网站安全工程师与渗透测试工程师有哪些区别
现在网络安全的岗位有很多,其中的网络安全运维岗位我觉得应该是最多的,也是缺口最大的。跟渗透测试相比的话,安全运维的岗位更多,不过这个岗位的要求也是比较多,比较综合。未来的网络安全人才的发展趋势,我觉得应该也是往综合性发展的,那这个行业其实还是比较内敛的,这一年多的时间里面,我看招聘网站上面的安全岗位的要求变化还是比较大的,不过相对的这个薪资待遇也是越来越高了,而且现在有些公司招的安全运维工程师直接要求必须要熟悉渗透测试的技术,就是希望你能够做运维又能做渗透,因为你懂渗透就能够发现漏洞,就能够知道怎么去修复漏洞。
那渗透测试的岗位其实也不少,但是要求可能会纵深一点。渗透测试和安全运维岗位的这个技术重点是不太一样的,纯渗透测试的岗位的话,着重的是渗透技术,安全运维的岗位可能比较全面一点,比较综合一点,着重的是安全漏洞问题的发现和修复以及安全日志的分析。
那今天我就跟大家聊一聊安全运维工程师日常的工作内容都有哪些?
网络安全涉及到的面实在是有点大,从应用到平台到系统再到网络,最后还有物理环境都要设计,我觉得安全运维工作就是个打杂的,不过这个打杂的也是个牛人全能型的人才啥都要干啥都要会,可以说是高级的打杂工。
从顶层应用上面,比如说维护的是网站,或者是其他的这种应用安全运维需要懂系统的基本运行结构,比如说网站吧,你得知道主站是哪台服务器,数据库在哪,调用数据库的时候流量是否有加密,数据库是否有安全访问策略等等,查询数据库的操作是否有经过审计,在代码层面还得去看看查询数据库的语句是否有做相应的安全过滤等等的一系列问题。想想都怕,然后就是各种安全设备的日志分析,什么WAP网站监测,防火墙数据库、IPS、终端漏洞等等,这些都是安全产品了,那么安全运维人员那是必须要求会用的,要会配置,日志要能够看得懂,当有这么多设备在一起的时候,你得要有思路,怎样从日志当中去分析出相应的问题,然后提出建议和整改的方案,然后还要懂系统的运维。
现在比较多的应用都是安装在Linux操作系统上,那么Linux操作系统你得要会吧也是必须要熟悉的,比如说网站使用阿帕奇,中间件那数据库用的是mysql,那你总得会配置中间件去发布网站等等。
mysql安装维护,还有0软件的升级,举个最简单的例子,open SSl服务升级,从1.0升级到1.1,虽然说这是一个很小的事情,但你必须要会,又比如这个阿帕奇它的版本升级那可能还要要求升级的过程当中,服务不能够受影响,不能中断,要出具相关的解决方案给领导,像这两个例子的话都是很实际的问题了,虽然没有什么技术含量了,但是类似的这些操作或者说这些升级的操作,对进程定位问题等等,这些操作都是比较常用比较常见的。
比如说等保要求安全日志要保存180天,那现在的网络安全设备的存储都是很小的,不可能存这么久,比如说某品牌的WAP设备顶多只能存7天,那你想一下180天那差得老远了,那么你就需要去搭建一套日志系统,用于存储这些安全日志或者是访问日志那关于这个日志存储这一块,那就要考虑云数据去保存。
公测可分为三类:
1.企业自建SRC(安全响应中心)组织众测项目;
2.投入第三方互联网漏洞平台的众测项目;
3.企业组织多家安全厂商小规模公测项目。
主要区别在于:
企业自建SRC需要通过营销手段增加白帽活动,直接获得第一手白帽漏洞,但需要专人操作SRC平台;第三方漏洞平台有一定的白帽子资源,漏洞通过平台转发,需要支付平台服务费;许多安全制造商参与小规模测试项目的测试人员有限,测试人员不遵守规则的风险可控,但安全制造商的投入产出相对较低,测试动力不足。除了万人海啸战模式外,其他测试模式都是安全服务制造商采用的测试模式。根据安全制造商渗透测试人员的储备和安全服务项目的数量,一些项目指定测试人员完成测试工作,称为:一人的战斗。采用两名测试人员背靠背交叉测试模式,称为背靠背双人防御战。专业安全服务公司将成立安全攻击和防御团队进行专业测试,称为攻击和防御团队合作战。
说了这么多,企业应该如何打好这场仗,如何以更低的成本最大化收获漏洞?首先给出结论:成本控制三步走。
第一步:内部安全团队或第三方安全公司进行网站渗透测试,与开发团队深入沟通,从代码层和承载环境层建立强有力的保护方案;
第二步:利用企业SRC或第三方公开测试平台开展短期公开测试活动,纠正第一步保护措施的不足;
第三步:利用企业SRC正常收集白帽子漏洞,不断纠正发现的问题。
三步成本控制成功的关键:
1.渗透试验的第一步必须高质量,尽量覆盖所有类型的漏洞,发现典型问题,快速有效地发现,建立点和表面保护;
2.第一步是发现问题后的保护方案,从全球角度构建保护措施,如:全球过滤器、安全部件调用等;
3.第二步是检验第一步保护措施的有效性。因此,本次保护措施的修订是提高安全保护能力的关键活动;
4.安全专家是一个重要的角色,理解和给出漏洞的最佳保护措施尤为重要,直接影响到收集漏洞的成本。
5.企业安全防护措施的积累也是影响成本的关键因素,如:安全设计、安全编码、安全组件等。
总结一下,一个是代码层面,至少要会看一些基本的,比如说web为例,你至少要能够看的大概的前后端代码要能够看得懂后端这一块,至少要基本的能看懂整体的运行逻辑,什么时候调用了什么,做了什么事情,都要有个心理有数,只有了解了大部分的情况才能更好的维护网站。
网站安全工程师与渗透测试工程师有哪些区别相关推荐
- 如何成为一名专业的云渗透测试工程师
前言 很多人不知道网络安全发展前景好吗?学习网络安全能做什么?现在行业有哪些热门岗位?今天为大家解答下. 从宏观层面来看,新基建成为中国经济热词,政府和企业业务上云全面提速,随着云计算技术的快速发展, ...
