查看原文
其他

网络安全从业人员浅析

计算机与网络安全 计算机与网络安全 2022-06-01

一次性付费进群,长期免费索取教程,没有付费教程。

教程列表见微信公众号底部菜单

进微信群回复公众号:微信群;QQ群:460500587

微信公众号:计算机与网络安全

ID:Computer-network


推荐阅读

网络安全行业从业指南


“人”永远是安全的核心,所以我们会谈到网络安全人员需要具备的技能和能力。人工分析是态势感知的决定性因素,是一个组织进行网络安全防护的关键所在。因为很多时候,数据自身不会“说话”,尽管有大数据平台加持,以及各类数据处理和安全分析工具辅助,但真实的情况是,仍然需要人工通过一系列的调查取证、安全分析(如恶意代码分析),才能准确判断某些网络安全事件的发生和严重程度。这的确是一个无奈的现实,尽管随着网络攻防对抗的不断演进,各种攻击工具推陈出新,安全对抗的实质还是人类智力的对抗,我们必须认识到这一点。


1、网络安全从业人员范围


随着网络安全问题和事件频发,全世界大部分国家都越来越重视网络安全,因为它关系到国家安全和社会稳定,其重要程度正随着全球信息化步伐的加快而不断提升。在网络工程中,安全技术的运用占据着非常重要的地位,于是出现了一类人,可以统称为网络安全人员,它们专门从事网络安全方面的工作,解决网络安全问题。


从大的方面来看,根据网络攻防的特点不同,我们常常把网络安全人员划分为进攻型人才和防御型人才,一个是矛,一个是盾,两者互相较量、互相促进。


● 进攻型人才常常是那些对网络安全有浓厚兴趣的人,具有非常好的逆向思维和突破创新能力,以及极强的动手能力,喜欢并乐于尝试各种新颖的攻击手段,传说中的黑客往往来自于这群人当中。


● 防御型人才则显得更为稳健和有责任心,同样具有快速学习能力和很强的动手能力,但更重要的是能够忍受长期枯燥乏味、不出成绩的状态且乐在其中,比如不停地对着屏幕、盯着各种告警,试图从中发现异常,或者对着海量日志数据进行分析和攻击行为提取。


从小的方面看,根据网络安全人员从事的工作内容和就业职位的不同,大致可以将网络安全人员分为网络安全工程师、网络安全分析师、网络构架工程师、网络集成工程师、网络安全编程工程师和数据恢复工程师等。事实上,网络安全人员的有些工作与网络工程师(包括运维工程师)的工作内容也有一定的交叉,但前者侧重安全,后者侧重网络本身的部署、管理运营和使用。


网络安全工程师的主要工作是分析网络现状,对网络系统进行安全评估和安全加固,设计安全的网络解决方案。


网络安全分析师的主要工作是在出现网络攻击或安全事件时,通过调查取证、安全分析,帮助客户分析当前安全状况和面临的风险,并提出合适的安全解决方案。这类人也是网络安全态势感知过程中最需要的对象。


● 网络构架工程师的主要工作是针对客户的网络架构,建议合理的网络安全解决方案。


● 网络集成工程师的主要工作是排障和管理网络,协调解决方案的客户化实践、部署和开发,推动解决方案上线,并协调网络安全项目的管理、售前和售后支持。


网络安全编程工程师的主要工作是负责网络安全编程,除了熟练使用编程工具之外,还涉及系统编程,如使用C或者C++来实现Socket编程、注册表编程、定时器编程等。


数据恢复工程师的主要工作是利用所掌握的专业知识和经验,采用专业软硬件工具,对出现问题的存储介质进行检测处理,能够恢复上面的有效文件数据。


2、需要具备的技能


作为一名安全人员,尤其是网络安全态势感知最需要的网络安全分析师,具备一些基本技能是毋庸置疑的,这是作为其进行安全分析的基础。同时,还应根据专业领域不同和岗位能力要求差别具备一些专业领域的技能,这些专业技能可能跨好几个领域,但至少应当能熟练掌握其中一个领域的技能。


基本技能如下:


● 具备网络安全态势感知基础知识

● 具备大数据基础知识

● 具备计算机应用基础知识

● 具备操作系统和编译汇编原理

● 熟悉网络TCP/IP协议

● 熟悉常见的应用层协议

● 熟悉抓包和数据包分析

● 掌握安全数据采集方法和工具

● 掌握基础恶意软件分析技能

● 掌握基础分析判断方法

● 至少掌握PHP/Python/C/C++/Perl/Java/Shell等其中一种语言

● 了解主流网络和安全设备的使用,如路由器防火墙入侵检测系统、反病毒软件等的配置和使用

● 善于表达沟通、诚实守信、责任心强,讲求效率,具有良好的团队协作精神


专业技能如下:


网络安全分析师需要具备的专业特长可能是一个,也可能是几个,主要包括以下几种:


进攻类技能:擅长这一类技能的安全分析师更多是从网络进攻的角度,通过采用与攻击者类同的手段渗透到网络内部,提权进而获得网络访问权限。这样做的目的是“以攻促防”,只有了解对手的方法和手段,才能更好、更快地识别出攻击者的行为活动,进而发现网络中存在的脆弱点,开展安全防护工作。此类技能较多体现在渗透测试和安全评估两个方向,具体涉及的知识和技能包括网络侦察、端口扫描、漏洞扫描和利用、程序漏洞分析检测、权限管理、入侵和攻击分析追踪、网络渗透病毒木马的使用等。


