网络安全架构师负责设计和实时全面的网络安全框架,以保护组织的数字资产安全。他们的工作意义非凡,能够确保组织在开展数字化转型发展的同时,拥有强大的安全态势。摩根大通的网络安全运营副总裁、安全架构总监Lester Nichols认为,网络安全架构师将会成为所有现代企业都需要的关键性岗位。但这不是一份轻松的工作,需要多年的技术准备和安全运营经验支撑。
对于有志成为网络安全架构师的专业人员,通过阅读由Nichols撰写的《网络安全架构师手册》将会充分了解网络安全架构师角色的复杂性以及如何胜任这个角色。Nichols在书中建议,在成为架构师之前,首先需要在网络运营或安全管理员等早期职位上磨练技能,并熟练掌握以下方面的基本技能和知识:
1. 了解网络。许多网络攻击都是发生在连接网络的设备上,因此分析师需要了解有线网络和无线网络以及制定针对性的保护方案;
2. 了解操作系统。几乎所有操作系统都存在安全隐患,如果非常熟悉MacOS、Windows和Linux及其命令行界面,对胜任网络安全架构师工作将大有助益;
3. 了解编程。网络安全架构师的工作并不需要大量编写代码,但是对JavaScript、Python和C/C++等编程语言有一番基本的了解,会使你能够更好理解攻击任务的执行流程,以及该如何扩展系统的功能。
以上方面涵盖网络安全工作中“80%到90%的脏活和累活”,但是其他高级别网络安全工作都是建立在它们的基础上。
从初级网络安全职位成长为高级网络安全架构师需要经历一道道难关。本文摘选了《网络安全架构师成长手册》第7章的部分内容,提供了成为网络安全架构师的发展路线图,包括实现目标的步骤、学习计划和培训建议
表一:成为网络安全架构师的成长途径
对于刚迈入技术职场的安全人员来说,早期角色往往侧重于打造核心能力,比如网络、系统管理和基本编程。在这个阶段,避免过早确定专业化方向,广泛探索网络安全的周边领域非常重要。在这个阶段,不断学习新的技术和技能,尝试网络安全意外的业余项目,避免自满情绪是成功的关键。A+、网络+和特定语言编程证书之类的认证有助于增强新进入者的行业信誉。
尽早获得关键的认证可以证明核心竞争力。学习指南、练习测试和在线课程可以为CompTIA A+、网络+和安全+等考试做准备。建议在前两年每周最早安排10至15小时的学习时间,并实际通过3至4项基础性的能力认证。学习周边领域可以培养全方位能力。
由入门级技术角色变成网络安全架构师需要周密计划、丰富技能,并紧跟行业趋势。虽然这个过程可能从不同的技术领域开始,但最终趋向全面了解网络安全原则。下面深入介绍几个示例途径以及量身定制的学习培训计划,以便从入门级技术角色开始,发展成为网络安全架构师:
模式一
从甲方安全支持岗位起步
如果是从帮助台支持岗位开启网络安全职业生涯,您应该首先努力成为系统管理员角色,以获得网络和系统专业知识。空闲时考取网络安全认证,比如安全+、CISSP和认证道德黑客(CEH)。在此之后的3至5年,可以尝试改而从事信息安全分析师工作,并在这个过程中获得CCSP等专业证书,这样就有机会负责领导具体的安全工程项目。在经历7至10年的安全分析师工作后,您就有条件和能力成为网络安全架构师。
○自学计划:
• 1至2年:重点学习IT基础概念,并获得A+等证书,避免过早地过度专业化。
• 3至4年:通过网络+等认证深入钻研网络知识,开始探究网络安全概念。准备并获得安全+认证。
• 5至6年:花大量时间研究高级网络安全知识。争取获得CISSP和CEH认证。
○岗位培训:
• 参与动手实验室和实际场景。
• 加入关注系统管理和网络安全的在线论坛和社区。
• 局限于非技术支持角色。
模式二
从甲方网络管理工作起步
对于从甲方网络管理岗位工作的人员,应该尽早获得CCNA等厂商证书,并获得防火墙配置技能,尽可能多的参与安全方面的活动和政策规划。工作2至3年后,可申请转换到安全运营工程师角色。在此阶段应该继续学习考取CCNP安全和CISSP等高级证书,同时找机会获得云和身份管理系统方面的经验。经过6年以上的实践技能,你就能初步胜任网络安全架构师的职位。
• 1至2年:获得CCNA等基础网络认证,并学习了解防火墙等常见安全产品的配置和安全协议。
• 3至4年:加深网络安全知识。获得CCNP安全等认证,加深对云安全原理的了解。
• 5至6年:专注于全面的网络安全原则,争取获得CISSP认证。
• 参加专门的网络安全培训课程。
• 积极争取参加模拟网络攻防演习。
• 长期限于纯网络运营方面的角色。
• 没有扩展到全面的安全架构和政策制定。
模式三
从安全厂商的软件编程工作起步
如果从安全厂商的软件编程起步,需要在工作中学习积累安全编程实践和设计安全架构方面的经验。工作之余可学习系统管理基础知识。几年后,争取升级为应用软件安全工程师角色,并获得CompTIA高级安全从业人员(CASP+)等高级证书,以及获得审计和渗透测试方面的专业知识。5年多以后,你可以旨在成为专注于应用软件和应用软件编程接口(API)安全的首席架构师。
这个过程中,您需要制定专注于下一个职业阶段学习的培训计划:旨在成为安全分析师的人可以边工作边攻读中级证书,比如安全+和CISSP。工作日晚上学习1至2小时,周末学习4至6小时,这样可以为6至12个月的认证考试做好充分准备。
• 1至2年:在掌握编程的同时,开始学习网络安全基础知识。攻读侧重于安全编程实践的认证。
• 3至4年:将重心转向设计安全架构,深入研究系统管理基础知识。获得CASP+认证。
• 5至6年:加深应用程序安全方面的专业知识,获得CISSP等高级认证。
○岗位培训:
• 参加以安全为重点的编程培训班。
• 参加安全编程挑战赛和夺旗活动。
• 定期参加有关安全应用软件设计和开发的讲习班和研讨会。
• 没有在网络或基础设施方面获得广泛的基础。
• 任由编程技能过时。
结语
无论您进入网络安全领域的技术起点如何,想要成为一名合格的网络安全架构师都需要多管齐下的学习方法。在此过程中,尤其强调持续学习,获得丰富的技术技能,确保实践经验,这些都至关重要。如果遵循科学的成长路径,并避免工作中常见的发展陷阱,专业人员更容易获得高级网络安全角色,确保在面对架构师岗位工作的挑战和责任时能够做好充分准备。成为网络安全架构师的关键在于兼顾学习专业证书、动手实验、相关知识以及前瞻性的新技术,利用所在单位的资源尽可能掌握基础知识,并避免低级陷阱。
参考链接:
https://www.techtarget.com/searchsecurity/feature/How-to-become-a-cybersecurity-architect
相关阅读