如何成为一个安全架构师
如何成为一个安全架构师,安全架构师需要什么样的能力?首先要理解什么是安全架构,安全架构包含哪些组件,如何将这些安全组件合理的组织在一起形成一定的战斗力,这是非常关键的。
安全架构
架构是组件与组件之间的关系,而安全架构是指安全组件与安全组件之间的关系。作为安全架构师需要做的就是要将跟安全相关的所有组件如何合理的组织到一起,使得每一个组件都能充分的发挥其作用,营造一个更加安全的环境。
安全组件
常用的安全技术基础或常识、安全机制、算法、工具组件、安全要素、独立实现某种安全功能的安全产品
组织、人员、策略、资源、流程
身份认证
密码、SSO、OAuth2、AD/LDAP、802.1x、RSA Token、证书/U-Key/Smart Card、Google Authenticator、生物认证等
CAPTCHA机制、锁定/防撞库机制
访问控制
强制访问控制、自主访问控制、RBAC等
加密算法
常见加密算法、特点及适用场景、用法;
证书
熟悉数字签名机制、证书的用法、证书的合法验证、签名的验证;
编码能力
基本的编程能力,能够自行搭建并编写攻防Demo演示,熟悉防范高危漏洞的最佳实践,能够向开发设计及测试人员输出培训;
全局观
具有常见安全要素的全局视图,安全技术方案应当包含哪些安全技术要素(或基本单元,如身份认证、授权与访问控制、密码技术、审计与取证、完整性防护、业务安全 等),以及该安全要素所处哪一层级;比如:基于802.1x的认证是属于网络层的身份认证。
业界安全产品特性
熟悉安全要素与安全产品的关系,熟悉业界主流安全产品基本功能、覆盖哪些安全要素、解决什么问题。
组件组合
安全规划、安全架构、安全流程
1 能够建立与完善所在组织的安全基线:安全标准、安全设计规范、安全部署/配置规范;
2 配合网络安全管理体系的建设,能够推动将安全基线嵌入组织流程并落地,特别是项目管理流程 和 IT服务管理流程。
构建体系
安全的产品
安全的体系
安全的能力 ---- 抗攻击能力、高可用能力、防止泄密的能力、流程保障的能力
1 能够规划并逐步建立/完善安全防御体系的基础设施(立体防御体系),以达成主要的安全目标,覆盖业务面临的主要风险;例如大多数公司需要防止入侵或被DDOS攻击;在一些涉密的单位,还需要防止文档泄密(实施DLP及员工网络行为审计等);大型涉密企业还需要基于大数据建模,进行业务日志的安全威胁分析,挖掘APT攻击线索。
2 规划立项,执行项目管理,外购安全产品或自研安全产品,并实施上线,安全运营+持续改进。
安全实践经验
不同的公司有不同的业务,如针对典型的跟资金相关的业务,能否从设计上就形成完整的证据链,能够防篡改、防抵赖、防重放,避免错误交易。
在实践的过程中,不断反思并改进上述提到的各个部分(PDCA)。
大多安全架构人员的能力提升就是在持续的与各业务打交道的实践过程中提高的。
其他建议
首先需要的,也是最重要的是,心里要强大,顶得住压力。安全架构上的事情,你会遇到很多"天下无贼"式天真的朋友。
相信自己还有没想到的部分;考虑现有控制措施可能会失效;认识到无法解决所有安全问题。
勤膜拜,勤学习,勤思考,勤动手,脚踏实地,一步一步来,始终可以成为高手的。
关键点记录
1 具备黑客思维,能够预测攻击者非授权访问公司系统会采用的战术
2 有必须加班的时候,而且要随时跟进最新安全威胁和可用工具
3 CISSP(信息系统安全师)认证
4 无时不在。在攻击发生过程当中都要做出相应防护,无论攻击发生之前,之中,还是之后,可能都是有相应技术来主导攻击。阻挡不了就要快速响应攻击,减少损失。这个是无时不在的概念。
5 无处不在。在任何的地方都需要部署相应的安全方案,这个全球互联的时代已经没有安全边界,这个时候园区网,数据中心,终端,云环境,甚至工控网络当中都是需要安全的防护。整个安全需要无所不在,无处不在,无时不在。
如果你也想在IT行业拿高薪,可以参加我们的训练营课程,选择最适合自己的课程学习,技术大牛亲授,7个月后,进入名企拿高薪。我们的课程内容有:Java工程化、高性能及分布式、高性能、深入浅出。高架构。性能调优、Spring,MyBatis,Netty源码分析和大数据等多个知识点。如果你想拿高薪的,想学习的,想就业前景好的,想跟别人竞争能取得优势的,想进阿里面试但担心面试不过的,你都可以来,群号为:71859422
注:加群要求
1、具有1-5工作经验的,面对目前流行的技术不知从何下手,需要突破技术瓶颈的可以加。
2、在公司待久了,过得很安逸,但跳槽时面试碰壁。需要在短时间内进修、跳槽拿高薪的可以加。
3、如果没有工作经验,但基础非常扎实,对java工作机制,常用设计思想,常用java开发框架掌握熟练的,可以加。
4、觉得自己很牛B,一般需求都能搞定。但是所学的知识点没有系统化,很难在技术领域继续突破的可以加。
5.阿里Java高级大牛直播讲解知识点,分享知识,多年工作经验的梳理和总结,带着大家全面、科学地建立自己的技术体系和技术认知!
6.小号或者小白之类加群一律不给过,谢谢。
目标已经有了,下面就看行动了!记住:学习永远是自己的事情,你不学时间也不会多,你学了有时候却能够使用自己学到的知识换得更多自由自在的美好时光!时间是生命的基本组成部分,也是万物存在的根本尺度,我们的时间在那里我们的生活就在那里!我们价值也将在那里提升或消弭!Java程序员,加油吧