作为一名安全工程师是怎样的体验

在某世界前三云计算公司做安全攻城狮，在中国也有业务但是和世界其他地方是分开的，我不负责中国区。

主要有几大团队

安全运营团队，分布在全世界几大地区，轮流oncall，主要负责应急响应，和内部业务团队沟通处理安全事件等等

安全整合团队，负责将安全作为主要功能结合在产品里

应用安全团队，red team这种，对内渗透测试和代码安全审计。

安全平台团队，写各种安全相关的工具和管理平台。

威胁情报团队，精英都在里面，人数很少技术很牛逼，主要研究botnet和malware。

更神秘的研究团队，挖0day，主要是hypervisor和内核级的。

很多大产品团队本身也有自己的安全团队，我们主要就是有事和他们沟通了。

忙不忙看人品，有时候oncall一大早十来个page，有时候两三天也没一个。

具体负责什么主要看你在哪个团队了。

进入大公司安全部门最大的挑战就是熟悉业务，熟悉业务，熟悉业务，重要的事情说三遍。比如，有人给你们报了某产品有漏洞，你要知道去找哪个团队，由谁负责，又比如你们的扫描器发现某主机存在漏洞，你要知道这个主机是谁负责，上面有什么业务，存了什么数据等等。

另外就是要会写小工具，有时候一下通知几百上千个团队更新软件包是件很痛苦的事情。

主要分为哪几种类型的工作?

主要分类：安全运维，安全审计。按照CISSP，安全要细分十个领域，不过真正在甲方工作的话，职位就这两个差不多了。(不知道保安算在哪一种?)

有些公司是直接分到IT/技术部门;有些公司有安全部门，部分公司会有很多安全小团体，共同向安全总监汇报。第三种比较常见。

一般情况下一天的工作时间安排会是什么样子?

不管具体是负责安全哪一块的，都差不多是这样工作的：

开会，总结安全的问题(被黑了，信息泄露了，公司发现了哪些安全脆弱了)

做产品(包括开发安全产品，各种需要的产品，包括写文档之类的，文档很重要，可以把安全信息可视化，主要看公司的需求)

协助其他部门买产品或做顾问(买安全设备，检查别的部门买的设备是否有明显的安全漏洞，检查别的部门的工作会不会影响公司的安全。不仅仅是指参与IT部门的安全啊，甚至包括财务人事等，各个部门，当然会有分工的，不是一个人查全部。)

安全检查(全方位，因为大公司要过安全审计的。这点很琐碎，无所不及，而且还不能影响其他部门正常工作，所以基本是中午啊，半夜啊，虽然会有自动化工具什么的，但是依然心里惦记着，晚上手机震动就会醒了，以为有报警。)

会遇到什么在其他公司难以遇到的挑战?

这里是重点：

1、团队人少是肯定的，安全部门不会很庞大，有经验的就更少了，几乎只有经理级别的有经验。大多数队员们都是来自各行各业(开发啊，运维啊，测试啊)就算是安全公司跳过来的，技能也比较局限，比如人家只会挖web漏洞，给他个二进制的他也不行，给他系统级的安全问题，他也 不擅长，没办法，安全是需要积累的，但是坚持下来的人很少。事多钱少背黑锅。

2、事情杂多杂多的，全部要自己来。一般其他部门的开发就开发，运维就运维，安全部门基本上是自己做的。绝对不可能让开发公司app的或web的团队帮你做安全产品。原因很简单，他们是为公司赚钱的，安全表面上看不出赚钱。所以基本上开发测试上线运维都自己来，虽说自己来是指安全部门或团队自己来，但是由于安全团队不可能跟开发团队人数比，所以实际工作中还是相当于一个人能做的越多越好。之前说了，安全还要参与别的部门的事情，所以知识面必须很广。比如销售们出台了一个活动，你要放下手里的代码，去看看他们这么玩行不行，会不会有安全隐患。根据经验，人事部门，销售部门经常出问题。IT部门中的开发测试也问题多多，运维也不省心，产品选型必须参与。有时心态也会调整不好，我那边正忙着补一个漏洞呢，你们这种过家家的事还要浪费我时间，但是不去不行啊，你这边好不容易防护过滤通通上了，人家一做活动，大字报一贴，什么奇奇怪怪的信息都能轻易的泄露出去。

3、安全部门地位尴尬。事情要做，但是没人理你。举个例子，要开发安全产品，没有人给你资源，因为开发部门都不够用呢。你要买安全产品，人家不批准，因为安全产品比较贵。你部署的要求，没人理你，什么?你要加一个设备在我的网络里?你要干嘛啊，我们网络组好不容易把网维护的棒棒哒，你别多事。因为安全很难引起管理层的重视。哪怕出了事故了也很难引起足够的重视。

4、永远招人恨。业务部门想出来绝妙的点子。安全部门冲上去说不行!!! 开发部门来不及上新版本了，安全部门冲上去说慢着!!!人事部门只是发邮件收集一下信息，安全部门说等下!!!大家会觉得安全部门太TM烦了。安全部门的要求很难被理解。还会打扰人家。比如人家DBA玩的挺hi的你过去说：季度审计一下，不好意思配合做个。。。沟通永远是个麻烦的问题，更恶心的是安全没有大家想象的那么闲的蛋疼，相反是很忙很忙。已经尽可能避开业务高峰了。

