安全架構師需要具備什麼能力?

現在的安全架構師能力參差不齊,那究竟具備什麼樣的能力,能被稱的上是合格的安全架構師?


根據個人經驗作答,僅供參考(大牛請忽略)。

架構是指組件+組件之間的關係。

安全架構就是安全體系的主要組成部分+組成部分之間的關係(針對具體的產品而言,產品的安全架構就是構建產品安全特性的主要組件及其關係)。

常用的安全技術基礎或常識、安全機制、演算法、工具組件、安全要素、獨立實現某種安全功能的安全產品,甚至組織、人員、策略、資源、流程等非技術的因素也可以參與進來,成為安全架構中的組件;而安全規劃、安全架構、安全流程則把這些組件組合起來,產生關聯關係,構建安全的產品、安全的體系或安全的能力(安全能力包括但不限於抗攻擊能力、高可用能力、防止泄密的能力、流程保障的能力等)。

1安全技術基礎

(1)常見的身份認證機制(密碼、SSO、OAuth2、AD/LDAP、802.1x、RSA Token、證書/U-Key/Smart Card、Google Authenticator、生物認證等),以及與認證相關的CAPTCHA機制、鎖定/防撞庫機制;

(2)常見的授權與訪問控制措施(強制訪問控制、自主訪問控制、RBAC等);

(3)常見加密演算法、特點及適用場景、用法;

(4)熟悉數字簽名機制、證書的用法、證書的合法驗證、簽名的驗證;

(5)基本的編程能力,能夠自行搭建並編寫攻防Demo演示,熟悉防範高危漏洞的最佳實踐,能夠向開發設計及測試人員輸出培訓;

(6)具有常見安全要素的全局視圖,安全技術方案應當包含哪些安全技術要素(或基本單元,如身份認證、授權與訪問控制、密碼技術、審計與取證、完整性防護、業務安全 等),以及該安全要素所處哪一層級;比如:基於802.1x的認證是屬於網路層的身份認證。

(7)熟悉安全要素與安全產品的關係,熟悉業界主流安全產品基本功能、覆蓋哪些安全要素、解決什麼問題。

2構建安全基線與安全流程改進

(1)能夠建立與完善所在組織的安全基線:安全標準、安全設計規範、安全部署/配置規範;

(2)配合網路安全管理體系的建設,能夠推動將安全基線嵌入組織流程並落地,特別是項目管理流程 和 IT服務管理流程。

3安全基礎設施的架構規劃與項目管理能力

(1)能夠規劃並逐步建立/完善安全防禦體系的基礎設施(立體防禦體系),以達成主要的安全目標,覆蓋業務面臨的主要風險;例如大多數公司需要防止入侵或被DDOS攻擊;在一些涉密的單位,還需要防止文檔泄密(實施DLP及員工網路行為審計等);大型涉密企業還需要基於大數據建模,進行業務日誌的安全威脅分析,挖掘APT攻擊線索。

(2)規劃立項,執行項目管理,外購安全產品或自研安全產品,並實施上線,安全運營+持續改進。

4業務安全實踐經驗

不同的公司有不同的業務,如針對典型的跟資金相關的業務,能否從設計上就形成完整的證據鏈,能夠防篡改、防抵賴、防重放,避免錯誤交易。

在實踐的過程中,不斷反思並改進上述提到的各個部分(PDCA)。

大多安全架構人員的能力提升就是在持續的與各業務打交道的實踐過程中提高的。

另,各公司業務不同,需要的技能也必定有所出入。

僅供參考(大牛請忽略或幫忙提出指導意見)。

===================================================

此回復已在微信公眾號【網路安全生命周期】 分享,

可搜索Security_SDL 、網路安全生命周期 或掃描如下二維碼 關注,

網路安全體系建設相關文章原創與分享。

http://weixin.qq.com/r/Q0hSSr-EsuLNrfsp9x1R (二維碼自動識別)


關鍵是企業要麼要求大牛,要麼就乾脆不要或者外包。

我本人高級網路工程師(linux)軟體開發高級工程師,軟體測試高級工程師,高級信息安全工程師,都考了工信部的證,國家副高職稱,目前就只能做做測試方向的。最大問題還是企業需求,還有對安全工程師的需求。


首先需要的,也是最重要的是,心裡要強大,頂得住壓力。

安全架構上的事情,你會遇到很多"天下無賊"式天真的朋友。


1,懂開發技術

2,懂網路安全

3,懂容量管理


推薦閱讀:

網站入侵三字經該如何解讀?
網站一直在被攻擊,真想成為黑客,反擊他大爺的們?我該怎麼辦?
作為一名黑客(或白帽子)是什麼體驗?
怎樣看待各大SRC無底線捧高所謂的白帽子?
成為一個黑帽需要掌握那些技能?求一學習思路。?

TAG:架構師 | 白帽黑客WhiteHat |