回答数
4
浏览数
1094
去掉浮华虚夸
三轮六次复习法(转的资料)——注安师考试三科客观题复习方法一、要点提示要点之一:以从事一定时间的安全管理和服务工作为前提。要点之二:以阅读全国注册安全工程师执业资格考试辅导教材编审委员会编写的辅导教材(一套四本书)为基础,而且复习资料只能有一套,以免“乱套”。要点之三:有一本权威机构编写的《2008年注册安全工程师考试模拟试题》,以做其中之题为核心,这是最重要、最关键的。要点之四:分科目、分章节复习,层次推进。科目顺序为:1、《法律法规知识》,2、《安全生产技术》,3、《管理知识》。前两科可以并行复习,《管理知识》应在前两科复习一遍后才开始。要点之五:此复习法只适用于《安全生产法律法规知识》、《安全生产管理知识》、《安全生产技术》三科客观题。主观题《案例分析》一科另有其复习方法,而且此科应放在最后复习。要点之六:对每周能保证15小时复习时间的中等水平同志而言,第一轮用6周(40天左右),第二轮3周(20天左右),第三轮10天左右,共70天左右(160小时)。加上从第二轮开始要与主观题《案例分析》一科并行复习,总共复习天数为90天(或200小时)。基础好、能力强以及从事安全工作时间长的同志,由于学习效率高,时间可减半;反之,则应该根据自身实际,适当增加复习时间。二、具体方法(一)第一轮(包括三个阶段,也就是三次复习)1、第一次复习阶段,分章节阅读《复习资料》一遍(注意:理解即可,不要在阅读期间过于浪费时间和精力)。2、第二次复习阶段,对阅读过的一章立即进行复习,主要方法就是做题。第一,《题集》中的本章复习题部分普做一遍(不要在书上直接做,以免留下痕迹而影响以后再复习;在纸上做,并留存,以便检测复习质量)。第二,做完后,对照答案查验正确与错误。第三,对更正的错题以及不明就里的或含糊的,再对照复习资料巩固一遍。3、第三次复习阶段,此阶段是整个复习过程中的最重要阶段。依据“先多后少,先快后慢”的遗忘规律,应及时复习,把上一阶段做题中做错的题,两三天内重新做一遍;并分别对照答案及复习题再巩固一遍(为节约时间,提高效率,2-3章合并复习为上策)。(二)第二轮(包括两个阶段,即两次复习)在三科客观题普遍复习一轮后,接着进行第二轮复习;比照上一轮,本轮减少了看书阶段,变为两轮;虽分两个阶段进行,但要连续作战,看不出是两个阶段。1、第一阶段,也就是第四次复习阶段,基本方法依然是做题,(1)《题集》中的本章复习题部分再次普做一遍(仍然不要在书上直接做,以免留下痕迹而影响以后再复习;在纸上做,并留存,以便检测复习质量)。(2)做完后,对照答案查验正确与错误,并记载得分比率(一般应为65%-70%)。2、第二阶段(第五次复习),与上一阶段紧密相联,立即复习,把上一阶段做题中做错的题,马上重新做一遍,并对这些错题有记载;对错题更正的、不明就里的或含糊的,再对照复习资料消化巩固一遍。此阶段是整个复习过程中的第二个重要阶段。( 三)第三轮,关键轮或关键阶段(本轮为第六次复习)1、时间安排。在考前1周左右开始,效果奇特的突击式复习方法。如时间来不及,在临考时进行,具体为:上午考试科目可选择考前的一晚上或早晨起床后3-4小时,下午考试科目可选择中午3-4小时展开突击。2、特点。本轮复习方法要掌握四个特点,或叫做四个做到:一是突出重点。方法上仍然是“以做题为主,以向参考答案和复习资料印证为辅”。重点应遵循以下三方面,简称“三必做”。第一,重点章节必做。在前两轮复习中感悟出来的重点章节(自己掌握还不够牢的、估计出题可能性大的,等等),以及做单科综合复习题时发现应当成重点的章节(分析章节题在综合题中所占比例),要作为第一类重点,重点章节的数量可因人而异,一般占40%左右。第二,非重点章节中的重点题必做(两轮复习仍未掌握或尚含糊的)。第三,每个单科的综合复习题全部题目必做。