文章目录
- 前言
- 技能分类
- 1. 安全管理类知识和技能
- 1)法律法规
- 2)认证
- 2. 安全技术类知识和技能
- 1) 物理环境安全
- 2) 网络安全
- 3) 系统安全
- 4) 应用安全
- 5) 数据安全
- 6) 终端安全
- 7) 开发安全
- 8) 运维安全
- 9) 安全防护工具
- 10) 渗透测试
- 总结
前言
入职的小伙伴,有一部分入职的岗位是运维安全工程师,这部分在之前的课程中没有涉及到,所以在这里做一下概述,大家可以根据自己的实际情况进行查缺补漏
技能分类
对于安全方向的知识有两块:
- 安全管理类知识和技能
- 安全技术类知识和技能
1. 安全管理类知识和技能
1)法律法规
这一类的知识主要是一些法律法规,你得知道自己做哪些事情是合法的,哪些是违法的才能进行下一步的操作。
各类法规列举如下:
《中华人民共和国网络安全法》,《商用密码管理条例》,《信息安全技术个人信息规范》
2)认证
现在越来越多的金融企业选择开展的 ISO27001信息安全管理认知体系
体系包括14个控制域、35个控制目标、114项控制措施
2. 安全技术类知识和技能
1) 物理环境安全
对数据中心的访问控制技术,监控,风火水电雷,消防,湿度,温度等。
2) 网络安全
身份认证措施,网络隔离技术,网络区域划分,网络访问控制,网络端口及网络安全审计日志等。
3) 系统安全
Linux,windows等操作系统,数据库,中间件等软件的安全配置
4) 应用安全
数据的完整性,保密性,可用性是否可控
5) 数据安全
了解数据脱敏技术,切实做好数据的备份策略,确保数据的有效及恢复能力
6) 终端安全
终端接入工具是否安全,比如xshell远程连接,数据库远程连接软件是否安全可靠, 数据防泄漏策略
7) 开发安全
在整个开发的生命周期中,遵循开发标准,从需求分析,编码,测试,到上线一切都按照规范走,确保可控
有及时回滚机制
8) 运维安全
堡垒机,日志审计,异地容灾备份
9) 安全防护工具
防病毒软件,扫描软件,WAF等
10) 渗透测试
检测各类漏洞及系统薄弱点,进行漏洞防护策略
总结
对于安全,很多公司没有意识,就比如有的学员的公司,学员都离职快一年了,公司的很多账号和密码还没有换,依旧可以登录。
