安全架构设计的学习材料的现状
和所有学科一样,安全架构设计领域也不缺乏很好的材料,如Bruce Schneier的著作和博客(Schneier的博客)以及各种密码学的网站(维基百科上的密码学词条).任何人都可以从网络中获取专业的安全架构设计资料,那么我在整理的意义又何在呢?在我自己的学习过程中我发现,直接从原著获取知识当然是最好的,但是对于初学者而言,原著需要的背景知识太多了,因为那些原著都是牛人的牛逼的时候写的。
原著的特点
不是博士论文就是硕士成果,当然也有非学术人员的作品但是都是这些人对自己工作的总结,如果初学者没有这些工程师的工作实践背景是不容易理解这些方案的合理性的。可以总结一下学术类的原著逻辑性强但是具体的工程实际有较大的距离,这也是工程师抱怨学院派的方案不切实际,工程实干家的作品可以归类为工程的最佳实践,当你恰好和作者碰到了相同的应用场景,那么他的方案就会非常有效,但是只要场景变了就可能把你引向失败,也就是说种类方案的适用窄,适用的时候需要完备的对比方案其效用的情况,然而要达到这一点往往是不可能的,首先作者本身极有可能没有在书中呈现完备的约束条件,毕竟描述方案的技术实现细节才是作者的本意,其次初学者也不具备很好的将应用场景中的安全问题抽象为安全问题。
老鸟的礼物
鉴于上述的问题,在给新人推荐学习材料的时候,我发现除了原著没有其他更好的选项。本系列内容希望能给有志成为安全设计或者架构师的初学者提供一个有用和容易达到的起点。
何为一个有用的起点
有用具有如下三个特点:
1. 知道提什么问题和如何提问题! 2. 确定了问题之后大概知道如何给出答案! 3. 本课程能提供指南针的作用而不是地图,由于技术和业务的发展过快,我画的地图到你用的时候可能早就被拆迁的面目全非了!
何为一个容易达到的起点
判定一个方案是否安全不是安全架构设计师容易达到的起点,而是去理解安全设计关心的是哪些问题。安全设计就像个游戏,你需要知道的只是它的规则,然后根据具体的应用场景编排规则的使用顺序和频次。同所有的游戏一样,当我们掌握了它的规则,通过不断的练习我们就会掌握这个技能,最终很有可能赢得游戏。安全设计关心的问题就是安全设计的规则。
本节思考
1,安全设计关心的问题到底是什么?
下集预告
