信息安全微专业 （零） 微专业导学

1. 国家安全与网络安全

安全的概念：

安全是一种状态。最简单的定义是没有危险，较详细的定义是受到保护。——维基百科

安全的三方：白帽子、黑帽子、普通网民

安全的意义：

没有网络安全就没有国家安全——习
网络安全为人民，网络安全靠人民——2019国家网络安全宣传周主题

行业特点：

• 朝阳产业。国内外安全产业规模都在增长（《中国网络安全白皮书（2019）》）
• 安全人才缺口严重
• 高薪专业
• 一半以上的白帽子来自科班
• 国家政策利好
• 从业者集中在企业中

2. 企业安全与安全工程师

安全工程师负责企业的虚拟安全
随着互联网的发展，企业的虚拟安全越来越需要得到保护

• 甲方企业：一般是出资方或投资方。非主营安全业务的公司，只对自己主营的安全业务负责。一般将自己的需求外包出去
• 乙方企业：一般是劳务方。主营业务就是安全，会承接甲方的各种业务需求
• 目前很多概念都在模糊化。很多有研发能力的甲方大厂，安全系统都是自营，甚至对外输出，抢乙方饭碗
• 每种安全都是攻防一体，谈“谁主攻谁主防”不现实

安全不分甲乙，不分攻防，只求全栈

甲方安全主业务：三分业务七分管理（课程将以甲方安全的视角讨论问题）
乙方安全主技术：专注某一领域的技术

企业安全的建设离不开团队的输出

企业需要安全团队的原因：

外在：竞争力、三方合作需求
内在：企业内鬼
法律：《网络安全法》、安全合规需求
技术：安全事件爆发
最终保证企业利益不受损

对应的安全团队个人能力要求：

攻防对抗
安全感知
研发能力
体系建设能力

企业安全建设步骤：
救火阶段 >> 基础安全阶段 >> 覆盖核心业务系统 >> 覆盖全部业务线 >> 全面自动化、平台化 >> 对外输出

3. 安全工程师能干什么

• 漏洞挖掘能力（白帽子的基本属性）
• 攻防对抗能力（安全工程师是白帽子的进化版，能力也在漏洞的基础上进阶）
• 产品研发能力（所有IT岗位的终极形态都要与代码打交道，开发能力必不可少）
• 应急处理能力、态势感知能力、沟通表达能力、团队协作能力、生态建设能力

技术方向（相当于是知识结构模型）：
安全工程师涉及各方面的工作，有的有关技术，有的无关技术。目的都是为了企业安全
全栈安全工程师是个伪命题。现实中只能成为某一领域的专家

个人成长路线：
安全工程师涉及到的工作内容

4.微专业课程设计

大学课程内容与计算机专业雷同，与业务需求脱节，不重视实操

大纲内容：

• “网络——应用——业务——研发”
  网络与系统安全、web安全、移动安全、业务安全；
• 安全运维、安全合规、安全竞赛；
  贴近安全公司工作日常；

安全运维与安全合规有因果关系。运维安全系统是安全工程师的日常，系统的运维是合规测评通过的保障；
安全竞赛的题目起到总价归纳作用。