你越是努力地为你的关系网选择合适的成员，你的关系网就能越有效地帮助你实现自己的最终目标，即实现你的信息安全职业目标。比如，吸引一个从事相同 信息安全工作的同事要比寻找一个能够促进你职业发展的CIO或者CISO容易得多。而在这篇文章中，我们将提供一些关于接近这几种人的方法。

去那些可以让自己显得独特的地方

作为一个群体，信息安全职业人员大都倾向于跟他们的同行进行沟通。这样做虽然很容易，但效果却并不好。虽然可以跟那些具有类似职位以及面临类似挑战 的同行们愉快地交流“战争故事（war stories）”，但他们并不会给你的职业关系网增加多少独到的见解。

在一开始的时候，你可以寻找那些你能够提供特殊知识的群体、组织或者社会环境，并且那里的人们也对你的独特视角感兴趣。这些听众通常有很多是高层人 士，他们急切的想了解信息安全知识。比如，如果你是一个侧重于卫生医疗方面的信息安全职业人员，那么你应该加入一个由医院管理人员、医院CFO和CIO构 成的组织。通过与这些人分享你的观点，你能够跟那些欣赏你的观点并且需要你帮助的人发展可信赖关系。如果他们需要你的知识，那么你就可以要求他们以自己的 专业知识作为回报。

非专业群体也可以提供帮助。这些群体包括慈善机构、宗教团体或者特殊利益团体等。这些外部群体里有许多处于不同的生活阶段和事业阶段的人，在很多情 况下你会发现这些人中会有人给你的职业关系网提供独特的价值，并且愿意帮助你事业的发展。

吸引同类安全职业人员

在信息安全行业中，协作是成功的关键因素之一。正因为如此，安全职业人员常常聚集在一起，要么在本地会议（ISSA、OWASP、 CitySec）、全国性会议（Black Hat、RSA Conference、Shmoocon、Security B Sides）上，要么在WEB上（Security Twits、LinkedIn群）。利用这些群或会议来向人们显示你的知识、组织技巧以及对自己事业的努力投入。

你需要采取积极的态度，比如你可以成为一个研究项目的成员、做一次报告、成为一个社交网站的会员、或者负责某次会议的后勤工作等，这都是些比较简单 的工作。参与这些活动能让你更好的与其他信息安全职业人员进行交流，不管你们是否有相同的职业目标和视角。随着你对这些人的进一步了解，你可以更好地判断 作为你信息安全职业关系网的成员，他们能否带来相应的价值。

亡羊补牢，为时未晚

建立自己的职业关系网需要积极努力、主动出击。许多信息安全职业人员所犯的最大错误就是在自己处于过渡期或者窘迫期的时候才想起编织他们的关系网， 而在自己职业生涯如日中天的时候却忽视了这个关系网。这并不是建立成功的职业关系网应有的策略。

当一个情况不佳的信息安全职业人员开始联系以前的关系时，他的这种交流活动很明显是为了个人，而不是互惠互利。你需要牢记的是，如果你在能够帮助别 人、也会接受别人帮助的时候就注重编织关系网，那么你将会更加有效地吸引合适的人员，并能够最大限度地利用他们的帮助。

让你的关系网发挥作用

这取决于个人如何使用他们自己所建立的关系网。你的目的可以包括职业发展、“失业保险”、建立个人品牌、评估个人技术水平、规划自己的职业生涯、决 定未来职业投资以及理解自己的市场价值等等。重要的是，你要跟你的关系网成员制定某些指导方针，以便于实现自己的职业目标。有些指导方针必须要制定，比如 可接受的话题、保密以及信息分享等。而有些则不必这样明确，比如互动的频率、反应时间以及介绍额外的关系网成员等等。

不管你决定创建什么样的指导方针，重要的是你要能够达成协议、协商条款，这对所有相关各方都适用。一旦这些确定之后，你自己以及其他关系网成员都需 要对这些标准负责，这对大家来说都同等重要。这是为什么所有成员都要为这份关系增加价值的主要原因。比如，如果你不能再继续帮助你的那些CIO成员解决他 们的安全问题，那么他们也没有理由及时回应你的个人技能发展请求。

在关系网的帮助下提升你的事业

你的职业关系网应该类似于公司的董事会。公司的管理人员利用董事会来增加自己的经验、验证自己的观点，并且创建新的业务机会。例如，通过参考关系网 中相应人士的经验教训，你能获得一个可信赖的个人技能水平评估（强项和弱点），从而决定在实现自己职业目标的过程中哪些是你需要提高的重要技术。你可以利 用关系网来验证自己主要的职业决定，这包括各种机遇的选择，或者将来的职业投资决定等，比如安全认证或者高级学位。

