ISC2(国际信息系统安全认证联盟)是一个国际非营利会员组织,专注于启迪构建一个安全可靠的网络世界。会员是ISC2的核心,每一位加入ISC2大家庭的会员都是我们的重要一员,更是守护网络安全的勇士。他们丰富的技术才能和不断奋进的职业生涯将不断为网络安全事业添砖加瓦。会员访谈系列意在聚焦我们的会员,希望他们的独特经历和分享能让您对我们有更多了解。
阎光,CISSP,现任德勤中国网络安全咨询团队总监,在信息安全领域拥有超过20年的工作经验,曾参与许多大型企业的信息安全咨询,主要负责进行企业客户的安全风险评估及改进实施工作,并且负责和客户及团队的沟通工作。担任ISC2大陆地区上海分会会员主席的职务,同时获得ISC2 ISLA颁发的2014年度亚太区信息安全领袖的荣誉。还拥有CISA,CIA,CISM,ISO27001 LA等专业认证。
您为什么进入网络安全这一行业?
应该说真的是单纯为了兴趣爱好而不是为了钱(真诚脸^ω^)。因为20年前选择进入这个行业的时候,在当时实在还看不出啥“钱”途,跟今天的大环境不好比,就是觉得黑客攻防之类的技术很酷,很渴望把这里面的奥秘弄清楚,也憧憬自己可以成为技术大拿顶尖高手。
为什么要获取CISSP认证?
当时的动机也很简单——认证就是敲门砖,是一个说服潜在雇主为你的专业价值“买单”的一个“硬通货”。CISSP认证在行业认可度还是很高的。等考过后发现考取认证的另外一个价值就是可以迫使自己朝一个很具体的目标迈进,在不断复习备考的过程中,不断丰富和夯实自己的知识体系,真正做到了标本兼治,内外双修。
CISSP认证对您的职业生涯有何帮助?
可以说一个专业认证就是一个台阶,通过获得专业认证就可以走出一条不断自我提升的职业道路。获得CISSP之后,也因此结识了很多的业界同行。
您的日常工作是怎样的?
作为一名专业咨询顾问,我们日常包括跟客户沟通方案,把控交付文档质量,开拓市场,培养团队,甚至项目完工后还包括催账等( ´▽` ),所以对人的要求还是很全面的,可谓从售前到收钱一条龙。经常还有跨国的项目,于是晚上也会安排会议,各种con call忙到很晚,在业务忙季的时候,我们是7-11工作制,即从7点钟醒来到晚上11点,一直处于很忙碌的工作状态,互联网公司的996跟我们比都弱爆了 (¬_¬)。
您能说说职业生涯最精彩的故事吗,或者回顾您的职业历程比较深刻的感受?
故事太多了,还是说点感受吧。其实我职业生涯以来一直从事的都是乙方的角色,因此对个人的情商考验还是比较高的。在不停地充实自己专业水平的同时,还要不断打磨自己与他人的沟通能力,中间会经历各种体验——惊喜,委屈,愤懑,激动,感动等等,这些情感来自你的客户、你的团队、还有你的老板。我特别欣赏尼采的那句话: “任何不能杀死你的,都会使你更强大。”——What does not kill me, makes me stronger.
加入ISC2当地分会是一个怎样的契机?对您有何积极影响?
我觉得这也算是人生际遇吧,上海分会作为大陆地区第一个成立的分会,2014年我有幸参与了筹备的过程,也顺利当选为会员主席,从此开始光荣地履行为上海地区广大会员服务的义务,一直到今天。在此期间结识了非常多的专家、朋友、大咖、高手,极大扩充了人脉,也增长了阅历,可谓愈久弥珍。
您闲暇时间有什么爱好?
到世界各地旅游,当然这个爱好可能比较费钱*^_^*。相对不那么费钱一点爱好就是围棋吧,初段棋手的水平,不过这个爱好比较“杀”时间,事情一多就只好割爱了。
您对网络安全从业人员有何建议?
我觉得除了通过做各类项目打怪升级(或游戏术语叫MF)之外,建议每年给自己定1,2个认证方面的目标,比如CISSP、CCSP、CISM、OSCP、CEH等。因为有这些认证作为目标,可以很好地驱动自己去体系化、系统化地进行学习升级。
有没有推荐的书/读物?
作为一名安全从业者,其实我很看重底层的扎实的技术功底,所以其实有时间的话,可以多钻研一些底层的东西,比如:在网络层面我推荐《TCP/IP详解》,操作系统层面,推荐《深入理解计算机系统》,密码学方面还有《密码学原理》,应用开发安全方面《编写安全的代码》,社会工程可以看看《欺骗的艺术》,企业实战应用方面《互联网企业安全高级指南》。很多底层的东西随着时间的流逝非但没有过时,反而更具经典价值。
现在战“疫”特殊时期,您的工作模式跟之前有变化吗?
当然有很大变化了,现场会议锐减了95%,所以由此看来大家还都是很注意安全的*^_^*。无论是内部还是外部的会议基本都转到线上。之前是在各个CBD或写字楼之间穿行,现在变成了在Webex、Zoom、Skype、钉钉等会议软件之间切换。你会发现其实线上会议的交流效果也不一定差。只要事先把需要讨论的核心事项规划清楚,一样可以达到良好的沟通效果。
因为新冠疫情影响,很多行业单位实行在家办公,大中小学也陆续开设线上课堂,作为网络安全专家,您对在家办公/学习的人员有没有安全方面的建议?
一定要注意个人办公终端安全,这里终端包括电脑,手机,pad等。特别是来历不明的邮件一定不要点开。提供大家一个简单的安全原则——
1.除非你确信知道这个邮件的发件人和对方的目的,否则千万不要出于好奇点击邮件或别人通过IM发来的链接。
2.即便是认识的人发过来的邮件,里面包含了看起来奇怪的需求(比如要你做进一步操作,点击链接或者转账之类的)也最好通过电话进行确认后,再进行操作。好奇害死猫!切记≧∇≦。