防御类技能:这是从防御角度看安全分析师需要的专业技能。安全分析师须不断跟进了解最新的网络防御工具和研究成果,并评估这些工具是否能够引入网络安全态势感知系统中进行使用,这往往需要安全分析师具有良好的工具开发能力和分析能力。此类技能较多体现在检测和分析两个方面,具体涉及的知识和技能包括深度掌握网络通信和各类协议、擅长网络攻击检测、掌握攻击行为分析、熟悉各种安全数据分析方法和技巧,最好能结合大数据的方法进行安全分析。

系统管理技能:网络安全行业中,对系统管理技能的要求可能会高于普通IT行业,因为网络安全的系统管理不仅仅包括对普通网络设备、安全设备和系统平台的配置、管理,还涉及传感器部署、安全数据的采集、情报收集等,尤其在网络安全态势感知中,还需要掌握一些对安全数据的处理、分析和态势理解等方面的知识和技能,因此系统管理人员要求知识面广,动手能力强,有宏观安全视角。


编程开发技能:编程开发几乎是IT领域必备的技能,尤其是在IT技术的顶尖应用领域——网络安全中。精通编程开发的安全分析师能够快速编写需要的工具以进行安全分析和检测,对于大数据编程也会较快掌握,因此能很好地处理海量数据,编写相应的数据处理和分析工具辅助其进行安全分析。具体涉及的知识和技能包括精通至少一门编程语言(可以是解释型语言也可以是编译语言),对系统编程和网络编程也要有一定的掌握,尤其是Linux环境下的编程


取证和追踪技能:随着大数据时代的到来,取证和追踪技术受到了广泛的重视,在网络上有各种证据来源,如路由器交换机防火墙、应用服务器、日志服务器等,在主机上也有很多资产和属性类信息可以捕获,这就需要专人来对各类证据来源和情报进行收集、取证和追溯,从而产生对网络安全态势感知有价值的信息。具体涉及的知识和技能包括情况摸查、内存取证、流量采集、流量分析、上机取证、硬盘和文件系统取证、重要易失性数据收集、数据恢复Rootkit检测、追踪溯源等。


恶意软件分析技能:网络安全态势感知过程中常常需要收集已知或未知的恶意软件样本,因此少不了对恶意软件样本的分析。恶意软件分析一般有两种方法,即静态分析和动态分析。前者是在没有运行恶意软件时对其进行分析,后者则需要运行恶意软件。因此,从事这个方向的安全分析师需要具备这两种恶意软件分析技能。在很多时候,这种技能对于重视安全的组织来说非常有价值。


3、能力级别分类


网络安全人员的能力级别进行分类在不同组织有不同的方法,有些是按照年龄和工作时间长度进行划分,有些则是有更为具体详尽的职级分类表,且对每个职级都有相应的技能要求。这里我们综合了多种分类方式,采用了简单且不失可操作性的方法,以安全分析师为例,将其分为三个级别:初级、中级和高级,从而为安全分析人员的职业规划提供参考。


初级安全分析师:由于处于入门阶段,对初级安全分析师的要求是拥有之前提到的基本技能,对相关知识有一定掌握,但无法解决需要专业特长技能的问题。初级安全分析师最重要的工作就是盯着屏幕看大量的告警、日志、数据包等各类网络安全数据。因为只有对原始数据熟悉,才能处理更复杂的问题。责任心和耐心是或不可缺的,不厌其烦地看数据是安全分析师职业生涯必须经历的过程。


中级安全分析师:经历了初级阶段的训练,中级安全分析师已经可以牢固掌握各项基本技能了,并且也至少已选择一个专长来发展自己。当然,看数据仍然是其本职的基础性工作,只是除此之外,还应当在专业特长领域提升自己的技能。中级安全分析师应当具备制定一个网络安全态势感知计划的能力,而且通过参与团队建设规划,结合其他人的工作以及自身一定的安全分析能力,寻找潜在安全事件和风险,给出一定的安全建议。


高级安全分析师:作为安全分析师的最高级别,高级安全分析师往往是组织内部某方面的领导(比如首席信息官、首席安全官、首席风险官等),不但牢固掌握各项基本技能,还精通某个专长的技能。高级安全分析师大多不再在审查数据上花时间,其主要精力会更多地放在组建和管理团队,为每个成员分配任务并提供指导,以及开发新的工具和提供培训等方面。当然,他也应当具备更为高级的安全分析能力,以处理更为复杂的安全事件,提供更全面有效的安全解决方案。


4、安全团队建设


网络安全是人类智力的较量,也是时间的较量,对它进行投入不一定马上见效,但不投入绝对是不明智的。一个攻击者想实现他的目标,可能需要一个星期,但安全人员的目标就不那么明确了。我们必须认识到,不能以是否发生安全事件来衡量安全的有效性,因为入侵是挡不住的,而应当以安全人员如何快速、有效地监测各类安全数据,进行分析和预警来衡量,这也正是网络安全态势感知所要做的。网络安全态势感知项目是一个长期持续性的工作,不是一朝建成就可以停止投入的事情,衡量它成功与否的标准更多是在建成后的长期监测、分析、响应和升级上,这不仅仅是平台系统建设和工具软件的投入问题,更需要投入大量的人力才能做好,因此安全团队的建设和管理尤为重要。具体来说,一个高效健康的安全团队应该具备以下特点:


● 充分的团队协作

● 服务型领导带领

● 强烈的责任心驱动

● 良好的学习氛围

● 明晰的成长路径

● 公平的奖惩机制

● 善于总结经验教训


无论您属于哪个层次的安全人员,无论您是否从事安全管理工作,都需要具备一些团队建设方面的知识,因为与他人合作才能快速成长,才能更好、更高效地完成各种艰难的任务。


微信公众号:计算机与网络安全

ID:Computer-network


【推荐书籍】

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存