前言:网络安全架构师肩负着设计并施行全面的网络安全框架之重任,旨在守护组织的数字资产安全。他们的工作举足轻重,能够保障组织在推进数字化转型进程之际,构筑起强大的安全态势。摩根大通的网络安全运营副总裁兼安全架构总监 Lester Nichols 断言,网络安全架构师必将成为所有现代企业不可或缺的关键岗位。
然而,此工作绝非易事,需多年的技术积累与安全运营经验作为支撑。对于有志于成为网络安全架构师的专业人士而言,通过研读 Nichols 所著的《网络安全架构师手册》,能够深度洞悉网络安全架构师角色的繁杂性以及胜任该角色的方法。Nichols 在书中提议,在成为架构师之前,首先应当在网络运营或安全管理员等早期职位上砥砺技能,并熟练掌控以下方面的基本技能与知识:
通晓网络。众多网络攻击均发生于连接网络的设备之上,故而分析师需熟知有线网络与无线网络,并制定具有针对性的保护方案;
深谙操作系统。几乎所有操作系统皆存有安全隐患,倘若对 MacOS、Windows 和 Linux 及其命令行界面了如指掌,对于胜任网络安全架构师工作将大有裨益;
了解编程。网络安全架构师的工作虽无需大量编写代码,然而对 JavaScript、Python 和 C/C++等编程语言具备一定的基本认知,可使自身更优地理解攻击任务的执行流程,以及应当如何拓展系统的功能。
上述方面涵盖了网络安全工作中“80%至 90%的繁难苦活”,然而其他高级别的网络安全工作皆建立于它们的基础之上。从初级网络安全职位晋升为高级网络安全架构师需跨越重重难关。本文摘选自《网络安全架构师成长手册》第 7 章的部分内容,提供了成为网络安全架构师的发展路线图,涵盖实现目标的步骤、学习规划和培训建议。
表一:成为网络安全架构师的成长途径
对于刚迈入技术职场的安全人员来说,早期角色往往侧重于打造核心能力,比如网络、系统管理和基本编程。在这个阶段,避免过早确定专业化方向,广泛探索网络安全的周边领域非常重要。在这个阶段,不断学习新的技术和技能,尝试网络安全意外的业余项目,避免自满情绪是成功的关键。A+、网络+和特定语言编程证书之类的认证有助于增强新进入者的行业信誉。
尽早获得关键的认证可以证明核心竞争力。学习指南、练习测试和在线课程可以为CompTIA A+、网络+和安全+等考试做准备。建议在前两年每周最早安排10至15小时的学习时间,并实际通过3至4项基础性的能力认证。学习周边领域可以培养全方位能力。
由入门级技术角色变成网络安全架构师需要周密计划、丰富技能,并紧跟行业趋势。虽然这个过程可能从不同的技术领域开始,但最终趋向全面了解网络安全原则。下面深入介绍几个示例途径以及量身定制的学习培训计划,以便从入门级技术角色开始,发展成为网络安全架构师:
模式一
从甲方安全支持岗位起步
如果是从帮助台支持岗位开启网络安全职业生涯,您应该首先努力成为系统管理员角色,以获得网络和系统专业知识。空闲时考取网络安全认证,比如安全+、CISSP和认证道德黑客(CEH)。在此之后的3至5年,可以尝试改而从事信息安全分析师工作,并在这个过程中获得CCSP等专业证书,这样就有机会负责领导具体的安全工程项目。在经历7至10年的安全分析师工作后,您就有条件和能力成为网络安全架构师。
○自学计划:
• 1至2年:重点学习IT基础概念,并获得A+等证书,避免过早地过度专业化。
• 3至4年:通过网络+等认证深入钻研网络知识,开始探究网络安全概念。准备并获得安全+认证。
• 5至6年:花大量时间研究高级网络安全知识。争取获得CISSP和CEH认证。
○岗位培训:
• 参与动手实验室和实际场景。
• 加入关注系统管理和网络安全的在线论坛和社区。
• 参加研讨会和会议。
○需要注意的陷阱:
• 局限于非技术支持角色。
• 没有及早获得足够的实际安全经验。
模式二
从甲方网络管理工作起步
对于从甲方网络管理岗位工作的人员,应该尽早获得CCNA等厂商证书,并获得防火墙配置技能,尽可能多的参与安全方面的活动和政策规划。工作2至3年后,可申请转换到安全运营工程师角色。在此阶段应该继续学习考取CCNP安全和CISSP等高级证书,同时找机会获得云和身份管理系统方面的经验。经过6年以上的实践技能,你就能初步胜任网络安全架构师的职位。
○自学计划:
• 1至2年:获得CCNA等基础网络认证,并学习了解防火墙等常见安全产品的配置和安全协议。
• 3至4年:加深网络安全知识。获得CCNP安全等认证,加深对云安全原理的了解。
• 5至6年:专注于全面的网络安全原则,争取获得CISSP认证。
○岗位培训:
• 参加专门的网络安全培训课程。
• 积极争取参加模拟网络攻防演习。
• 参加侧重网络安全趋势和创新的行业会议。
○需要注意的陷阱:
• 长期限于纯网络运营方面的角色。
• 没有扩展到全面的安全架构和政策制定。
模式三
从安全厂商的软件编程工作起步
如果从安全厂商的软件编程起步,需要在工作中学习积累安全编程实践和设计安全架构方面的经验。工作之余可学习系统管理基础知识。几年后,争取升级为应用软件安全工程师角色,并获得CompTIA高级安全从业人员(CASP+)等高级证书,以及获得审计和渗透测试方面的专业知识。5年多以后,你可以旨在成为专注于应用软件和应用软件编程接口(API)安全的首席架构师。
这个过程中,您需要制定专注于下一个职业阶段学习的培训计划:旨在成为安全分析师的人可以边工作边攻读中级证书,比如安全+和CISSP。工作日晚上学习1至2小时,周末学习4至6小时,这样可以为6至12个月的认证考试做好充分准备。
○自学计划:
• 1至2年:在掌握编程的同时,开始学习网络安全基础知识。攻读侧重于安全编程实践的认证。
• 3至4年:将重心转向设计安全架构,深入研究系统管理基础知识。获得CASP+认证。
• 5至6年:加深应用程序安全方面的专业知识,获得CISSP等高级认证。
○岗位培训:
• 参加以安全为重点的编程培训班。
• 参加安全编程挑战赛和夺旗活动。
• 定期参加有关安全应用软件设计和开发的讲习班和研讨会。
○需要注意的陷阱:
• 没有在网络或基础设施方面获得广泛的基础。
• 任由编程技能过时。
CCRC-DSO数据安全官,CCRC-DSA数据安全评估师,CCRC-DCO数据合规官,CDO首席数据官, ITSS IT服务项目经理,IT服务项目工程师,ISO27001,CISP,软考,CISAW应急服务方向,CISAW渗透测试方向,软考,CCSC网络安全能力,工信部教考中心计算机网络安全相关认证办理,马老师13521730416/13391509126.
结语
无论您进入网络安全领域的技术起点如何,想要成为一名合格的网络安全架构师都需要多管齐下的学习方法。在此过程中,尤其强调持续学习,获得丰富的技术技能,确保实践经验,这些都至关重要。如果遵循科学的成长路径,并避免工作中常见的发展陷阱,专业人员更容易获得高级网络安全角色,确保在面对架构师岗位工作的挑战和责任时能够做好充分准备。
成为网络安全架构师的关键在于兼顾学习专业证书、动手实验、相关知识以及前瞻性的新技术,利用所在单位的资源尽可能掌握基础知识,并避免低级陷阱。