目的是检验综合得分比率(一般应为75%)。二是保证质量。上述重点内容往往就是考试题目,把这些题弄明白至关重要。要想过关,最要紧的就是把这部分搞定。“不会的、疑惑的、含糊的,往往就是必考的”。三是触类旁通。从近年试题情况看,有许多题基本就是复习题的原题(三分之一以上);还有一部分(三分之一左右)是在原题基础上稍加变化的;另外的三分之一左右就需要动脑筋,举一反三、触类旁通的。在第二部分试题不能完全做正确的情况下,这第三块就成为决定性因素,所以既要进行系统而正规的复习,又要在复习重点题目的同时,进行拓展,以确保过关。四是延伸拓展。对与安全生产相关的最新提法、最新要求、最新政策,甚至最新的事故应该有所思考。这些往往是复习题中没有的,或是在确定复习题时尚未出台、尚未发生的。如“隐患治理年”的新动态,领导人政治性、标志性的讲话,新的重大事故。注意收集报纸、电台、电视台以及互联网新消息。 五步链接及类型归纳复习法——注安师考试《案例分析》复习方法刘凤起一、要点提示要点之一:要以三科客观题复习为基础。并且必须在达到一定阶段的时候才开始复习本科目,否则,事倍功半。要点之二:要分清主次,善抓重点。抓住几种主要的事故类型:火灾事故、危险化学品事故、建筑施工事故、特种设备事故、机械伤害事故、职业危害(工业中毒等)事故、煤矿和非煤矿山事故、烟花爆竹和民爆器材事故以及其他重点事故类型展开复习。要点之三:要善于归纳。坚持发散与集中相结合、归纳总结与举一反三相结合,增强提炼、统筹和综合概括能力。要点之四:要注意计算题。如:1、重大危险源临界量合计计算;2事故造成的直接经济损失和间接经济损失,以及损失工作日计算;3、按《生产安全事故报告及调查处理条例》规定,赔偿和经济处罚计算;4、按《安全生产违法行为行政处罚办法》,经济处罚计算。等。二、具体方法五步链接和类型归纳是互相联系、互为依托、缺一不可的整体。(一)五步链接的具体解释复习应分五个阶段(或五个步骤)进行。1、第一步,就是前三科的复习。没有前三科的具备一定基础条件的复习,《案例分析》的复习就无从谈起。这叫“打底儿”。必须强调的是,复习《案例分析》这一科目,要以三科客观题,即《安全生产法律法规知识》、《安全生产管理知识》和《安全生产技术》的复习为基础,并且必须在这三科达到一定阶段、具备一定条件的情况下再开始,这样会有一种轻车熟路、水到渠成、得心应手的感觉,否则,事倍功半。《案例分析》开始复习的最佳时间是与前三科的第二轮复习并行。无论任何,最晚也要在距离考试要在45天以上开始,一定要留出消化、理解和提高的时间。由此,我们可以倒排一下复习时间表:9月初考试----则7月20日开始复习《案例分析》---则最迟6月10日就应该开始复习前三科。基础较弱、学习能力中下及安全工作经验尚浅的同志还应提前。2、第二步,在前三科普遍复习一轮的基础上,首先要做的是把《案例分析》的复习资料整体阅览一遍,本步骤要达到的目标是——“入境”。因此,阅览中要注意以下三点:一是适当加力,但不要过度。在本步骤(即阅览)中,要达到在感知的基础上初步理解的目标,其用心程度和俯视深度要比前三科看书时加倍。《小马过河》的故事告诉我们:河水深浅因人而异。复习也是如此,由于在前三科的复习中,每个人都能总结出一些经验,都会明白“加倍”的含义。但切记:一定不要心急,不要用“力”过猛,以免两种负面情况发生:一是浪费时间,因为时间是宝贵的,在一个问题上或一个案例上太费心思和时间,会打乱复习的整体计划,拖延了后面的复习,影响进度。二是自挫信心。在一个问题上卡住或觉得难度大,就会发憷。许多同志多次未能过关,大多因为这一科,也大多是由于复习方法不当而自挫信心造成的。要记住来日方长,不要奢望一口吃个胖子。“随风潜入夜,润物细无声”为好。二是 可以“头疼”,但莫成负担。