就像“安全”看起来一样小众，它实际上包含一些主要类型的角色和几个覆盖领域。这些其实是很不一样的...

常见角色：

• 企业 IT 安全部门
  这些人通常主要处理策略实施、审计、用户意识、监控、一些企业范围的计划（例如 SIEM、IdM 等），以及偶尔的事件响应。也可能在购买第 3 方产品（无论是 COTS 还是 FOSS）以及任何外包 RFP 中提供安全 PoV。
• 开发组中的安全团队（无论是在企业中还是在开发商店中）
  主要处理程序员的教育和培训、一些安全测试（或处理外部测试，见下文）——这包括渗透测试和审查代码，可能定义安全特性。一些组织将让安全团队也管理风险、参与威胁建模等。
• 外部顾问/审计员/安全测试员
  这通常以某种形式涵盖以上所有内容，通常强调渗透测试、代码审查和监管合规性审计（例如 PCI）。此外，作为安全专家，其他类型组织的首选人员，例如提供所有相关建议....因此通常期望（尽管不一定是这种情况;-)）更新比谁都。
• 研究人员
  这可以包括学术水平的研究，例如密码学家，以及一些大型安全供应商的研究部门，研究和搜索新的漏洞利用/病毒/攻击/缺陷/缓解模型等。这些实际上可能完全不同，供应商研究通常被视为产品开发，而学术研究 - 好吧，我真的不能说，因为我不知道......

同样，在上述所有领域都有不同的专业领域，一个领域的专家在任何其他领域不一定有什么聪明的说法：

• 网络安全，例如路由器、防火墙、网络分段和架构等。
• O/S 安全，当然根据O/S 风格进一步细分（即Windows 安全专家和Linux 安全专家可能不太了解对方的东西）。
• 应用安全——即如何安全编程（根据语言、技术等可能需要细分），还有应用层攻击，例如Web攻击等。
• 风险管理专家 - 更多关注业务方面，更少关注技术
• 合规官 - 有些地方有这些专门的，他们是所有相关法规等方面的专家（请注意，这是边缘律师般的工作！）
• 身份架构师 - 适用于具有复杂 IdM 实施等的大型、有安全意识的组织......
• 审计和取证专家主要处理 SIEM/SIM/SOC，以及事后调查。

最重要的是，有些人专门构建安全系统（在堆栈的每个级别），有些人花时间破坏它们——而且并不总是共享专业知识。

我可能会跳过更多的利基利基市场，但你开始明白了……正如你所看到的，保安人员或女孩每天所做的事情是广泛而广泛的随着他们工作的公司和他们工作的系统而变化。大多数情况下，这确实需要转换几顶帽子，并且主要从事短期任务......但保持不变（通常）是要求关注风险（和威胁），无论它是否主要是定义防火墙规则的技术工作，或与业务和律师类型就组织当前的安全状况进行沟通。

至于如何进入这个领域？理想情况下，您在其他领域有一些经验（最好是专业知识），然后您可以专注于安全性。
你曾经是网络工程师？太好了，从关注网络安全开始，然后从那里开始。
您目前是系统管理员？太好了，您可能已经在安全方面做了一些工作，开始在该领域学习更多。
你从小就开始编程，想转行做安全？太棒了，您应该已经在学习输入验证、密码学、威胁缓解、安全数据库访问等...了解更多信息，找出您缺少的内容，然后给我打电话;-)。
等等……另一方面，如果你没有背景并且想开始从事安全工作，那就更难了——因为正如我所解释的，大多数情况下，安全人员被期望成为任何领域的专家。您可以尝试加入一个渗透测试团队，并从那里成长......重要的部分是专注于风险管理（以及，对于技术，威胁建模）。

