选择IT安全中的路径

Question

我去年毕业于一个信息与安全学位课程。这个项目是在加拿大的一所大学里完成的。它使我具备了所有领域的基本安全知识:网络、包括Linux和Windows在内的系统、web应用程序等等。我们在渗透测试、在Linux中设置服务(如DHCP、DNSSEC、web服务器和法医工具)方面有丰富的实践经验。我们还学习了如何审核Windows环境，以及如何基本学习任何具有安全意图的工具。从技术上讲，这个程序给了我对安全、治理和技术的理解。

现在我在一家公司工作，我是公司里唯一的保安。我担任IT安全工程师一职。这就是我通常所做的：-根据最佳实践开发和设计Windows标准和GPOs建立和管理web过滤和代理解决方案-实现和管理端点保护和垃圾邮件过滤器-为所有事物(web应用程序、网络、物理安全、密码、可接受的使用...etc)编写安全策略和标准-参与通过web、电话和个人身份验证机制的设计-建议设计日常业务流程的安全自动化-必要时提供服务台支持

正如你所看到的，这是一个广泛的领域，我正在工作。我觉得自己负担过重，我正在失去对该走哪条路的关注。我的经理派我去参加ISO27001 LI/LA培训，我通过了两个考试。因此，我是ISO27001首席实现者和首席审计员认证的。这一培训使我进入了安全的治理方面。我热爱安全和它的所有部分，然而，我相信我仍然年轻，我想继续做一些技术方面的工作，因为我将在以后的生活中获得治理/管理职位，当我获得可能的CISSP，CISM等等。

现在我觉得在一项重大任务中我不可能完全可靠。例如，我知道如何构建基本的AD、DNS、Exchange、SQL、VM环境。我知道如何使用Backtrack/Kali Linux执行基本渗透测试，并完成报告。我了解IPS/IDS技术，但从未广泛使用过它们。我真的迷路了。

我不相信我想要网络安全(CCNA > CCNA Sec > CCNP > CCNP Sec)。我认为我对(PKI、证书、IIS ...etc)也很差。

我也认为我不具备系统/安全管理、软件安全或数据库安全管理或分析师的技能，甚至连网络安全工程师都不具备。我迷路了！

问题是，你建议我怎么做？哪一条认证途径能提高我的技能？你认为我现在在公司做的事对我的未来和技能是健康的吗？

我觉得我从大学里学到的东西都是我付出的，但我并没有获得知识和有价值的知识。

请提供建议。

谢谢。

Answer 1

因为这个问题很长。答案很短:做你喜欢做的事并享受它。你走哪条路并不重要，只要它能让你每一步都更有见识。