你的关系网可以帮助你得到新的工作机会，要么通过别人的推荐，要么通过直接雇用的方式。如果拥有一个有效的关系网，你自然而然就能加深对那些适合你 职业发展的信息安全职位的认识。在跟信息安全职业关系网互动的时候，请记住以上这些方面，并在每次交流的时候都把它们结合在一起。

建立有效的信息安全职业关系网不是一件容易的事情，而要想让这个关系网有效的运行你还需要许多的努力。当你试图建立自己的关系网时，请记住其他人可 能不会跟你一起承担你对自己的职业发展所做的工作和努力，他们有这种权力。建立关系网的关键是要寻找那些跟你的工作动力、动机以及职业成功定义相似的人。 如果有这样一群人的支持，那么你实现职业目标的成功几率将更大。

相关文章

• 2010年04月7日 -- 从2010 RSA看信息安全发展趋势
• 2008年12月3日 -- 信息安全走向漫谈
• 2006年10月30日 -- 信息安全从业参考

　　在美国旧金山召开的RSA 2010 Conference汇集了各界代表，其中主要是信息安全厂商及相关的科技人员、学者，相对于产品展示，主题会议更能全面、深入的反应业界声音。笔者结合对参展产品的综合统计分析，可以初步理清一些发展趋势，整理出来供大家参考。

　　一、安全信息与事件管理渐成气候

　　在此次展会上约有一半企业展示了安全管理产品和解决方案，特别是安全信息与事件管理SIEM（Security Information and Event Management）。

　　一方面是因为设备越来越多，网络、主机及安全设备记录了大量日志，集中收集并综合分析，及时准确定位安全事件已成为普遍需求，是信息安全向高级阶段发展的必然趋势；另外一方面是合规的要求，如国外的SOX法案、国内的等级保护对审计均有明确要求。此次展会上，既有Arcsight等老牌安管产品厂商，也有HP、IBM等传统网管厂商展示SIEM产品，还有传统的身份认证厂商RSA介入该领域。

　　二、法规符合正在成为刚性需求

　　大多参展的国外厂商都在强调产品符合GRC（Governance, Risk Management and Compliance）、PCI（Payment card industry）、SOX（Sarbanes-Oxley Act，简称SOX法案）相关标准，国内即将全面启动的等级保护整改工作也必将提出明确的技术要求，今后产品的研发和部署都必须满足标准要求，各种解决方案首先要符合相应的法规需要。

　　三、云计算在安全服务上的应用日益普遍

　　因为安全威胁日益复杂多变，同时用户对安全提出更高的要求，如能借助云计算技术，实现大范围的监控分析，进而实时响应，如告警通知、特征升级等，最终提高对网络攻击、病毒/木马、钓鱼诈骗等网络威胁的响应速度。目前如IPS/UTM、防病毒软件/网管、终端安全等产品可使用该类服务，还需研究如何应用到数量更多的老设备如防火墙上。可以想见，真正面向业务应用的云计算时代到来或许还需要较长时间，但云计算技术用于信息安全保障服务正在脚踏实地的发展，相信未来在认证、授权管理领域还会有更新的尝试。此次参展的Symantec、TrendMicro等公司还在持续完善该类解决方案，恶意软件过滤厂商、网络安全设备厂商和Web安全厂商都在利用该类技术应对新的威胁。

　　四、云计算架构下如何保障安全成为真实挑战

　　此次RSA会议上，对云计算的质疑声音越来越少、越来越弱。云计算作为IT发展的下一个关键方向已经基本得到了确认，最大的阻力——安全问题——已经被逐渐具体化，同时在VMWARE虚拟机保护、远程接入及终端数据防护方面已经出现了有针对性的解决方案。相信随着云计算商业成功案例的不断增多，相应的安全解决方案会越来越多，越来越成熟，传统安全厂商必须要高度重视这个发展方向。

　　此次RSA大会全新的东西不多，真正的挑战在于云安全防护、身份管理和数据保密老树开新花、产品和技术再次活跃，而目前的突破性技术或者产品还未出现，需要厂商和研究机构继续共同努力。（文/联想网御 CTO毕学尧）

相关文章

• 2010年05月3日 -- 如何利用有效的信息安全职业关系网
• 2008年12月3日 -- 信息安全走向漫谈
• 2006年10月30日 -- 信息安全从业参考

相关文章

• 2010年05月3日 -- 如何利用有效的信息安全职业关系网
• 2010年04月7日 -- 从2010 RSA看信息安全发展趋势
• 2008年12月3日 -- 信息安全走向漫谈