我还强烈建议阅读大量的安全书籍和博客（我喜欢 Bruce Schneier 的东西），并在应用程序方面尝试使用OWASP。

为了将来的参考和完整性，我还想补充一点，英国网络安全挑战赛网站有一个很好的列表，列出了 8 个不同类别的安全角色，并根据信息安全专业人员协会 (IISP ) 的定义对每个角色和示例角色进行了解释）（我想经过研究）。

http://cybersecuritychallenge.org.uk/careers/typical-roles/

我在这里引用内容：

事件和威胁管理人员、取证专家。

不管怎样，你的工作就在采煤面上。您可以管理组织网络的安全性并将攻击者拒之门外。您可能为一家测试其他网络的公司工作，以评估他们的安全性并建议如何使他们更不容易受到攻击。没有人能够避免所有事件，因此您也可能是事件经理，能够在危机中快速响应并管理影响。企业可能会做出艰难的选择。您将需要与其他经理一起工作，他们可能不了解发生的事情或需要做什么才能让系统恢复工作，但他们会知道如果某些功能停止对业务的影响。您可能需要进行取证分析——了解攻击者是如何进入的以及他做了什么。计划如何应对不同的事件，平衡所有不同的需求对于妥善管理危机非常重要，您很可能成为业务连续性计划团队的重要成员。在这个领域有一些非常技术性的工作，检查新的恶意软件，制定对策等等。此外，当然，现在并非全部都在网络上，因为移动设备越来越多地保存更多数据并执行以前只能在计算机上才能执行的功能。制定对策等等。此外，当然，现在并非全部都在网络上，因为移动设备越来越多地保存更多数据并执行以前只能在计算机上才能执行的功能。制定对策等等。此外，当然，现在并非全部都在网络上，因为移动设备越来越多地保存更多数据并执行以前只能在计算机上才能执行的功能。

此类别中的示例角色：事件和威胁管理和响应。事件经理、威胁经理、取证 - 计算机 - 移动和网络 - 分析师、CSIRT、攻击调查员、恶意软件分析师、渗透测试员、灾难恢复、业务连续性。

风险分析师和经理。

要做到这一点，您需要了解不同的威胁将如何影响企业，并就需要掩盖和承担哪些风险提出建议。董事会将听取您的建议，您需要能够用非技术语言解释风险，清楚地显示对业务的影响。一些风险经理不是技术人员，而是通过业务提出的，其他风险经理来自业务的技术方面。有些人参与网络审计，并确保了解和处理合规性问题。对我们调查的一份答复说，这些人“去与我们的客户讨论风险和合规性，解释法律，立法的任何变化，识别弱点并帮助客户遵守”。

此类别中的示例角色：风险管理、验证和合规。风险分析师、风险评估员、业务信息安全官、审查员、审计员。

政策制定者和战略家。

这些人设计了将定义公司如何处理许多不同安全风险的安全策略。获得正确的政策是组织履行其法律义务的必要条件。让人们实施政策意味着向人们展示政策为何重要，并提高人们对不遵循建议的潜在后果的认识。在私营部门，您有 CISO（首席信息安全官）领导这项工作，通常由团队支持。在政府中，有 ITSO（IT 安全官员）和 DSO（部门安全官员）。后者负责物理、人员和信息安全问题，IT 安全官通常向他们报告。

此类别中的示例角色：战略、政策、治理。战略家、政策经理、ITSO、DSO、CISO。

运营和安全管理。

您可能负责保护贵组织在其网络、笔记本电脑或移动设备上的数据。由于我们都选择了不同的工作方式，而新技术的发展每天都在创造新的可能性，你必须跟上时代的步伐。您可以管理加密和其他保护措施，例如防火墙规则、安全日志和事件报告。

此类别中的示例角色：运营和安全管理。网络安全官、系统安全官、信息安全官、加密保管人、信息管理员。

工程、建筑和设计。

如果您可以正确设计系统，那么您可以使攻击者难以进入。但是情况每天都在变化，如果您要跟上，您将需要快速运行。您可能正在处理硬件或软件、设计和开发或安全应用程序。您可能是一位才华横溢的安全软件编写者——我们过去有太多的编码人员受到市场先行压力的驱使，对安全性认识不足。您可以设计安全工具或出售它们。销售和营销是业务的重要组成部分。

