🙄 ⛱️ 🎢 信息安全专员。它能赚多少钱 🐏 😼 😅

信息安全专家不是最简单的，而是要求IT专业人员。尽管实际上，没有技术背景的人都可以使用它，但它却带有许多术语和特殊的工具，使它感到恐惧。学习了IS之后，您将与国有公司，银行，大中型企业，云服务和初创公司合作。简而言之，在任何可能被黑客入侵的地方。

本文详细介绍了这样一位信息安全专家是谁，他做什么，他赚多少钱以及如何成为一名信息安全专家。奖金-一系列探索专业的书籍。

谁现在是信息安全专家

通常，信息安全专家是指可以实施和维护针对未授权访问的保护的人员。设置网络，预测错误和潜在的错误，部署和启动连接监视技术。

但是领域内已经存在一些狭窄的专业：

渗透测试者是所谓的“白人”或“道德”黑客。他们不会非法侵入业务资源。相反，它们为公司服务，并寻找开发人员然后修复的漏洞。碰巧的是，这样的人有薪工作，或参加Bug赏金计划-当企业要求检查其保护情况时，承诺会为发现的bug提供奖金。
开发专家-这些专家参与了应用程序和程序的创建。简而言之，他们研究体系结构和现成的代码，并建议可能存在错误或黑客的“窗口”。一个常见的示例是保留在站点条目表单中发送SQL注入的功能。
网络专家 -他们正在寻找硬件和网络系统中潜在的已知漏洞。简而言之，他们知道攻击者如何使用Windows，Linux或其他系统进入您的计算机并安装必要的软件。他们既可以找到黑客的机会，又可以创建一个难以进入的系统。

专家划分还有另一种选择：

那些破解网络或程序的人，无论如何。他们的专长是寻找错误和漏洞，道德黑客。
那些建立和维护安全系统的人。现在，雇主在寻找信息安全专家时就暗示了这种选择。

这种划分是有条件的。例如，在一家开发移动应用程序的小型企业中，信息安全专家将参与从开发到实施的整个周期。在一家大型云公司中，您只能使用Kubernetes，而无需其他任何工作。

信息安全专家现在是在公司中实施安全系统并从外部尝试提供支持的人。

由于术语的不稳定，职位空缺的名称几乎没有混淆-公司正在寻找信息安全专家，安全管理员，计算机网络安全工程师和其他名称，这意味着同一位专家。

信息安全专家做什么

信息安全专家的主要任务是设置用于保护和监视的工具，编写脚本以使过程自动化，并时常进行渗透测试，就像黑客一样。监视整体系统性能并管理信息安全工具。

这是信息安全专家的典型任务：

检查公司的信息安全系统，找出存在明显漏洞的位置。
查看一般情况，找出谁可能对黑客入侵公司感兴趣。
创建保护实施程序。确定首先要解决的问题-例如，配置访问协议，注册安全脚本，配置密码生成系统。
处理产品-在代码中找到漏洞，制定消除技术任务。
评估安全系统-对网络资源进行持续的攻击。
分析监视-找出谁对该系统感兴趣，以何种方式，频率。
为特别弱的节点引入保护。

另外，信息安全领域-您可以工作数年，但绝不会遇到未知和难以理解的事情。当然，没有确切的统计信息，但是通常所有漏洞和黑客方法都是已知的。

有条件地，大约80％至90％的操作时间被防范已知的黑客方法所占用。另外10％是尚未在手册和文档中指定的新内容。

信息安全专家并不总是富有创造力的职业。相反，通常，您无需发明任何东西并重新发明轮子。专家接受现成的清单或说明，然后实施安全系统。测试它，发现错误，并修复它们。然后进行新的迭代。

如何成为信息安全专家

信息安全专家的职业发展道路类似于IT标准-首先是课程或自学，然后是实习，然后转为正式工作。

从专业站点的工程师的评论来看，开始专业需要9到12个月的时间，其中半年由课程决定。

我需要技术背景吗

不需要IT和编程方面的经验-这是系统管理，开发和咨询的交叉领域的专业。当然，如果您是新手开发人员或工程师，这将变得更容易-您不必了解IT流程的一般原理。但是数量不多，因为无论如何，信息安全都有很多微妙之处和技术。

信息安全领域的理想培训计划是理论最少，实践最多。研究流行的漏洞列表是没有用的，您需要尝试在有效的产品中实施针对这些漏洞的保护措施，并遇到系统限制。

我需要英语吗

刚开始时，并不需要对语言有充分的了解-足以理解必要的最低要求，从而不会迷失在程序界面中并与Google翻译人员一起阅读文档。

但是那门语言值得练习。高质量的文学，杂志，博客和信息安全论坛大多是外国的，并且不会立即将其翻译成俄文。为了不断地“专注于主题”，您必须求助于源头。

选择IB课程时，请注意是否包括技术英语课程。在此类课程中，您将不会花时间在无关紧要的话题上，例如度假，做饭或与IT无关的其他事情。相反，请熟悉用于测试，开发和阅读文档的特殊词汇。

您需要了解的入门知识

培训信息安全专家的许多课程的问题是，重点放在以下领域之一：

很多理论。例如，这些课程介绍了许多设计功能，可能存在的漏洞，但没有实际任务。这很糟糕-重要的是您必须立即尝试攻击或防御。
— , , . , - . , , DevOps. . .
— , . , , .

