随着时间的推移,看事情的想法也会发生变化。回顾以前进行安全结构审查时的想法和细节,与现在相比,有点思考。记录在这里,请求读者。安全结构的基础。下面的东西可能有点虚弱,但根据经验总结,有能力的安全设计师确实需要这些能力。当然,这并不意味着你一开始就需要拥有所有的知识。但是,如果你遇到的安全设计师没有这些知识,没有理解的欲望,他就不会成为合格的安全设计师。当然,这些也只是家庭语言,权利作为参考。如果有差异,也可以用邮件交流。
基础软件工程知识,如敏捷开发、软件开发过程等基本结构知识,如SOLID原则、组件结构、微服务、SOA等高级基础安全知识和风险识别能力,如网络安全风险识别和解决方案、SDL解决方案等,熟练掌握与基础安全相关的产品知识,如waf、hids类解决方案的实现等,高级安全研发知识,OWASPTOP10实现具体编程语言加固的代码。
安全架构师最好有能力带领团队开发安全工具,但这可能不是具体企业内的需求。与企业有关。企业内部的研究开发系统流程,如语言堆栈、发布周期、发布系统、基础类库、中间部件等,企业内部的基础设施配置,如网络计划、服务器位置、云上VPC划分等。企业内部的组织结构,如x侧开发Leader、项目经理、产品负责人等。
解决方案的关注点很多,从评价到设计、实施和运营等。从那以后,我不打算介绍一个完整的解决方案设计过程谈安全结构在输出解决方案时的技术关注。结构是一个很大的层次,除了结构设计原则外,安全结构本身依赖于应用结构、网络结构、业务结构。也就是说,至少需要考虑基础设施、应用设施、应用和业务。具体来说,基础设施以上的用户通过应用访问业务相关的交互。这个应用程序可能是网络应用程序,也可能是pc应用程序,也可能是Mobile应用程序(一般来说对外是应用程序,其实是由几个应用程序构成的)。安全框架应注意两端和两端之间的框架安全。