此类别中的示例角色：工程、建筑和设计。建筑师、设计师、开发、安全编码、软件设计和开发、应用程序开发。安全工具，实施。

教育、培训和意识。

培训是当今我们大多数人的持续需求。随着新技术的上线，员工需要了解如何有效地使用它们，以使企业能够安全地生存和成功，从而管理新的风险。专家们也需要保持最新状态，以便他们了解新的攻击媒介、管理安全的新方法、评估和沟通风险的新方法。一些销售工作与这项工作密切相关，因为他们教育客户了解他们在业务中需要什么。有许多培训公司可以处理所有级别的培训，最好的公司会努力使他们的材料保持最新。我们调查中的一位受访者将他的工作描述为：“提高对内部网络安全相关事务的认识，并将其作为对其他组织的服务。

此类别中的示例角色：教育、培训和意识。安全项目经理。

研究。

有许多研究领域，一些是高度技术性的，而另一些则更多地以政策为导向。有些人创建了复杂的模型来帮助我们理解变化速度快于我们在没有技术帮助的情况下无法理解的情况。其他人则在思考未来的技术以及它们如何帮助我们更好地管理安全。调查的受访者将这些工作描述为“研究新技术以管理风险并学习使用新技术管理风险。大多数从事安全研究的人都集中在前者、加密、防火墙等方面，但后者，保护 Internet 2.0 更为重要”；“寻找下一个‘大事’”；“研究在现实世界中进行攻击的方式。跟踪各种类型的恶意软件及其变化方式，从而可以防止针对客户的重大攻击。根据现实世界中看到的情况发明新产品，并与开发人员合作生产这些产品。”

此类别中的示例角色：研究。安全研究员。

专门为互联网犯罪和数据保护提供建议和起诉的律师。

数据安全和互联网犯罪的建议和起诉。起诉这些罪行的肇事者并不容易，公司需要帮助以了解他们的责任并将证据放在一起。由于近年来的数据丢失，法律发生了一些重大变化。例如，未充分保护系统上人们数据的组织可能会被处以高达 50 万英镑的罚款，因此许多人希望对其安全策略进行审核，以确保其符合目的。

此类别中的示例角色：就数据保护和互联网犯罪提供建议和起诉的律师。

自从最初提出这个问题以来，业界一直在努力寻找答案。

NIST 的国家网络安全教育倡议 (NICE) 网络安全劳动力框架概述了一个明确的列表，它描述了信息安全中的52 个工作角色。

Authorizing Official/Designating Representative
Security Control Assessor
Software Developer
Secure Software Assessor
Enterprise Architect 
Security Architect 
Research & Development Specialist 
Systems Requirements Planner 
System Testing and Evaluation Specialist 
Information Systems Security Developer 
Systems Developer 
Database Administrator
Data Analyst 
Knowledge Manager
Technical Support Specialist
Network Operations Specialist
System Administrator
Systems Security Analyst
Cyber Legal Advisor 
Privacy Officer/Privacy Compliance Manager
Cyber Instructional Curriculum Developer 
Cyber Instructor 
Information Systems Security Manager
Communications Security (COMSEC) Manager
Cyber Workforce Developer and Manager 
Cyber Policy and Strategy Planner
Executive Cyber Leadership 
Program Manager 
IT Project Manager
Product Support Manager
IT Investment/Portfolio Manager
IT Program Auditor
Cyber Defense Analyst
Cyber Defense Infrastructure Support Specialist
Cyber Defense Incident Responder 
Vulnerability Assessment Analyst
Threat/Warning Analyst
Exploitation Analyst
All-Source Analyst
Mission Assessment Specialist
Target Developer
Target Network Analyst
Multi-Disciplined Language Analyst
All Source-Collection Manager
All Source-Collection Requirements Manager
Cyber Intel Planner
Cyber Ops Planner
Partner Integration Planner
Cyber Operator
Cyber Crime Investigator
Law Enforcement /CounterIntelligence Forensics Analyst
Cyber Defense Forensics Analyst

虽然上述某些内容可能不是每个组织（例如“软件开发人员”）中的纯粹“安全”，但它们中的每一个都可能在不同组织中完全或部分专门从事安全性。

SANS 研究所以 5.00 美元的价格提供了一本关于该主题的小册子：信息安全领域的 20 个最酷的工作。该网页列出了标题以及一些示例描述。