网络空间安全的威胁与日俱增,极大的推动了信息安全领域的蓬勃发展。燃镜科技(Burning Glass Technologies)最近发布的一份报告显示,安全行业的招聘规模在2007年到2013年之间增长了74%,这是其它IT职位增长规模的两倍。
不仅如此,安全领域在未来几年有望继续增长,据美国劳工数据统计局预测,仅信息安全分析师职位的招聘规模就将在2012年到2022年间增长37%。这些增长使得信息安全领域成为一个令人兴奋的职业选择。然而在此同时,高速增长的安全行业正使得选择职业路径的过程变得更加复杂。
以下是基于Payscale的最新数据,依据总体薪酬(年薪)等级排出的十大信息安全高薪职业,供参考:
(注:Payscale,收集员工薪酬信息的网站,拥有世界上最大,最完善的雇员薪酬数据库)
1. 首席信息安全官(CISO)
首席信息安全官是C级高管,其主要任务是监督企业的IT安全部门和其它相关人员的日常工作。首席安全官最关注企业的整体安全情况,因此,那些渴望担任该职位的职员们必须在IT战略和安全体系方面展示出过硬的背景。
基于这份工作的性质,首席安全官将组建并管理由IT安全专家组成的团队,并与其它的企业高管或政府机构展开探讨。因此,担任该职位的人们还必须具备与他人沟通的技巧。
根据PayScale在2015年进行的估计,首席信息安全官的工资中位数为13万美元,低点为8万美元,在一些大型企业中则可高达24万美元年薪。
2. 安全架构师
安全架构师的职责是建立和维护计算机网络安全基础设施,属于企业的高级职员。担任该职位的人们应当能针对企业的技术和信息需求制定一份全面的规划,并在此基础上开发和测试安全基础设施,保护企业的系统。
安全架构师应当掌握一系列技术概念:ISO 27001/27002(信息安全管理实施规则与规范体系)、ITIL(IT基础架构库)和COBIT框架(信息及相关技术控制目标)、风险评估流程、操作系统、边界安全控制等
根据PayScale给出的数字,安全架构师的工资中位数是10万美元,低点是8万4千美元,高点则是16万美元。
3. 安全主管
安全主管的职责是监督企业中所有安全措施的实行情况,属于公司的高级职员。安全主管的具体负责:针对公司中的各种安全项目进行设计、管理、分配资源;在公司中组织培训,培养用户意识,进行安全教育;与非管理层员工进行互动;在安全事件发生过程中、事后执法调查时提供关键援助。
安全主管和的技能需求和首席信息安全官是类似的,都基于对IT策略、企业架构以及其它与安全相关的概念的理解。事实上,安全主管直接向首席信息安全官汇报;而在一些较小的企业中,其功能相当于首席信息安全官。
安全主管的工资中位数是变动的,位于10万美元至11万美元之间。根据PayScale在2015年的估计,安全主管的工资范围是6万6千美元至18万美元。
4. 安全经理
安全经理的职责是管理企业的IT安全政策,属于公司的中级职员。对于成功的安全经理而言,诸如领导能力、较强的人际交往和沟通能力这类的软技能至关重要。对此职位有兴趣的人们应当做好准备,根据安全主管和首席信息安全官的指令创建和执行安全策略。
他们还必须测试和使用新的安全工具,引导安全意识教育,同时管理部门预算和人员安排。安全经理应当同时具有程序设计、公司架构、IT策略背景。不过,并不需要对这些领域有深厚的理解。
安全经理的工资中位数是10万美元,低点是7万美元,高点则是14万美元。
5. 安全工程师
安全工程师的职责是建立和维持公司的IT安全解决方案,属于公司的中级员工。具体而言,安全工程师需要配置防火墙、测试新的安全解决方案、调查入侵事件并完成其它任务,同时向安全经理汇报。
渴望成为安全工程师的人们必须具备在漏洞、渗透测试、虚拟化安全、应用和加密、网络和相关协议方面很深的技术背景。一位安全工程师越熟悉更多的工具和概念,就越能帮助解决公司安全系统出现的种种问题。
安全工程师的工资中位数为9万美元,根据PayScale在2015年的估计,工资低点为5万7千美元,高点则是12万8千美元。
6. 应急响应人员
应急响应人员的主要工作是对公司内的安全漏洞、安全事件、威胁进行响应,并为之负责。
因此,那些有志于这一职位的人必须能够实时监控公司的网络,发现其中的入侵迹象,进行安全审查、渗透测试、恶意软件分析、逆向工程,并设计不仅能够减少特定安全事件的影响,还能防止类似的进一步入侵发生的策略。
应急响应人员一般都为信息安全事件响应小组(CSIRT)成员,并向CSIRT经理汇报。他们应当熟悉大量的技术,包括基于网页的应用安全、数据处理及电子鉴定软件和工具。
这一职位的工资中位数在7万美元到9万美元之间。总的来说,他们的工资范围是5万美元到15万美元。
7. 安全顾问
安全顾问是帮助公司根据安全需求实现最佳解决方案的外聘专家。
希望成为安全顾问的人必须了解一系列安全标准、安全系统和验证协议。如果想要做得优秀,他们还需要乐意建立所属公司的深度模型,这包括和管理人员以及其他高管进行商谈,并熟悉公司的安全策略。
基于公司的安全需求,安全顾问可以使用这类知识部署一系列他们认为合适的安全工具。他们通常还负责进行系统测试和系统更新。
根据PayScale在2015年的估计,安全顾问的工资中位数是8万美元,低点是4万6千美元,高点则是14万7千美元。
8. 计算机鉴定专家
被Infosec列为A级职位的计算机鉴定专家,其职责是分析从计算机、网络和其它数据存储设备上抓取的证据,以调查计算机犯罪事件。
鉴定专家通常与执法部门关系密切,收集可以作为法律证据的信息。起草技术报告、在法庭上提供专业意见,并训练执法机构收集计算机取证的技术。大量的组织,包括执法机构、法律公司以及各级政府都经常雇佣计算机鉴定专家。
希望从事此项职业的人们必须熟悉多种编程语言、操作系统、密码学原理、数据处理及电子鉴定工具。
计算机鉴定专家的工资中位数是7万7千美元,低点是5万6千美元,高点根据情况不同有时则可以达到11万9千美元。
9. 恶意软件分析师
恶意软件分析师的职责是帮助公司理解病毒、蠕虫、自运行木马、传统木马,以及其它日常可能危害公司网络的恶意软件。
恶意软件分析师通常和鉴定专家、应急响应人员协同工作,在一次入侵或其它可疑计算机行为中发现那些可能渗透进公司计算机系统的恶意软件。担任这项职务需要具有对恶意代码进行静态或动态分析的能力,以找出恶意软件的指纹,并开发能够防止未来可能入侵的工具。
恶意软件分析师的工资中位数是7万5千美元,低点是4万8千美元,高点是10万美元。
10. 安全专家
安全专家是公司的中级或低级职员,他们需要执行一系列旨在加强公司安全情况的职责。
通常情况下,安全专家需要分析一家公司的安全需求、在企业网络上安装和配置安全解决方案、进行漏洞测试、帮助培训其他员工的安全意识。想要称为安全专家的人们应当对黑客、计算机网络、编程、安全信息和事件管理(SIEM)系统感兴趣。
安全专家的工资中位数是7万3千美元,低点是4万3千美元,高点则是11万3千美元。