有些同志看案例感觉到头疼,主要是因为两个方面原因,一是对这一科目的复习方法和技巧尚不掌握,觉得蹩手蹩脚;二是其中的内容需要深入分析,并且在深入分析的基础上进行发挥,自己的分析能力还未达到相应的水准。遇到这样情况一定不要担心,解决上述两个问题的办法有三点:一是勤看;二是反复看;三是对照看,既看“案例”题,又查看参考答案。只要卡住了就翻看答案,并对照分析一下其中的道理,提高分析能力,这与前三科的方法迥异。有一句顺口溜:“看多了、看惯了、摸着门道就办了”。三是广种薄收,有获即喜。对大多数同志而言,在“入境”阶段,不要奢望深入,我们提倡“浅入”,也就是说浅尝辄止,达到“尝”即可,比蜻蜓点水稍深一些。“质”的目标就是摸门道儿,摸着点门道儿就算入了境;而“量”的目标呢?就是把《案例分析复习题集》通看一遍。这两个目标都达到了,到此,就完成了“入境”阶段的基本任务。3、第三步,在入境或基本入境的基础上,也就是通读一遍复习资料,对本科目有个初步理解的基础上,在8类案例中选择较为简单的一类案例,实现单体“突破”。并注意:一是集中精力,主攻单产。坚定地选择一个类型的案例实现突破,“抓住一点,不济其余”,“集中优势兵力,各个歼灭敌人”,这一步骤就不要再浅尝辄止了,一定要深入、深入、再深入。二是选好目标,穷追猛打。要因人而异,或者叫做“因材施教”,选择自己最熟悉的、最感兴趣的,或者通过前一步看书中感觉到最简单的一类案例。一是最熟悉的,比如建筑企业的同志,首先应选择建筑施工事故案例;二是最感兴趣的,因为“兴趣是最好的老师”,具体选哪一类?萝卜白菜,各有所爱;三是自认为最简单的。按照这样的顺序排列最科学、最合理。三是总结经验,以备推开。因为《案例分析》试题历来以主观题为主的特殊性(主客比:7比3),所以复习就要遵循相应的特殊规律。单体突破阶段,是《案例分析》这一科目复习中最重要和最关键的阶段。若此阶段复习得法,效果显著,在某一类案例真正实现突破,那么,就会为复习其他类案例探索出一条可资借鉴的路子,以后的复习就很可能会形成势如破竹、飞流直下之势。因为探索复习方法,总结复习经验是这一阶段的主要任务,大脑里要时刻绷紧“总结学习复习经验”这根弦,所以,要像抓试点,找经验那样投入。以下几点要特别注意:一是“潜能调动法”,尽量调动自身的一切潜能,把自己的学习经验乃至人生经验融汇进去。二是“精力集中法”,本阶段多费些时间,多投入些精力不要紧,就像建房子的打地基阶段一样重要,“基础不牢,地动山摇”,这个道理,大家都非常明白。三是“比对分析法”,勤看、反复看、对照看,既看“案例”题,又查看参考答案——这种方法在本阶段更适用,而且应该比上一步更认真、更深入、更细致。要把对参考答案的分析研究作为重中之重,与题干紧密结合起来,反复切磋琢磨,钻研解题方法,发现和总结其规律性。四是“旁征博引法”,对题干和答案中涉及到的每个知识点都不要轻易放过,需要我们带着灵气去复习。有的知识点在答案中展示了出来,但也许只是展示了本知识点的某一个或某几个侧面,并非全面展现,那么其他的侧面也要加以注意;对于题干上无论是明了的还是含蓄的提到了某个知识点,但答案却未予提及的,则更应注意,出题人往往会出这样的考题。五是“体会积累法”,在本阶段复习中,点滴的体会均应用文字记录下来,特别是带有突破性的办法(包括从内容到形式),以及由此得到的启发,等等。 4、第四步——“拓展”阶段。根据第二步单体突破环节所获得的复习经验,如法炮制并加以提高,对其他七类案例进行拓展复习。注意三点:一是由易而难,循序渐进。对其他七类案例,也要根据熟悉度、兴趣度和难易度,进行再次分析排队,“老太太吃柿子,专拣软的捏”,把容易的放在前面。二是由此及彼,深化体会。只要深入进去,对每个类型的案例复习后,都会有簇新的认识,都会有些新的经验性体会,都会对原有的经验体会有所丰富和提升,也一定会后续的复习有指导作用。