如何成为信息安全专家.docVIP

（一）忽地看到信息安全界的一大恶俗：卖弄。1：最早似乎是PDR还是CC象无法考证了，反正从PDR卖弄了一堆东西出来了：P2DR、PDRR、...；CC那张著名的图(记得是图4.1)也衍生出了很多四不像的姐妹图。2：SSE-CMM，其实那里面也有几张好图，不过这个过程稍嫌短了些；去年年底到今年是IATF，不过IATF技术东西稍微多了些，概念稍微少了些，好像很多人感觉有些怯怯的，没太敢大动，因此经常还见保留“飞地”这等中国人难以理解的字样。3：然后是13335那几张著名的图（一般是图2图3）也被“创新”。目前是17799正被热抄/炒（不过好像好像没图）4：预测：下一个被卖弄的一定是NIST SP800系列，已经见到迹象了。那些目前还自觉不是信安专家的兄弟不要自惭形秽，没关系，我们有捷径：先从SP800看起：800-30，800-37，800-53，800-60，800-59，800-26，800-61，。。。，如果有时间或下苦功夫的话，再查找并牢记一些相关的背景和知识，比如FISMA，OMB-130，NIST，FIPS，那就牛大发了，赶紧了。看家明白了？其实专家还是蛮容易的。 （二）让别人觉得你像专家还是有一定技巧的，尤其是成为一个真正的专家还很困难的时候。1：用词：用词一定要讲究，尽量避免什么立体安全、主动安全这种普通人都能脱口而出的用语，显的不专业。要用纵深防御、深度防御之类的，一个是一般人说不出来，其次是让大家知道你对IATF很熟。再比如说NIST SP800-53只说53就可以了，ISO/IEC 17799简化为7799等。2：统计：对一些正热炒的东西，除了了解其内容以外，还要对其中一些数据加以统计，比如7799里有10个控制要项、36 个控制目标和127 个控制措施这些数据要张口就能来，当然如果知道7799新版有什么变化，一定要补充提到。3：背景：对热点不能限于表面了解，必须挖据其背景，比如monitor reference model 是谁什么时候再什么文献里提出的。PDR同样如此。Fisma那张图了解了什么37、53、18、30就齐活了。4：要对什么热点中的概念、图稍作改动（一般不会出问题），再找个什么场合“交流”一下。日后就可以大对人讲，我当年/时第一个提出。。。，当然说话要自然。这招好像坛子里已经有人用过。5：如果有机会自己在那个信安的会上的PPT被哪个老人家索走（确实有老人家喜欢这个），那你就可以大讲了，谁谁谁专家很重视认可你的这个观点了，当年/时他。（三）光了解了那些标准并会说了一些行话外，要成为信安专家还得参加活动，建立人脉。1：初期一定要多参加各种各样的大会，了解大家都在炒作什么。这种会现在比较多，尤其在京沪广地区，如果是其它地方这个机会就少了，不过没关系，坛子里好像有雷锋们将这些讲稿都放进来了。回家后赶紧按照象一象二篇消化实践。2：一个阶段后重点注意大专家们的观点，比如何院士、沈院士、赵战生老师、崔书昆老师、曲成义老师、屈延文老师、贾颖禾老师、杜虹、景乾元、宁家骏等大家、国家信息中心、国家测评中心、。。。等人在说什么，一定要细发掘，比如你可以看到测评中心那帮人天天就是CC、培训，因为他们靠这些挣大钱，信息中心在谈评估等等。要尽量能和他们认识，技巧和能力就靠个人了。坛子里有些主的确修炼到这份了。3：参加相关机构的各种课题和项目组，比如编本书、起草个标准什么的，这在北京不算太难的事。因为这些机构缺人又不想花钱，一招呼就会有各个公司忙不迭地跑去自掏钱地参与，如果你有幸在这些公司并傍进去了，以后就可以在外面吹吹什么的，哪怕心里明白在里面自己其实啥也不是。有时这还要用到第二点的人脉，比如跟那些老师表达你多么多么想参加这些课题等等的，这些老师心地都满善良的，耳朵有的也挺软的。4：无论如何不能让别人知道你在这些项目组里的真实状况，包括你的老板、同事什么的。一定要牛XX的那样。5：要经常不经意地在其它人面前提到你是在什么什么课题项目组里的专家成员，如果偶尔在表露出你可以推荐推荐他们，那你就成他们眼里的神了，其实说说而已。6：写些玩概念、标准、模型的文章，没关系，信息安全就是模糊美，不用担心别人说你不懂，当然涉及密码技术你就不要谈了，你要真懂密码，那就不用看我这些速成指南了。 （四）做信安专家当然要有研究，否则还只是停留在中级。但是研究也得选个好的题目，要选得有聊头还得不把自己给搁进去。因此涉及到确定的、能搞出点真效果的千万不要沾，因为我们是在速成，那样的东西没点真本事不花点时间是出不来的。象哥可以建议一下但不限于以下几个方向：1：SOC之类的东西，与此相关的有安全审计平台、事件关联等等，这类东西所讲的理想目标目前事不可能实现的，它们的基础支撑理论，即人