륤ȥ Хå
륤ȥ ؔ
륤ȥ Lؔ
륤ȥ Хå
륤ȥ ؔ
륤ȥ Lؔ
륤ȥ ؔ ǥ`
륤ȥ Хå Ʒ
륤ȥ Lؔ
륤ȥ ӥͥХå
륤ȥ ؔ ǥ` ˚
륤ȥ Lؔ˚
륤ȥ Хå˚
륤ȥ Хå
륤ȥ Хå
륤ȥ ؔ2017
륤ȥ ؔ
륤ȥ Хå ͨ؜
륤ȥ Lؔ؜
륤ȥ Хå ؜

(ISC)²会员访谈:徐一

(ISC)²(国际信息系统安全认证联盟)是一个国际非营利会员组织,专注于启迪构建一个安全可靠的网络世界。会员是(ISC)²的核心,每一位加入(ISC)²大家庭的会员都是我们的重要一员,更是守护网络安全的勇士。他们丰富的技术才能和不断奋进的职业生涯将不断为网络安全事业添砖加瓦。会员访谈系列意在聚焦我们的会员,希望他们的独特经历和分享能让您对我们有更多了解。


徐一,CISSP,中国移动通信集团高级网络安全专家。拥有12年电信运营商工作经验,6年专攻网络与信息安全,先后负责过网络工程建设、不良信息治理、安全能力产品化等工作,熟悉网络黑产对抗、网络安全攻防对抗。现专注网络安全技术研究、大型网络安全演习、暴露面资产管理、安全靶场建设、安全技术人才培养等工作。早期提出“大数据安全合规开放,实现网络安全能力产品化”的概念,带领项目团队研发了基于通信运营商大数据的儿童安全守护产品,并由此获得(ISC)²亚太区ISLA表彰。(ISC)²官方授权讲师,国家计算机应急响应中心CCSRP授权讲师。担任(ISC)²北京分会理事,美国计算机协会Comptia中国区专家委员会委员。

 

您为什么进入网络安全这一行业?

受到家庭环境熏陶,有幸在1995年就成为了中国第一批网民,那时用着14.4K的猫上着瀛海威门户,始终不明白为什么叫做网上冲浪。后来逐渐接触C与VB,接触到黑客的词汇之后,开始在红客联盟网站自学。在当时的时代,并不存在网络安全这样的职位,就业前景惨淡。随着工作后在各个领域不断的尝试,看到国内互联网产业的不断发展壮大,逐渐发现网络安全始终是重要的一环,有着更好的前景,于是再次转回网络安全老本行。

为什么要获取CISSP认证?

每一个行业都有属于自己的资格认证。纵观当前,真正算的上国际权威的、认可度高、具备一定含金量的只有寥寥几个:(ISC)²CISSP和CCSP以及OFFENSIVE SECURITY的KALI系列认证。前者倾向于安全管理,尤其是CCSP更专精于云安全。后者专攻渗透实操,对实际生产工作有极大的帮助。每次制定年度学习计划的时候,我都会锁定一个认证,这样会让整体计划更具目标性,知识体系更加系统化,且更具回馈感。所以在早期,我优先选择CISSP作为第一站。

CISSP认证对您的职业生涯有何帮助?

CISSP认证属于一种广而全的认证,知识体系健全、完善,从计算机基础原理,到软件开发工程,到物理安全防御等,几乎覆盖了90%以上的安全内容。再看网络安全本身,某种意义上是IT领域的分支,但往往在知识体系上高于IT,工作中所需要的知识却纵横交错。可以说,网络安全是一个需要终身学习的职业,CISSP认证可以为每一个从业人员打下坚实的基础。

您的日常工作是怎样的?

作为网络安全管理人员,可能大家的日常工作有很多相似之处。例如:做好项目或产品的研发进度管理,在细节上充分把关;关注行业动态,及时研究、复现及通报漏洞;组织统筹各项网络安全竞赛,大型攻防演练项目等等。网络与信息安全的范畴很大,就像一个大筐,筐里的内容包罗万象。我们要做的事情,就是不断的更新自己的知识,来解决问题。

您能说说职业生涯最精彩的故事吗,或者回顾您的职业历程比较深刻的感受?

印象最深的是最早期参与的网络安全能力开放工作。当时接到任务,需要开发一款有市场竞争力的,能够产生社会效应和信息化收入的信息安全产品,而且还背了收入指标。经过组建团队,甄选合作伙伴,一直到产品的模型设计、数据接口、数据库结构设计、考虑到UV、PV指标,兼顾GUE的GUI设计、计费收入测算模型等等,全程牵头参与了一系列的工作,最终全方位达成了目标,也是实现了自我的挑战。因此在2019年得到(ISC)²亚太区ISLA提名并获奖,成为了亚太区ISLA唯一的电信运营商领域的获奖者。

加入(ISC)²当地分会是一个怎样的契机?对您有何积极影响?

我在2018年加入(ISC)²北京分会,也是一个偶然的机会才了解到组织的存在。加入分会后,充分感受到平台的优势,能够结交更多安全圈内不同细分领域里的专家。此外,通过定期的分会活动,也可以及时更新自己的知识体系。

您闲暇时间有什么爱好?

农业种植和淡水养殖。擅长在不同的土壤酸碱度种植不同的农作物,喜植多年生草本植物。擅长人工养殖甲壳类节肢动物,如:淡水虾、蟹等。

您对网络安全从业人员有何建议?

选择网络安全工作,等于选择了一项需要终身学习的事业,这个行业即可以按照业务领域细分,如:数据安全(广义)、应用安全、基础网络安全、攻防对抗、5G安全、云安全等,又可以按照行业线条细分,如:通信安全、电子商务安全、物联网安全、工业互联网安全、车联网安全等等。做好安全,建议从业人员需要掌握两项基本本领,一是安全管理能力,二是渗透实操能力。因为安全的本质是人,而人的行为是需要通过管理手段来解决。但是单纯的技术管理很容易在实战中失去自身的决策能力,只有自己动手挖挖洞,审审代码,复现漏洞利用,才能真正的理解网络安全,拥有更好的大局观,打破自己事业的天花板。

Comments are closed.