保護現代企業中的數據和系統,需要多個不同領域的技能支撐。
目前,網絡安全人才極度緊缺,但他們到底該具備哪些技能才能有效防護企業安全?以下便是網絡安全從業者必備的五項核心技能:
密碼學
密碼學意味著學習和實踐安全通信技術,這是保護計算機系統中存儲數據的重要方法。
加密是密碼技術的重點,涉及到用算法編碼通信,有效擾亂數據,讓通信只能被知曉算法或手握密鑰的人解讀。
Telegram、Tor Messenger和WhatsApp等應用中都采用了通信加密。
但更廣義上來講,密碼學還包含有分析和構造協議來防止第三方解讀私密消息的意思。
由于要用到算法,對數學的良好認知便必不可少。密碼學專業人士需要對密碼系統內部運作有所了解,知道該怎樣在真實世界情形中正確使用這些系統。
歐盟委員會認證的加密專家項目可將學生和從業人士引入密碼學領域。一些大學也提供密碼技術的學位教育,比如倫敦大學皇家霍洛威學院的密碼與通信數學專業。
信息保障
信息保障(IA)是指保證信息并管理信息在使用、處理、傳輸和存儲過程中的風險。
IA從業人士懂得通過各種物理的、技術的和管理層面的控制來保護信息的完整性和可用性。
數據泄露未必都來自于外部,內部員工或仍具有數據訪問權的前雇員也對數據安全造成了很大的威脅。
這意味著需要制定一個總體架構,讓IT部門能夠監視到非正常活動或可疑數據訪問是否發生。
此架構設計的時候就需要具備計算機網絡設計和基礎設施的知識。公司要求的網絡類型需要被考慮進去,有些網絡是本地的,且只在公司內部使用,而其他則是供分布全國乃至全世界的客戶使用的。
IT部門的主要責任,就是建立符合公司目標有能有效保護數據的網絡。
信息安全方面頗負盛名的資質認證包括:注冊信息系統安全專家(CISSP)、 注冊信息安全員(CISM)、信息安全管理體系主任審核師(ISO 27001 LA)和注冊信息系統審計師(CISA),以及偏向網絡安全技術認證的新銳Security+。
云安全
隨著很多公司企業漸漸將核心業務放到云端,以安全的方式控制云訪問權限的能力就成為了一個關鍵要求。
云安全面臨幾個主要挑戰,其中ID和訪問權限管理是重中之重。這意味著要能夠確認可能從任何地點任何設備訪問云資源的用戶身份。
對架構和基礎設施的認知也是從業人士必備的,包括補丁和配置管理、虛擬化和應用安全、變更管理等。
要想在全球層面上嚴格管控數據,云安全從業人士必須具備合規和法律事務的深度理解。
云安全還包括云環境下的入侵檢測和事件響應。
這方面的認證有國際信息系統安全認證協會((ISC)2)和云安全聯盟的云安全專業認證(CCSP)。
業務持續性
業務持續性意味著,遭遇嚴重事件或災難,或者被有意攻擊時,要有能避免主要業務功能停滯的各種計劃和準備性行動。
今天這種分布式拒絕服務(DDoS)能夠相對容易地逼停公司網站和關鍵基礎設施的態勢下,在服務不可用時保護好數據和基礎設施的能力就成為了一項越來越重要的網絡安全技術。
業務持續性從業人員需要懂得系統設計、部署、支持和維護,要能夠保證公司業務不停歇。這就要求針對所有可能情況制定標準、方案和策略。
業務持續性協會(BCI)提供業務持續性資質證書(CBCI),可通過學習和考試獲得。.
編程
良好的編程背景是網絡安全從業人士的利器,因為它能輔助理解應用程序的運行機制,找準可能的被黑弱點。
IT安全從業人士要能夠有效寫出應用程序和腳本,有時候還得在非常短的時間限制下寫出。
各種不同的編程語言都有各自的資質認證,但多多益善。對類似JavaScript和HTML之類的框架有所掌握將十分有用。
對網絡安全從業人士而言,Python幾乎就是必會語言。
京公網安備 11010502049343號