因此,要善于捕捉这些体会,总结这些经验,尤其对一闪即逝的灵感,要及时记录,对后面的复习将会大有裨益。三是精耕细作,深钻细研。要按照第二步单体突破中的“潜能调动法”等四种复习方法进行,力图更深更细。5、第五步——“综合”阶段,因为,据往年经验,四道左右的案例分析题,涵盖了七、八类案例分析内容,所以,在归纳分类,进行深度复习的基础上,增强“综合”能力也很重要。在考题相对容易的年景,提高综合能力,是取得高分的必要条件;而在难度较大的年景,对于求及格来说,综合水平的增长非常关键。(二)类型归纳的含义(见要点二、三) 单项选择题答题六法——注安师考试临场技巧之一1、层次答题法。这一方法是统揽单项选择题答题技巧的最核心、最要紧方法。它是主要内容是:按照“由易到难的答题顺序,依据与难易程度相宜的答题技巧”解答单项选择题。更详细的看下面的五种方法。2、一举中的法。对于进行了较为全面认真复习的同志而言,许多考题属“容易题”,你可以直接从四至五个备选答案中一眼找准那个唯一正确的答案。为了节约时间、提高效率,其它的备选答案就不用再看了。3、逐个排除法。对于那些没有绝对把握,不能“一举中的”的题,要根据自己掌握知识的深度和复习经验,对错误的备选答案进行逐个排除。也许对最后剩下的那个答案你拿不准,但是,只要你真正找出了那几个为什么错误的理由,那么最后剩下的那个——你“没有选择的选择”就是正确的。这类题,我们把它叫做“次容易题”。4、对比判断法。主要针对的是“较难题”。我们在作单项选择题中经常会遇到这样的情况:运用逐个排除法,排除到最后,还是剩下了两个备选答案,拿不准哪个对。我们把这类题叫做“较难题”,比前一类难度大,但算不上太难。不要急,你先以简单明了的方式,把它在草稿纸上记录清楚,把容易题和次容易题两类题做完后,再回过头来办它;或者把多项选择题做完,最后办它。在做其它类题(包括多选题)中,你很有可能通过瞻前顾后、回忆联想等方法而受到启发、获得灵感,找到解决办法。如果到最后仍然没招儿,再运用对比判断法也不迟。所谓对比判断法,就是将最后剩下的两个备选答案做反复对比衡量,比较那一个更有道理或者正确的可能性更大,选哪个。 5、瞻前顾后法。在三个或三个以上备选答案中,通过运用前面的任何办法都很难推断哪一个更合理,遇到此情况,可暂时搁置一边,先做下面的题(包括多项选择题),有可能在做下面的题中发现与此题相关的信息,对解答此题也许会有启发和帮助。6、回忆联想法。在瞻前顾后法也不能解决问题的情况下,你只能进行回忆和联想,这基本上是最后一招儿,如果想不起来任何蛛丝马迹的信号,最后只能“蒙”一个。 多项选择题答题三法——注安师考试临场技巧之二1、清醒审题法。多项选择题最重要的是审题。第一,要审清括号里边的答题和得分说明。从去年开始,注册安全工程师考试的多项选择题已经改变了判卷和给分方法,只要你答的正确就给分(正确一个给分,正确两个给1分……,都正确给满分2分),由此我们就要与时俱进,按照新的思维方式去回答多项选择题。第二,要审查清楚题干问的是什么?是需要肯定式回答,还是否定式回答,有人常常由此丢分,出题人往往运用《孙子兵法》中的“趁火打劫”之计,抓住你脑子乱的弱点,在肯定、否定上做文章,让你上当。2、绝对把握法。此法在多项选择题中更为适用,因为给分方法的变革,逼得你不得不采取新的办法来应承。没有百分之百的把握的备选答案,一定不要选。在4-5个备选答案里,你认为有一个是百分之百正确的,那么你就选这一个;有两个,选两个,依次类推。要记住:莫存奢望,得半分是半分;只要有一个选错了,半分也得不到了。3、慎重甄别法。有些题,在他给出的备选答案中,你一个也拿不准。那么,你就进行反复比较,选择一个你认为最有可能正确的,只选一个。要记住:莫存奢望…… 《案例分析》主观题迎接考试四法——注安师考试临场技巧之三一、倍数答题法。对于主观题的题中题(小题),要根据其分值,加倍给出答案。