- 视频教程-网络安全与渗透测试工程师-渗透测试
网络安全与渗透测试工程师 云知梦创始人,国际架构师,11年互联网培训和开发经验,曾在港电讯盈科.北大青鸟集团.远大教育.北京易第优教育等公司任职曾获得美国红帽RHCA构架师和RHCDS数据中心讲师,在 ...
- 面试上海启明星辰+渗透测试工程师! 通过
更多黑客技能 公众号:暗网黑客 掌控安全学员-裁决者 所面试的公司:启明星辰 薪资待遇:不便透露 所在城市:北京 面试职位:渗透测试工程师 面试过程: 我是转岗的,往他家投了简历,然后就给我打电话了, ...
- 渗透测试工程师面试题大全(三)
渗透测试工程师面试题大全(三) from:backlion大佬 整理 101.什么是 WebShell? WebShell 就是以 asp.php.jsp 或者 cgi 等网页文件形式存在的─种命令执 ...
- 渗透测试工程师的职业发展
前段时间看了一个大哥写的程序员的职业发展,感触很深,这几天晚上就参考大哥的思路结合自身的经历写一下渗透工程师的职业发展之路,顺便也让迷茫中的小伙伴们有个参考. 很多干渗透.安全服务.安全运维的人在干了 ...
- 渗透测试工程师都需要什么工具呢?网络安全(一)
渗透测试是目前网络安全人士向往的工作之一.令人兴奋,含金量高,且对所有人敞开大门.无论你是准毕业生.在校生.信息安全从业人员,还是对渗透测试感兴趣的人群,只要专项能力过硬,就可以成为渗透测试工程师.那 ...
- 【2023年最新版】渗透测试入门教程,手把手带你进阶渗透测试工程师,学完即可就业
前言 学习网络渗透技术是一件靠兴趣驱动的事情,只有强烈热爱一件事才能持之以恒的去做,对于那些三分钟热度的人来说还是劝你放弃吧,因为网络渗透技术自学需要很多方面的知识,没耐心是无法学会的. 当然除了有想 ...
- 摸爬滚打大半年,我是如何从零基础进阶到渗透测试工程师
前言 做渗透测试工程师工作也好几年了,想当年,自己也是从零基础小白开始学起,在这期间摸爬滚打之中,遭遇到了服务器被黑,网站被人DDOS攻击,数据库被篡改等等-服务器也不是你说不让人上就不让人上的,所以 ...
- CISP-PTE注册信息安全专业人员渗透测试工程师知识体系大纲
CISP-PTE注册信息安全专业人员渗透测试工程师知识体系大纲 都是图.. 不足之处,欢迎补充 转载于:https://www.cnblogs.com/wushangguo/p/9059372.htm ...
- 渗透测试工程师(NISP-PT)与网络安全运维工程师(NSP-SO)
渗透测试工程师(NISP-PT)与网络安全运维工程师(NSP-SO) 应势而为,顺时而动 预计到2027年,我国网络安全人员缺口将达327万 1.市场需求大:近年国内网络安全法律法规相续出台,促使企事 ...
最新文章
- 【晒出你的第83行代码】踌躇满志的三位高中生,以敬畏之心踏上了代码征程...
- a或b search vim_vim编辑器
- Python 初学者必看:Python 异常处理集合
- tcp/udp高并发和高吐吞性能测试工具
- GAN生成对抗网络-CGAN原理与基本实现-条件生成对抗网络04
- mysql数据库解除外键
- Net设计模式实例之中介者模式(Mediator Pattern)
- Python中使用Unicode对中文进行编码和解码
- ubuntu系统颜色更改
- 25. PHP 文件处理
- 南阳ACM 题目275:队花的烦恼一 Java版
- PRM–endRequest事件
- ArcGIS Server(详细介绍)转
- linux该专接本还是工作_先专接本还是先工作?
- FEEMD-快速EEMD
- 【每日一P】利用通道抠图更换天空
- 从零开始javaweb项目——毕业设计参考指南
- IE浏览器设置UserAgent
- 微信h5界面隐藏分享按钮
- 数学建模比赛经验总结