不足、職業(yè)發(fā)展道路模糊、人才流失率高等等。

信息安全市場(chǎng)為什么缺人才?原因很簡(jiǎn)單，源頭在鬧人才荒，已有的人才留不住、職業(yè)滿意度低，行業(yè)整體形象刻板。

當(dāng)安全產(chǎn)業(yè)高呼 “自主安全”、“內(nèi)生安全”，要從 “最后的武士” 身上的笨重鎧甲進(jìn)化成鋼鐵俠機(jī)甲助推數(shù)字化轉(zhuǎn)型時(shí)，根子上的問題——安全人才知識(shí)結(jié)構(gòu)和安全文化升級(jí)被忽視了。要知道，每時(shí)每刻上演 Endgame 大戲的信息安全行業(yè)可能是對(duì)個(gè)人好奇心、持續(xù)學(xué)習(xí)能力和創(chuàng)造力要求最高的行業(yè)。

這個(gè)世界上最堅(jiān)硬的矛和盾，往往都含有多種稀土元素。以下，安全牛整理了網(wǎng)絡(luò)安全市場(chǎng)稀缺的六個(gè)非技術(shù)專業(yè)，同時(shí)也是安全技術(shù)人才提高自我修養(yǎng)的參考科目：

1. 數(shù)學(xué)：算法才是王道

這個(gè)無需多言，眾所周知俄羅斯的 “黑科技” 很先進(jìn)，這與俄羅斯數(shù)學(xué)水平全球領(lǐng)先有著很大關(guān)系。毫不夸張地說，未來的網(wǎng)絡(luò)空間戰(zhàn)爭(zhēng)中，決勝因素就是算法，而優(yōu)秀算法的背后，是一個(gè)個(gè)數(shù)學(xué)天才。

為什么 60 年代美國(guó)的阿波羅飛船能載人登月而 60 年后的印度航空器卻在月球背面抽風(fēng)?因?yàn)榈窃掠?jì)劃的軟件工程師中很多都是數(shù)學(xué)家和物理學(xué)家。

從功利角度看，數(shù)學(xué)相關(guān)專業(yè)很多可以直接應(yīng)用于網(wǎng)絡(luò)安全業(yè)務(wù)。例如與威脅檢測(cè)相關(guān)的機(jī)器學(xué)習(xí)算法模型和數(shù)據(jù)訓(xùn)練任務(wù)，OSINT 數(shù)據(jù)分析等。

從更深層來解讀，數(shù)學(xué)專業(yè)人才具備很多稀缺特質(zhì)：激情、解決難題的動(dòng)力和毅力，以及批判性思維能力。

Cequence Security 的常駐黑客 Jason Kent 贊揚(yáng)數(shù)學(xué)專業(yè)學(xué)生的批判性思考能力。

批判性思維和能夠從不同角度看待事物，這是一種優(yōu)勢(shì)，特別是當(dāng)面臨從未遇到過的挑戰(zhàn)時(shí)。

數(shù)學(xué)人才往往能夠接受可用方案，即使這些方案看上去有些非常規(guī)。

2. 心理學(xué)：最大安全漏洞是“心理漏洞”

[[285657]]

大家都知道企業(yè)安全防線最薄弱的環(huán)節(jié)就是人。有人的地方就有漏洞，同時(shí)人也是最大的威脅。在危機(jī)四伏的原始叢林中，最危險(xiǎn)的動(dòng)物不是大蟒蛇，而是拿著狙擊步槍的 “伏地魔” 和 “老陰逼”。

黑客最愛的釣魚攻擊、水坑攻擊、勒索軟件等社會(huì)工程類伎倆，無一不是在揣摩和利用人的 “心理漏洞”。如今大多數(shù)黑客都有攻擊框架的觀念，他們懂得如何根據(jù)人的心理和行為模式調(diào)整攻擊方法來騙取信任，達(dá)到目的， 這在社會(huì)工程學(xué)攻擊中很普遍。而對(duì)于信息安全防御團(tuán)隊(duì)來說，心理學(xué)技能也同樣重要。