比如某一个小问题,分值为4分,一般情况下,他的标准答案应为4条。那么你就答8条,8对4,为倍数,很有可能会出现这样的情况:他所需要的4条,你的8条全覆盖了,或全沾边。全覆盖当然得满分,全沾边也能得到本题分值70%以上的分数。二、条分缕析法。一要注意分条,清清楚楚地标明1、2、3;二要注意分段,段落代表层次性,有时也代表你具有逻辑性;三要在草稿纸上先拉好提纲,再往卷面上誊写,誊写时注意组织语言,力图全面、精炼、准确。三、书法练习法。卷面的清楚、整洁度和文字书写的美观度往往也是得分的重要因素。答题时务必注意这两“度”,它很可能决定着你是否能够及格。四、卷中借鉴法。答题时遇到难题了,千万莫急。除了回忆联想外,还有一个很重要的方法——“以子之矛攻子之盾”法。主观题往往会出3、4道题,此题的答案往往可能在彼题的题干中隐藏着、埋伏着,或受到彼题的某种启发,这种现象常常出现。 保持良好应考状态五法——注安师考试临场技巧之四1、暂时戒酒。临考十天到两周的时间内不要酗酒,以免影响记忆力。2、提前住宿。周六、日两天考试,周五早晨就应从廊坊出发,中午之前到达石家庄住宿地点;吃完中午饭后,就应到考场看看;鉴于今年参加考试的人更多,还要提前预定房间,提前一个月左右为宜。3、清淡饮食。为保持头脑清醒,临近考试和考试中间,要以清淡饮食为主。4、集中精力。一是临考前的几天以及考试中间,要把别的事情放一放;二是每一科目的考试前,要把其他科目放一放,全身心地投入到即将进行的一科上。5、保持兴奋。临考前要采取自己认为有效的方法,保持必要的兴奋,激发斗志,调动情绪,咖啡、巧克力、浓茶都是好饮料。
Style好好先生
作为一名安全工程师是怎样的体验 在某世界前三云计算公司做安全攻城狮,在中国也有业务但是和世界其他地方是分开的,我不负责中国区。 主要有几大团队 安全运营团队,分布在全世界几大地区,轮流oncall,主要负责应急响应,和内部业务团队沟通处理安全事件等等 安全整合团队,负责将安全作为主要功能结合在产品里 应用安全团队,red team这种,对内渗透测试和代码安全审计。 安全平台团队,写各种安全相关的工具和管理平台。 威胁情报团队,精英都在里面,人数很少技术很牛逼,主要研究botnet和malware。 更神秘的研究团队,挖0day,主要是hypervisor和内核级的。 很多大产品团队本身也有自己的安全团队,我们主要就是有事和他们沟通了。 忙不忙看人品,有时候oncall一大早十来个page,有时候两三天也没一个。 具体负责什么主要看你在哪个团队了。 进入大公司安全部门最大的挑战就是熟悉业务,熟悉业务,熟悉业务,重要的事情说三遍。比如,有人给你们报了某产品有漏洞,你要知道去找哪个团队,由谁负责,又比如你们的扫描器发现某主机存在漏洞,你要知道这个主机是谁负责,上面有什么业务,存了什么数据等等。 另外就是要会写小工具,有时候一下通知几百上千个团队更新软件包是件很痛苦的事情。 主要分为哪几种类型的工作? 主要分类:安全运维,安全审计。按照CISSP,安全要细分十个领域,不过真正在甲方工作的话,职位就这两个差不多了。(不知道保安算在哪一种?) 有些公司是直接分到IT技术部门;有些公司有安全部门,部分公司会有很多安全小团体,共同向安全总监汇报。第三种比较常见。 一般情况下一天的工作时间安排会是什么样子? 不管具体是负责安全哪一块的,都差不多是这样工作的: 开会,总结安全的问题(被黑了,信息泄露了,公司发现了哪些安全脆弱了) 做产品(包括开发安全产品,各种需要的产品,包括写文档之类的,文档很重要,可以把安全信息可视化,主要看公司的需求) 协助其他部门买产品或做顾问(买安全设备,检查别的部门买的设备是否有明显的安全漏洞,检查别的部门的工作会不会影响公司的安全。