下载掌阅APP,畅读海量书库
立即打开
防守方(又称“甲方”)通常代表政企组织,政企内部不同职位的人统称为“白帽子”。网络安全是实践导向的行业,需要实操来巩固和应用所学知识。无论成长轨迹如何,这些“白帽子”需要有责任感、对管理的系统负责。在政企工作的好处在于可以每天接触实际生产环境,尽管难以测试,但可以通过实习、实验项目、参与开源社区、CTF比赛等途径积累实践经验。
如图3-9所示,一个蓝队的安全从业者通常会经历以下几个阶段,时间从短到长,技能和经验也会随着时间的推移逐渐提高。第一阶段,个人可能是一个普通的办公用户,但对安全产生了兴趣;第二阶段,进入安全领域并从事一些安全相关的工作,例如从系统运维人员转变为安全运维工程师;第三阶段,个人逐渐成为安全领域的专家,如安全运营工程师,能够对安全事件进行分析和响应,并制定和实施安全策略;第四阶段,个人可以在特定领域担任负责人角色,如安全架构师(业务安全分析师)、安全开发架构师或安全合规评估工程师,能够提供高级的安全解决方案和咨询服务;第五阶段,个人担任安全领域管理岗位的高级职位,如首席安全官(或安全总监),需要具备战略规划、团队管理和跨部门协作等能力。需要注意的是,上述技能只是安全从业者所需要的一些示例,不同组织对安全从业者的要求可能会有所不同。因此,安全从业者需要终身学习,提高自己的技能。
调查表明,由于成本和规模的原因,政企网络安全团队的人员规模往往不大,59%的安全团队人员规模在5人以下,30人以上的安全团队仅占13%。所以,如果有机会在架构完整的大团队工作,要格外珍惜。安全团队的组织架构可按照决策层、管理层、运营层、执行层、监督层来设计,如图3-10所示。
图3-9 白帽子防守成长路径
从政企视角,从事信息安全相关工作的所有人员包括组织的管理人员(包括CIO、CSO、科技管理部门和风险控制管理部门的人员)、IT相关的技术人员(包括运维、开发和集成人员)、从事信息安全服务组织的技术人员(包括信息安全产品研发人员、信息安全咨询人员、信息安全服务实施人员和外派服务人员)。组织架构可以分为办公安全、数据安全、主机安全、Web应用安全和身份安全等几个小组。例如,数据安全是一个小组,技术人员要负责数据安全运营工作,如数据权限授权、数据共享、数据下载等的审批。
图3-10 政企安全工作分工
团队的能力和分工与政企的发展阶段也有很大的关系。例如政企早期主要是购买外部成熟产品,并不需要研发工程师,而到了后期,商业产品在功能、性能和扩展性上无法满足需求,就需要在开源产品上进行二次开发或进行自主研发,这时候架构师就是不可缺少的岗位了。
办公用户主要在内网活动,访问需求比较单一。他们的办公电脑里存有公司重要数据,需要限制访问其他区域和外部系统。黑客进入网络只需要有一个人无意中犯一个小错误,例如,他们可能会错误地点击钓鱼邮件中的链接并被安装恶意软件,或者将大笔资金转给微信里冒充老板的骗子。员工需要接受网络安全培训,防范通过电子邮件、社交网络、弱密码等的攻击。使用社交网络和文件共享服务时要慎重,加密可增强文件安全性。
安全运维工程师是网络安全大方向下网络安全运营的一个细分岗位,主要负责对服务器、网络设备、安全产品、网络信息系统等进行安全维护、巡检、策略维护、配置变更、故障处置与安全分析等。他们的主要工作平台包括应用运维平台、事件应急响应平台、安全信息和事件管理平台、漏洞扫描平台、安全运营中心及身份与访管理平台等。安全运维工程师需要掌握至少一种脚本语言(例如Python、Shell等),以编写自动化脚本,提高工作效率。
与IT运维工程师相比,安全运维工程师需要具备广泛的知识和技能,深入地了解网络安全产品的配置、部署、优化和故障处理方法,甚至需要编写、维护脚本来集成维护安全产品。