如果您打算在信息安全领域中谋求一份职业，那么值得寻找可指导安全系统全面实施的课程。加上学会使用漏洞进行渗透测试。他们一定会谈论如何在法律上做到这一切-您需要了解监管框架和立法的细节。

也就是说，法律和网络设置，黑客行为以及针对黑客行为的保护。

技能栈

以下是您需要了解并可以开始使用的示例列表：

设置网络堆栈。
进行系统审核，分析哪个地方容易受到攻击。
以流行的方式攻击网络资源，并配置防止此类攻击的系统。
设置监视系统和有关问题的警告系统。
考虑建筑物保护中的人为因素。

此外，对密码和其他保护方法的理解也将派上用场。另外，了解信息安全领域的法规法律行为，国家结构的责任范围（FSTEC，FSB，国防部，中央银行）。

工具栈

申请实习生之前，您需要尝试以下操作：

Linux-编写您自己的程序集，了解系统本身和内部程序的常见漏洞。
Windows-能够自定义用户和服务器解决方案的功能很有用。知道如何通过更新，欺骗驱动程序或实用程序来进行攻击。
DLP-试用流行的数据泄漏保护技术。简而言之，这些程序可以阻止写入USB闪存驱动器或将某些类型的数据发送到社交网络或邮件。例如，Sophos或McAfee DLP
IDS — . , , . , .
SIEM — , . , , - , — , . Splunk, IBM LogRhythm.
Kubernetes. Kubernetes, , .

仍然有用的方法知识。了解DevSecOps的工作方式。这是一种现代理念，可让您在产品开发的任何阶段实施保护。如果您是产品开发公司的信息安全专家，它将非常有用。

要开始职业生涯，就不必了解专业水平的所有技术。对系统有一个大致的了解就足够了，而不会迷失在设置和文档中。如果有条件，您需要知道该怎么做，而不是该怎么做。

这些专家赚多少钱，他们需要多少钱

根据“ Habr Careers ” ，数据保护专家的平均收入约为12.5万卢布。但这是所有级别和公司的总金额。有些人以5万卢布开始，还有一些收入为300-400千卢布的经理人空缺。

工资增长

这是工作现场的典型图片：

莫斯科的新手专家大约能赚5万至6万元-这是一个没有工作经验的实习生。
初级职位-职位空缺为60-80000。
具有1-2年经验的专业信息安全专家-100-150 000。
具有3-5年经验的专家-150-200 000。
头-20万以上。

需求

对信息安全专家的需求很高-仅在HeadHunter，他们通常会搜索800-900名此类人员。如果添加该专业的其他名称，例如安全管理员或计算机“安全”，您将获得大约2,000个职位空缺。

通常在莫斯科或圣彼得堡提供15万起。在这些地区，具有1-2年经验的专家可以依靠50-120 000。

只有高素质的专家才能提供远程工作的机会-例如，有这样的职位空缺，收入为250-35万卢布。基本上，安全工程师在办公室工作。

远程带薪工作示例

读什么话题

这里有一些文献资料，可以帮助您更好地了解信息安全领域。但是，与课程同时阅读是值得的-仅在理论上，它无法达到实习生的水平。

斯科特·唐纳森（Scott Donaldson）。企业网络安全：如何建立针对高级威胁的成功的网络防御计划 -模板/ 培训手册，用于创建实施信息安全系统的计划。它与大型公司和工业企业有关。但是，即使您是在小型企业中工作，这也有助于理解创建保护的总体情况。
吉姆·伯德。DevOpsSec-这本书讨论了如何构建IS实施过程而又不会引起开发人员和测试人员的痛苦。
RTFM：《红队实地手册》 -一家从公司赚钱的骇客脚本精选，这些公司通过赚取白人骇客收益。
用于Web开发人员的SecurITy是黑客入侵和保护网页的常用方法。
Michael Kofler，“ Linux。“安装，配置，管理” -将有助于了解Linux上的操作和管理原理。

在哪里学习信息安全专家

您可以在Netology的“ 信息安全专家 ” 课程中获得结构化知识。

你将学习：

建立一个在开发的所有阶段识别漏洞的过程；
确定在哪里可以预期到威胁，如何将威胁最小化以及调查攻击的后果；
研究必要的立法以在法律范围内行事。

信息安全专员。它能赚多少钱