如何成为一个安全架构师

如何成为一个安全架构师，安全架构师需要什么样的能力？首先要理解什么是安全架构，安全架构包含哪些组件，如何将这些安全组件合理的组织在一起形成一定的战斗力，这是非常关键的。

安全架构

架构是组件与组件之间的关系，而安全架构是指安全组件与安全组件之间的关系。作为安全架构师需要做的就是要将跟安全相关的所有组件如何合理的组织到一起，使得每一个组件都能充分的发挥其作用，营造一个更加安全的环境。

安全组件

常用的安全技术基础或常识、安全机制、算法、工具组件、安全要素、独立实现某种安全功能的安全产品

组织、人员、策略、资源、流程

身份认证

密码、SSO、OAuth2、AD/LDAP、802.1x、RSA Token、证书/U-Key/Smart Card、Google Authenticator、生物认证等

CAPTCHA机制、锁定/防撞库机制

访问控制

强制访问控制、自主访问控制、RBAC等

加密算法

常见加密算法、特点及适用场景、用法；

证书

熟悉数字签名机制、证书的用法、证书的合法验证、签名的验证；

编码能力

基本的编程能力，能够自行搭建并编写攻防Demo演示，熟悉防范高危漏洞的最佳实践，能够向开发设计及测试人员输出培训；

全局观

具有常见安全要素的全局视图，安全技术方案应当包含哪些安全技术要素（或基本单元，如身份认证、授权与访问控制、密码技术、审计与取证、完整性防护、业务安全 等），以及该安全要素所处哪一层级；比如：基于802.1x的认证是属于网络层的身份认证。

业界安全产品特性

熟悉安全要素与安全产品的关系，熟悉业界主流安全产品基本功能、覆盖哪些安全要素、解决什么问题。

组件组合

安全规划、安全架构、安全流程

1 能够建立与完善所在组织的安全基线：安全标准、安全设计规范、安全部署/配置规范；

2 配合网络安全管理体系的建设，能够推动将安全基线嵌入组织流程并落地，特别是项目管理流程 和 IT服务管理流程。

构建体系

安全的产品

安全的体系

安全的能力 ---- 抗攻击能力、高可用能力、防止泄密的能力、流程保障的能力

1 能够规划并逐步建立/完善安全防御体系的基础设施（立体防御体系），以达成主要的安全目标，覆盖业务面临的主要风险；例如大多数公司需要防止入侵或被DDOS攻击；在一些涉密的单位，还需要防止文档泄密（实施DLP及员工网络行为审计等）；大型涉密企业还需要基于大数据建模，进行业务日志的安全威胁分析，挖掘APT攻击线索。

2 规划立项，执行项目管理，外购安全产品或自研安全产品，并实施上线，安全运营+持续改进。

安全实践经验

不同的公司有不同的业务，如针对典型的跟资金相关的业务，能否从设计上就形成完整的证据链，能够防篡改、防抵赖、防重放，避免错误交易。

在实践的过程中，不断反思并改进上述提到的各个部分（PDCA）。

大多安全架构人员的能力提升就是在持续的与各业务打交道的实践过程中提高的。

其他建议

首先需要的，也是最重要的是，心里要强大，顶得住压力。安全架构上的事情，你会遇到很多"天下无贼"式天真的朋友。

相信自己还有没想到的部分；考虑现有控制措施可能会失效；认识到无法解决所有安全问题。

勤膜拜，勤学习，勤思考，勤动手，脚踏实地，一步一步来，始终可以成为高手的。

关键点记录

1 具备黑客思维，能够预测攻击者非授权访问公司系统会采用的战术

2 有必须加班的时候，而且要随时跟进最新安全威胁和可用工具

3 CISSP(信息系统安全师)认证

4 无时不在。在攻击发生过程当中都要做出相应防护，无论攻击发生之前，之中，还是之后，可能都是有相应技术来主导攻击。阻挡不了就要快速响应攻击，减少损失。这个是无时不在的概念。

5 无处不在。在任何的地方都需要部署相应的安全方案，这个全球互联的时代已经没有安全边界，这个时候园区网，数据中心，终端，云环境，甚至工控网络当中都是需要安全的防护。整个安全需要无所不在，无处不在，无时不在。