安全运营工程师负责安全运营方面的工作。他们需要分析安全事件和问题的根本原因,并提出有效的解决方案,同时需要熟悉安全运营相关的工具和技术,并具备编程能力。安全运营工程师还需要具有良好的跨团队协调和推进项目的能力,具备广泛的知识,以及形象代言人的特质。
安全开发工程师负责安全产品的开发和设计,需要熟练掌握至少一种主流编程语言(如Java、Go、Python、C++等),并熟练掌握常用的开发工具(如Idea、Eclipse、Visual Studio等),同时具备网络安全和信息安全领域的知识,了解攻击原理和安全技术解决方案。他们需要熟悉常见的安全产品配置和使用,掌握Web安全编码标准、数据库操作和安全知识,以及常见的缓存、数据库、Web服务器相关技术。此外,他们还需要具备代码审计能力、掌握网络安全技术(如端口扫描、抓包分析、漏洞检测等)。安全开发工程师必须意识到,开发测试环境的沦陷往往是压垮生产环境的最后一根稻草。相比于普通开发人员,安全开发工程师具备更全面的安全防范知识,可以在产品设计和开发过程中加强安全防范。
安全架构师有时又被称为业务安全分析师,是网络安全规划和管理岗位中的一个细分职位,负责设计符合业务需求的安全架构,掌握全面的安全知识(包括网络安全、应用安全、物理安全和数据安全等)。他们需要分析目标对象的安全情况和关联关系,并使用安全参考模型、安全架构解决方案和安全产品来建立有效的安全架构体系,确保安全技术整体满足业务需求。安全体系架构师需要具备将功能需求转换为技术要求的能力,并具有组织开发或采购满足所需产品功能的能力。云计算安全架构师是最难招聘的职位之一,75%的安全管理人员认为技能短缺将会给组织带来风险。
甲方需要开发安全管理平台、态势感知平台等,或者将分批购买的安全设备整合起来,这需要具备一定的开发能力,因此需要开发架构师角色,设计安全的系统架构(包括网络架构、安全策略、认证与授权等)。开源产品虽然可能没有商用产品那么好用,技术支撑力度也没有那么大,但对于很多政企来说也是一种选择。安全开发架构师需要从业务角度考虑目标对象的安全情况,使用安全参考模型、安全架构解决方案,选择安全产品并决定哪些需要自主研发,建立有效的安全架构体系,确保安全架构体系满足业务需求。
安全合规评估工程师负责掌握互联网行业监管动态,熟悉安全法规标准(如《网络安全法》《等保2.0》等),协助制定评估方案,发现潜在风险并建立安全机制。除了在甲方,安全合规评估工程师也能在测评和咨询机构工作,识别系统中的潜在威胁和漏洞,并提供解决方案。
企业安全负责人又叫首席安全官(Chief Security Officer,CSO),负责制定、执行、监督和评估企业的信息安全策略,原则上是安全的“一号位”。CSO的一个重要特点是要有全局观和前瞻性。越来越多的CSO意识到,安全设备只是工具,要管理好安全设备,真正起到防护能力,实现安全有效性,必须招募人才。
CSO在组织的整体安全管理中有着举足轻重的作用,这就对CSO的管理素质、职业技能提出了全新的挑战。抗压力、定战略、带队伍是一个CSO的三项基本要求。在思考和实际执行过程中,信息安全团队不可避免地与公司的IT、流程、质量、运营团队发生关系,与这些部门的负责人保持良好的沟通是必要的。这也是CSO要重点参与组织、协调的部分。图3-11所示是通常网络安全部门的职责。
目前,国内并没有很久的CSO文化,大部分政企也只是在IT部门设置安全团队。方法论和工具对CSO完成工作有着重要辅助作用,例如利用数据分析和可视化报表,处理和分析大量的安全数据,并将其以大屏的方式展现,以更好地理解和分析安全态势。
同CSO一样,首席风险官(Chief Risk Officer,CRO)负责识别、评估和管理企业面临的各种风险。这在金融巨头和互联网大厂中比较常见。
图3-11 通常网络安全部门的职责