一個(gè)信息安全人員如何學(xué)會(huì)自我成長(zhǎng)?我為一些敏感單位提供安全咨詢的服務(wù),因此會(huì)經(jīng)常性得到來自他們Traffic Manager或技術(shù)總監(jiān)提供的“數(shù)據(jù)”。經(jīng)常性地分析數(shù)據(jù)是一個(gè)非常好的將技能精致化、簡(jiǎn)約化的過程。這是一個(gè)非常好的自我成長(zhǎng)方式。
做過項(xiàng)目就會(huì)全面了解安全。這話真是至理名言!單位的服務(wù)器,網(wǎng)絡(luò)設(shè)備,Web和數(shù)據(jù)庫(kù)等需要安全評(píng)估,這可是非常難得的成長(zhǎng)機(jī)會(huì)。只是,我看到的情況是,大多數(shù)安全人員不敢做、怕做不好,因而失掉機(jī)會(huì)。作為一個(gè)老兵,我給大家一個(gè)標(biāo)準(zhǔn)辦法。http://www.cspec.gov.cn公安部信息安全等級(jí)保護(hù)評(píng)測(cè)中心!一個(gè)安全人員如同運(yùn)動(dòng)員,要比賽前頭等要?jiǎng)?wù)當(dāng)然是“熟悉比賽規(guī)則”和“熟悉對(duì)手情況”知己知彼!這個(gè)評(píng)估中心提供給你若干如“評(píng)估指南”、“評(píng)估標(biāo)準(zhǔn)”等這樣操作性非常強(qiáng)的PDF文檔,它們對(duì)你要做什么?怎么做?提出了標(biāo)準(zhǔn)化、合規(guī)化的方法!在你還不熟悉這一行,還不懂得如何借鑒國(guó)外同行,以及還沒有自己特別方式之前,是非??赡艿耐緩健?/p>
平時(shí)也可以進(jìn)步成長(zhǎng)!一個(gè)每天都值得做的事,就是“回顧過去知名的***案例”。比如,2008年的MS08-067 RPC溢出漏洞,SQL注入 xpcmd.dll等等。老祖宗給的成長(zhǎng)方法,確實(shí)另我們信服,叫“溫故知新”!回顧漏洞,完整地模擬它,其中的收獲真是“值得回味和體會(huì)”。當(dāng)然,如果你還不知道那些案例、不知道如何模擬,最好在開始成長(zhǎng)前,報(bào)個(gè)班。推薦中軟計(jì)算機(jī)培訓(xùn)中心阿!呵呵... ...
暫時(shí)駐筆,更多文章建議訪問http://cisp.csst.com.cn
張曉峰
中軟計(jì)算機(jī)培訓(xùn)中心