5、专业背黑锅。从CSO开始到工程师都背的。信息安全是全公司的事，并不是安全部门的事。但是大家不会理你的。每次沟通，说的再清楚也没用。因为安全一定会与便利性冲突，没办法CIA原则平衡起来确实困难。漏洞百出安全部门只能看在眼里也没办法。举个例子：安全扫描(这个无论大小公司比做吧，而且一般是半夜做哦)发现一台数据库服务器有系统漏洞。然后跑去跟系统部门说吧，他们不理你，说这是DBA的事情啊。DBA会说：什么漏洞?我们的数据库很安全的，绝对注入不了，安全部门要从何科普起好呢?这还是技术部门内部。其他部门就更坑爹了，业务部门根本无法理解安全部门担心的问题。觉得是想多了，也不好解释这是风险控制吧，不好直接给她们看那个定性的量表图吧?然后出事了，就是安全部门背黑锅，虽然在具体追责的时候会追个人的责任，但是大家对安全部门印象好不起来。”我们的安全部门不行“。经验得，出事情最多的：行政部(社会工程防不胜防)>测试部>运维部>其他部门。

应届生来大公司(如阿里巴巴、腾讯、百度)，可能会遇到的最大的挑战与困难是什么?

同上所诉，就是因为回答这个小问题，才决定匿的。个人觉得三家的安全部门百度管理的好一些。但也是50步笑百步，都比较散乱。最乱的是阿里个人感受。要补充说明一下，安全是非常隐蔽的，非专业人士难以评价的，这三家还有一些大公司在安全上都是付出了努力的，但是由于一些非常致命的原因，他们的安全还是会出问题，以及他们自己对安全不到位可能产生的后果的承担能力不同，所以给人感受不同(简单说就是，有企业明确安全目标是：老子不怕你来黑我，这样的指导思想会直接影响安全结果，与企业的一个安全工程师是否优秀无关，安全是打全局战的)

三家都有一个优势，就是他们的安全部门都已经不仅仅是support部门了，都受到公司的重视了，可以有明确的目标，有东西学。比如 阿里的云安全，其实是可以算作“盈利”的存在了。因为保护的用户不是散户而是企业级的用户。

另外，应届生的话，其实就是没有经验的学生，很遗憾的是，学生不等于没有经验，牛的`学生足够多，但是!做安全太依赖经验了，所以安全行业的学生等于没有经验。所以，没经验的话我刚刚说的那么些(那些只是一部分工作内容，还不是全部)基本不会给你接触的，所以，学生其实只是做最落到实处的部分，比如：开发。区别就是人家开发app，你开发安全应用咯。一定要说有什么工作上的区别，对学生来说可能就是你要学的东西太多了吧，具体上手不会有太多的区别的。人家开发你也是，人家写文档你也是。所以，学生做安全的一天基本上是这样的：

开发

领导开会回来了，告诉你要继续开发

开发

领导去参与其他部门的安全问题了，告诉你继续开发

开发

验收开发的阶段性成果

下班，下班前做一下安全审计的工作，很简单很耗时

下班回家，担心着自动化的审计工具有没有问题啊?

第二天上班，先查看一下昨天的审计是否顺利，顺利则上交审计数据，不顺利?则今晚重来一遍。

开发。。。

当然，这也只是一种，也有其他的，比如把开发改成运维，审计改成分析log等等，大致就是这个节奏了。

安全工程师工作适合什么样子性格和能力的人，怎么样就算做得“优秀”?

适合打人生下半场的人做。仔细回忆一下，身边做安全的，好像没什么人能坚持下来从事这一行的。因为钱少事多背黑锅。所以尝试转行的基本上都转回去了。学生来做的，纷纷转行的也不少。

真正坐下来的，我认识的从事这行也有5年以上，到十几年的都有。他们已经有很大的不可替代性了，已经是manager级别的了。所以坚持很重要。

回答最后一个问题，网上总会有各种人才，脚本小子也好，漏洞达人也好。我想说一下，那不是安全从业者追求的状态。原因是这样的，安全是正当职业。虽然黑客也可以赚钱，而且暴利。但是很难洗白。真正的需要安全人才的公司不要流氓的。另外一个原因，安全很大的只是宽度，而不是深度。当然，深度也需要，只是没宽度重要。现在可以做黑客，找漏洞。那么10年之后呢?还继续找漏洞?10年后公司不是需要一个找漏洞的人，而是可以保护企业安全的人，那时候你要可以全面评估企业资产安全，制定计划，出台安全政策。说了安全有10个领域，局限于一个是不行的。

最后说一下：安全不会比开发这种工作工资高的哦。都说了不受重视了。所以很有可能题主找工作的时候直接奔着钱就去做开发了，还懂些安全很受欢迎了。或者觉得开发简单一心做开发就好了，安全学那么多学都学不完。我技术不差为什么要受人指点，转行吧。这两个诱惑可以过，基本就适合做安全。

利益相关：CISSP，工作经历：大公司安全工作人员(SIEM)，曾在乙方主要做加密，DLP等方向。