不仅仅是指参与IT部门的安全啊,甚至包括财务人事等,各个部门,当然会有分工的,不是一个人查全部。) 安全检查(全方位,因为大公司要过安全审计的。这点很琐碎,无所不及,而且还不能影响其他部门正常工作,所以基本是中午啊,半夜啊,虽然会有自动化工具什么的,但是依然心里惦记着,晚上手机震动就会醒了,以为有报警。) 会遇到什么在其他公司难以遇到的挑战? 这里是重点: 1、团队人少是肯定的,安全部门不会很庞大,有经验的就更少了,几乎只有经理级别的有经验。大多数队员们都是来自各行各业(开发啊,运维啊,测试啊)就算是安全公司跳过来的,技能也比较局限,比如人家只会挖web漏洞,给他个二进制的他也不行,给他系统级的安全问题,他也 不擅长,没办法,安全是需要积累的,但是坚持下来的人很少。事多钱少背黑锅。 2、事情杂多杂多的,全部要自己来。一般其他部门的开发就开发,运维就运维,安全部门基本上是自己做的。绝对不可能让开发公司app的或web的团队帮你做安全产品。原因很简单,他们是为公司赚钱的,安全表面上看不出赚钱。所以基本上开发测试上线运维都自己来,虽说自己来是指安全部门或团队自己来,但是由于安全团队不可能跟开发团队人数比,所以实际工作中还是相当于一个人能做的.越多越好。之前说了,安全还要参与别的部门的事情,所以知识面必须很广。比如销售们出台了一个活动,你要放下手里的代码,去看看他们这么玩行不行,会不会有安全隐患。根据经验,人事部门,销售部门经常出问题。IT部门中的开发测试也问题多多,运维也不省心,产品选型必须参与。有时心态也会调整不好,我那边正忙着补一个漏洞呢,你们这种过家家的事还要浪费我时间,但是不去不行啊,你这边好不容易防护过滤通通上了,人家一做活动,大字报一贴,什么奇奇怪怪的信息都能轻易的泄露出去。 3、安全部门地位尴尬。事情要做,但是没人理你。举个例子,要开发安全产品,没有人给你资源,因为开发部门都不够用呢。你要买安全产品,人家不批准,因为安全产品比较贵。你部署的要求,没人理你,什么?你要加一个设备在我的网络里?你要干嘛啊,我们网络组好不容易把网维护的棒棒哒,你别多事。因为安全很难引起管理层的重视。哪怕出了事故了也很难引起足够的重视。 4、永远招人恨。业务部门想出来绝妙的点子。安全部门冲上去说不行!!! 开发部门来不及上新版本了,安全部门冲上去说慢着!!!人事部门只是发邮件收集一下信息,安全部门说等下!!!大家会觉得安全部门太TM烦了。安全部门的要求很难被理解。还会打扰人家。比如人家DBA玩的挺hi的你过去说:季度审计一下,不好意思配合做个。。。沟通永远是个麻烦的问题,更恶心的是安全没有大家想象的那么闲的蛋疼,相反是很忙很忙。已经尽可能避开业务高峰了。 5、专业背黑锅。从CSO开始到工程师都背的。信息安全是全公司的事,并不是安全部门的事。但是大家不会理你的。每次沟通,说的再清楚也没用。因为安全一定会与便利性冲突,没办法CIA原则平衡起来确实困难。漏洞百出安全部门只能看在眼里也没办法。举个例子:安全扫描(这个无论大小公司比做吧,而且一般是半夜做哦)发现一台数据库服务器有系统漏洞。然后跑去跟系统部门说吧,他们不理你,说这是DBA的事情啊。DBA会说:什么漏洞?我们的数据库很安全的,绝对注入不了,安全部门要从何科普起好呢?这还是技术部门内部。其他部门就更坑爹了,业务部门根本无法理解安全部门担心的问题。觉得是想多了,也不好解释这是风险控制吧,不好直接给她们看那个定性的量表图吧?然后出事了,就是安全部门背黑锅,虽然在具体追责的时候会追个人的责任,但是大家对安全部门印象好不起来。”我们的安全部门不行“。经验得,出事情最多的:行政部(社会工程防不胜防)>测试部>运维部>其他部门。 应届生来大公司(如阿里巴巴、腾讯、百度),可能会遇到的最大的挑战与困难是什么? 同上所诉,就是因为回答这个小问题,才决定匿的。个人觉得三家的安全部门百度管理的好一些。