网安专家养成记：勤动手，多交流，善思考

作为一名从事信息安全工作 10 年之久的沙场老将，谷野从传统安全公司安全服务开始，历经大型传统企业、互联网公司安全管理实践。一路走来，谷野在安全方面的探索，对业界从业者可能都有更好的借鉴作用。

1 以管窥豹，互联网行业的安全如何做？

现任去哪儿网安全经理的谷野，目前其团队人员的组成涵盖了风控系统、安全系统的开发、运营、策略、产品多个层面。

谷野所带领的安全团队目前的主要职责主要包括：SDL 安全体系，主要包括安全培训、web 安全测试、上线前安全检查、众测组织、安全方案提供等覆盖软件生命周期内的全部传统安全工作；安全防护系统的设计、搭建，web 安全防火墙、日志安全审计系统、流量监控系统等；数据安全体系建设，敏感信息泄露监控、敏感数据脱敏\加解密系统、数据传输\存储\处理\销毁各个环节的数据安全需求的检测等；业务安全，账号安全体系建设，防撞库、防盗号等账号安全相关工作。

由上，我们对互联网企业到底需要怎样的安全即可见一斑。我们都知道，安全的攻与防，在矛与盾的博弈中，矛只需成功一次，而盾需要次次成功才能确保安全，对于互联网企业尤其如此。

除了常规的安全体系建立，在防范计划和应对预案方面，谷野在诸如防 DDOS 攻击、CC 攻击、撞库攻击、web 入侵、系统入侵、业务作弊等方面，都有详细的防范应急方案和流程。

2 如何从专业的角度审视和规划安全产品选型？

在谷野看来，好的安全产品首先应该是从用户角度出发的，其次是可定制化、系统高可用以及数据可视化，并且是 by pass 的。在这里解释一下 by pass 的作用。有了 by pass，一旦网络安全设备出现故障，它可以让连接在这台设备上的网络相互导通，当然这个时候这台网络设备也就不会再对网络中的封包做处理了。

网络安全专家的养成，不是一朝一夕。在应对新环境下的网络安全过程中，从业人员除了需要提升诸如 web 安全的基础知识，以及 python、shell、c、java 的编程知识之外，在谷野看来，养成独立思考、勤动手、多交流的职业习惯更为重要。

当前市场上专业的资格认证和专业培训（如 CISSP\CISA）可能是从业人员入行的敲门砖，但是信息安全涵盖面广、发展速度快，从业人员更需要不断更新自己的知识。

如果深入研究信息安全的细分领域，你会发现它包罗万象：系统安全、网络安全、web 安全、安全审计、安全开发、渗透测试、数据安全、云安全、移动安全、大数据安全分析、智能硬件安全等等。谷野的建议是，从业人员可以根据 IT 行业的整体发展趋势来选择自己自己感兴趣的一个分支，持续深入地做下去，用实战去积累经验，从而成为该领域里的专家。

在安全这个领域，更需要实战派！

如果你是网络安全从业人员中的一份子，如果你愿意为网络安全人才建设贡献一份力量，如果你希望结识更多网络安全同行，那么快来参与这份“网络安全人才现状调查”吧，让我们共同为网络安全人才建设贡献一份力量。