網(wǎng)絡(luò)安全工作現(xiàn)在也有細(xì)分很多崗位，比如系統(tǒng)安全工程師、網(wǎng)絡(luò)安全工程師、Web安全工程師、安全架構(gòu)師等等，具體的會根據(jù)公司業(yè)務(wù)需求來劃分。 招聘時的崗位需求基本就描述清楚了所要做的工作，日常工作和JD差不多。 比如Web安全工程師，主要的工作有： 網(wǎng)站滲透測試，就是通過一些黑客的手段去找網(wǎng)站的漏洞; 代碼安全審計，對網(wǎng)站代碼進(jìn)行審計，發(fā)現(xiàn)其中可能存在的漏洞; 漏洞修補方案制定，對發(fā)現(xiàn)的漏洞制定修補方案; web安全培訓(xùn)，主要針對開發(fā)人員、運維人員的安全培訓(xùn)，提升安全人員意識; 安全事件應(yīng)急響應(yīng)，當(dāng)發(fā)生安全事件的時候，如何去處理，處理完后，寫處理報告，發(fā)現(xiàn)其中存在的安全問題，再進(jìn)行修補; 新漏洞攻防研究，研究一些新的安全漏洞，比如最近的struts2的漏洞研究，域名被黑的研究等，制定相應(yīng)防護(hù)方案; 開源/第三方組件漏洞跟蹤，針對公司使用的第三方，開源組件，進(jìn)行跟蹤，發(fā)現(xiàn)漏洞后第一時間修復(fù); 安全產(chǎn)品的推動實施等，僅僅通過技術(shù)是不夠的，有的時候，需要將技術(shù)轉(zhuǎn)換為安全產(chǎn)品，來減少人的工作量; 我一直不覺得把信息安全工程師分為很多種有什么好，雖然大家都說術(shù)業(yè)有專攻，但從目前的安全從業(yè)者形式來看，搞web的`看不起搞系統(tǒng)的，搞系統(tǒng)的看不起搞web的，搞系統(tǒng)的看不起搞網(wǎng)絡(luò)的，搞網(wǎng)絡(luò)看不起搞系統(tǒng)的，web安全和系統(tǒng)安全以及網(wǎng)絡(luò)安全本來就是一體的，對于甲方工作來說，我覺得知識全面一些沒啥不好，不要將崗位職能定死，搞web的就不會搞系統(tǒng)?搞滲透測試的就不會搞web安全?這都不科學(xué)，個人技能的提升不能依靠公司給你定死的title! 上邊有朋友回答說調(diào)試產(chǎn)品、安全加固、漏洞掃描是低級安全工程師的工作，這點我不敢茍同，搞滲透測試的在乙方我相信很多人都會遇到搞應(yīng)急響應(yīng)、加固工作，在甲方相反，運維基礎(chǔ)打的好的情況下這些都可以做為安全基線和日常工作比如加固可以做成上線加固服務(wù)包，而不是頻繁救火，當(dāng)然這些是基礎(chǔ)工作，對于level高的人來說或許不重要，但對甲方來說，能把這些做好完全可以獨擋一面，什么!你不信?那就等出了事情，這些人就會浮出水面了，顯示其工作重要性。 網(wǎng)絡(luò)安全工程師這個職位我特定看了下51job，很多公司叫信息安全工程師、或者叫網(wǎng)絡(luò)安全工程師，但職位職能都差不多，說到底企業(yè)對于信息安全的重點源于“丟錢了，丟面子了”，很少有公司會主動來做安全方面的事情，這也是目前的現(xiàn)況。 對于安全工程師的工作，相比程序員來說，工作會相對輕松些，因為你大概聽一句話，安全工程師為什么那么閑?其實他們在掃描、在測試、寫了程序在自動跑，所以安全工程師應(yīng)該普遍比程序員空限度高，在往上一級來說，安全研究員更主動對漏洞的利用和漏洞挖掘，安全架構(gòu)師關(guān)注的是企業(yè)整體的運維安全工作。安全里難度較高的工種就是安全開發(fā)和漏洞挖掘了，很多安全工程師普遍沒啥開發(fā)能力。