心理學(xué)專業(yè)還能提高網(wǎng)絡(luò)安全人員在溝通方面的軟技能。匹茲堡大學(xué)網(wǎng)絡(luò)法，政策與安全學(xué)院的常駐學(xué)者 Kiersten E. Todt 認(rèn)為，心理學(xué)對(duì)于網(wǎng)絡(luò)安全專業(yè)人員來說是大有前途的學(xué)術(shù)專業(yè)，因?yàn)樾睦韺W(xué)可以提高人類行為和溝通方面的軟技能，很多涉及網(wǎng)絡(luò)安全至關(guān)重要的人為因素。

此外，心理學(xué)的分析和數(shù)據(jù)操作在網(wǎng)絡(luò)安全中也會(huì)很有用。托特說：社會(huì)科學(xué)的統(tǒng)計(jì)，分析和其他內(nèi)容是有效發(fā)揮網(wǎng)絡(luò)安全專業(yè)人員的重要技能。

3. 商業(yè)管理：安全不是企業(yè)的小腦

[[285658]]

為什么硅谷一夜之間就被印度人以《人猿星球》的速度給接管了?一種比較流行的說法是，相比亞洲其他地區(qū)的碼農(nóng)，硅谷的印度碼農(nóng)非常熱衷于進(jìn)修商業(yè)管理課程，爭(zhēng)當(dāng)將軍的士兵多了，蹦出一個(gè) CEO 人選的幾率自然大增。

Digital Shadows 的策略和研究分析師 Harrison Van Riper 建議有志從事安全方面工作的商業(yè)管理專業(yè)人才從純業(yè)務(wù)與網(wǎng)絡(luò)安全相交的地方切入。例如，會(huì)計(jì)學(xué)位很適合 IT 審計(jì)領(lǐng)域。此外，適用于網(wǎng)絡(luò)安全的業(yè)務(wù)風(fēng)險(xiǎn)分析是另一個(gè)安全行業(yè)非常重要的領(lǐng)域。

在越來越多的企業(yè)設(shè)立 C 級(jí)別安全高管，信息安全與數(shù)字化轉(zhuǎn)型高度融合的今天，CISO 是向 CEO 匯報(bào)還是 CIO 匯報(bào)，信息安全部門有多大話語權(quán)和話事權(quán)，就要看咱們這些杰出安全人才能否參透 “安全經(jīng)濟(jì)學(xué)” 了。

4. 哲學(xué)：安全之道

[[285659]]

俗話說盜亦有道，但安全行業(yè)能自洽普適的 “道”(包括道德和哲學(xué))并不多見。

哲學(xué)對(duì)于我們來說是如此熟悉又是如此陌生。哲學(xué)到底是干嘛的?熟讀《道德經(jīng)》和《摩托車維修藝術(shù)》能否幫我們降低 Bug 產(chǎn)量，或者感知未知威脅?

答案是肯定的，哲學(xué)是最高級(jí)的科學(xué)，一個(gè)不重視哲學(xué)的民族沒有未來。同樣，一個(gè)不重視哲學(xué)和倫理的信息安全公司或技術(shù)部門，起樓翻車都很快。

匹茲堡大學(xué)研究所的托特曾擔(dān)任奧巴馬總統(tǒng)領(lǐng)導(dǎo)下的加強(qiáng)國(guó)家網(wǎng)絡(luò)安全委員會(huì)的執(zhí)行主任，他說，道德方面的知與行，對(duì)網(wǎng)絡(luò)安全專業(yè)人士和任何人都至關(guān)重要。

我認(rèn)為倫理學(xué)和哲學(xué)是任何開發(fā)人才都應(yīng)該掌握的輔修知識(shí)。

Thycotic 首席安全科學(xué)家約瑟夫·卡森 (Joseph Carson) 解釋了在人類行為中建立基礎(chǔ)的重要性。

網(wǎng)絡(luò)安全不是一項(xiàng)技術(shù)挑戰(zhàn)，而是一項(xiàng)人為挑戰(zhàn)。我們需要提供更多可用的網(wǎng)絡(luò)安全解決方案，因?yàn)槲磥淼木W(wǎng)絡(luò)攻擊將首先針對(duì)并濫用人類信任。