但也是50步笑百步,都比较散乱。最乱的是阿里个人感受。要补充说明一下,安全是非常隐蔽的,非专业人士难以评价的,这三家还有一些大公司在安全上都是付出了努力的,但是由于一些非常致命的原因,他们的安全还是会出问题,以及他们自己对安全不到位可能产生的后果的承担能力不同,所以给人感受不同(简单说就是,有企业明确安全目标是:老子不怕你来黑我,这样的指导思想会直接影响安全结果,与企业的一个安全工程师是否优秀无关,安全是打全局战的) 三家都有一个优势,就是他们的安全部门都已经不仅仅是support部门了,都受到公司的重视了,可以有明确的目标,有东西学。比如 阿里的云安全,其实是可以算作“盈利”的存在了。因为保护的用户不是散户而是企业级的用户。 另外,应届生的话,其实就是没有经验的学生,很遗憾的是,学生不等于没有经验,牛的学生足够多,但是!做安全太依赖经验了,所以安全行业的学生等于没有经验。所以,没经验的话我刚刚说的那么些(那些只是一部分工作内容,还不是全部)基本不会给你接触的,所以,学生其实只是做最落到实处的部分,比如:开发。区别就是人家开发app,你开发安全应用咯。一定要说有什么工作上的区别,对学生来说可能就是你要学的东西太多了吧,具体上手不会有太多的区别的。人家开发你也是,人家写文档你也是。所以,学生做安全的一天基本上是这样的: 开发 领导开会回来了,告诉你要继续开发 开发 领导去参与其他部门的安全问题了,告诉你继续开发 开发 验收开发的阶段性成果 下班,下班前做一下安全审计的工作,很简单很耗时 下班回家,担心着自动化的审计工具有没有问题啊? 第二天上班,先查看一下昨天的审计是否顺利,顺利则上交审计数据,不顺利?则今晚重来一遍。 开发。。。 当然,这也只是一种,也有其他的,比如把开发改成运维,审计改成分析log等等,大致就是这个节奏了。 安全工程师工作适合什么样子性格和能力的人,怎么样就算做得“优秀”? 适合打人生下半场的人做。仔细回忆一下,身边做安全的,好像没什么人能坚持下来从事这一行的。因为钱少事多背黑锅。所以尝试转行的基本上都转回去了。学生来做的,纷纷转行的也不少。 真正坐下来的,我认识的从事这行也有5年以上,到十几年的都有。他们已经有很大的不可替代性了,已经是manager级别的了。所以坚持很重要。 回答最后一个问题,网上总会有各种人才,脚本小子也好,漏洞达人也好。我想说一下,那不是安全从业者追求的状态。原因是这样的,安全是正当职业。虽然黑客也可以赚钱,而且暴利。但是很难洗白。真正的需要安全人才的公司不要流氓的。另外一个原因,安全很大的只是宽度,而不是深度。当然,深度也需要,只是没宽度重要。现在可以做黑客,找漏洞。那么10年之后呢?还继续找漏洞?10年后公司不是需要一个找漏洞的人,而是可以保护企业安全的人,那时候你要可以全面评估企业资产安全,制定计划,出台安全政策。说了安全有10个领域,局限于一个是不行的。 最后说一下:安全不会比开发这种工作工资高的哦。都说了不受重视了。所以很有可能题主找工作的时候直接奔着钱就去做开发了,还懂些安全很受欢迎了。或者觉得开发简单一心做开发就好了,安全学那么多学都学不完。我技术不差为什么要受人指点,转行吧。这两个诱惑可以过,基本就适合做安全。 利益相关:CISSP,工作经历:大公司安全工作人员(SIEM),曾在乙方主要做加密,DLP等方向。;
不求多友但愿长久
1、通过了安全工程师的考试,获得了相关资格证书,还能挑战安全总监这一岗位。自从深圳、青岛等地发文实行企业安全总监制,安全总监的薪资待遇也是水涨船高,目前,安全总监的市场年薪可达50万,就业前景非常乐观。2、考到注册安全工程师证书是自我价值的一次提升,不仅能增加更多的知识,还能提升更多的技能。3、拥有注册安全工程师证书让自己更值钱,今后也会有更多更好的机会等着你。
优质工程师报名问答知识库