Digital Shadows 的 Van Riper 說，能夠從各種角度看問題對(duì)于解決網(wǎng)絡(luò)安全問題至關(guān)重要。

在網(wǎng)絡(luò)安全和威脅情報(bào)中，獲得對(duì)各種問題的多角度觀點(diǎn)是進(jìn)行具體而全面的分析的關(guān)鍵。無論是對(duì)威脅因素進(jìn)行調(diào)查還是執(zhí)行事件響應(yīng)，了解可能受到影響的所有不同觀點(diǎn)和觀點(diǎn)都非常重要。

5. 音樂：你距離卓越只差一坨音樂細(xì)胞

[[285660]]

自古以來音樂與數(shù)學(xué)和工程就有著不可描述的內(nèi)在關(guān)聯(lián)，但很少有人意識(shí)到，音樂人才在當(dāng)下火熱的大數(shù)據(jù)和信息安全領(lǐng)域，也是一股不可或缺的清流。也許有人會(huì)不屑一顧：要音樂人才干嘛?開發(fā)的時(shí)候擔(dān)綱辦公背景音樂 DJ 嗎?

在《線中幽靈》一書中，凱文尼特米克同學(xué)和他的小伙伴利用音樂天賦攻破了拉斯維加斯的吃角子老虎機(jī)。但這只是音樂才能在安全領(lǐng)域的牛刀小試。

管理咨詢與技術(shù)顧問公司 Booz Allen 的戰(zhàn)略創(chuàng)新部門副總裁喬什沙利文認(rèn)為，團(tuán)隊(duì)中的音樂人才具備 “驚人的創(chuàng)造力和量化技能”。當(dāng)數(shù)據(jù)分析團(tuán)隊(duì)在處理多種數(shù)據(jù)的時(shí)候，非常類似交響樂作者編配多種樂器的過程，而這方面音樂人才是最在行的。

6. 社會(huì)學(xué)：軟技能才是硬通貨

[[285661]]

就像心理學(xué)可以幫助網(wǎng)絡(luò)安全專業(yè)人員了解個(gè)人如何使用系統(tǒng)一樣，社會(huì)學(xué)對(duì)于理解個(gè)人在特定情況下的行為或群體的行為也非常有用。Shared Assessments 的艾倫說：我在國(guó)際商務(wù)，市場(chǎng)營(yíng)銷和組織行為方面背景和教育有助于我理解人及其動(dòng)機(jī)。

(ISC)² 的辛普森認(rèn)為，了解網(wǎng)絡(luò)安全在組織內(nèi)的工作原理以及如何向組織內(nèi)每個(gè)人傳達(dá)網(wǎng)絡(luò)安全的重要性是至關(guān)重要的技能。

安全團(tuán)隊(duì)通常規(guī)模很小，需要與其他業(yè)務(wù)部門接觸，培訓(xùn)和幫助他們提高安全意識(shí)，讓網(wǎng)絡(luò)安全成為業(yè)務(wù)部門日常詞典的一部分。

辛普森說，公司必須學(xué)會(huì)吸引社會(huì)學(xué)專業(yè)人才，就像社會(huì)學(xué)專業(yè)人才也應(yīng)當(dāng)積極學(xué)習(xí)安全專業(yè)知識(shí)來增加對(duì)網(wǎng)絡(luò)安全招聘經(jīng)理的吸引力。他說：網(wǎng)絡(luò)安全職業(yè)給人的印象是非?？贪搴拓?fù)面的：996、過勞、不被尊重、不被重視。當(dāng)我熱衷談?wù)? “大安全”、“大網(wǎng)絡(luò)空間” 的概念時(shí)，部門主管和人力資源們也應(yīng)該換換腦筋，打開思路，迎接那些內(nèi)在驅(qū)動(dòng)力強(qiáng)、愿意接受新挑戰(zhàn)的社會(huì)科學(xué)人才。要知道，向軟技能人才傳授專業(yè)知識(shí)遠(yuǎn)比讓專業(yè)人士掌握軟技能容易。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文