5、网络和网络数据包分析

其实，识别团队中真正优秀的 IT 安全专业人员并不难，观察他们是否能够对网络数据包进行分析即可。真正优秀的 IT 安全专业人员应该能够熟练地使用网络基础知识，例如协议、端口编号、网络地址、OSI 模型层、路由器和交换机之间的区别，并且能够读取和理解网络包内所有不同字段的实际用途。

总而言之，理解网络数据包分析是为了真正了解网络和使用它们的计算机。

　　6、基础性常规防御

几乎每台计算机都有常规的基础防御机制，优秀的IT专业人员会尽可能地考虑和应用这些方法来实现最佳的保护效果。以下是计算机安全的 “标准”，具体包括：

• 　　补丁管理
• 　　终端用户培训
• 　　防火墙
• 　　杀毒软件
• 　　安全配置
• 　　加密/解密
• 　　身份验证机制
• 　　入侵检测
• 　　日志记录

理解和使用这些常规性的IT基础安全防御机制是每位IT安全专业人员必备的技能。但除了简单地了解其功能之外，还要弄清楚其擅长执行哪些任务以及缺乏哪些保护能力等。

　　7、认证基础知识

安全专业人员都知道，身份验证不仅仅是输入有效密码或满足双因素 ID 测试的过程。它还涉及更多细节。身份验证从为任何命名空间提供唯一有效身份标签的过程开始，例如电子邮件地址、用户主体名称或登录名。

认证的本质，是提供仅由有效身份持有者及其认证数据库/服务所知的一个或多个 “秘密” 信息的过程。当有效身份证持有者输入正确的身份验证因素时，即证明通过身份验证的用户是该身份的有效持有者。然后，在成功进行身份验证之后，尝试访问受保护资源将由称为授权的安全管理器进行检查。所有登录和访问尝试应记录到日志文件中。

与安全领域的其他所有事物一样，身份认证也正在不断发展完善。其中一个较新的概念，同时也是我认为最有可能保留的概念之一是持续性用户身份认证，在这种认证机制中，记录用户执行的所有操作都会根据已建立的模式不断重新评估。

　　8、移动威胁

如今，全球的移动设备数量已经超过了全球人口总数，而且大多数人习惯通过移动设备获取大部分日常信息。鉴于人类的移动通信能力只可能不断提高，因此IT安全专业人员需要认真对待移动设备、移动威胁以及移动安全性等问题。目前最主要的移动威胁包括：

• 　　移动恶意软件
• 　　间谍软件
• 　　数据或凭证窃取
• 　　图片窃取
• 　　勒索软件
• 　　网络钓鱼攻击
• 　　不安全的无线网络

对于大多数移动威胁来说，威胁移动设备或计算机没有太大区别。但是，两者间还是存在一些不同之处的，你需要知道它是什么。任何不熟悉移动设备细节的IT专业人员都应该尽快开始了解。

　　9、云计算安全

流行问答：有哪四个因素使得云计算安全性比传统网络更复杂？

每位IT专业人员都应该能够轻松通过这项测试。

其答案是：

• 　　缺乏控制能力
• 　　始终暴露在互联网上
• 　　多租户(共享服务/服务器)模式
• 　　虚拟化/容器化/微服务

有趣的是，云所真正代表的实际是 “其他人的计算机”，以及由此带来的一切风险。传统的企业管理员无法控制用于在云中存储敏感数据和服务用户的服务器、服务和基础设施。因此，你必须寄希望于云服务供应商，相信他们的安全团队正在履行其职责。云基础架构几乎都是多租户模式，通过虚拟化和最新兴起的微服务及容器化开发而来，因此我们很难将不同客户的数据区分开来。一些人认为，这样做有助于使安全性更容易实现，但每一项开发通常都会使基础设施更加复杂，而复杂性和安全性通常存在相互冲突的关系。

　　10、事件记录

年复一年，安全研究表明，最易被忽视的安全事件其实一直存在于日志文件中。你所要做的就是查看事件记录。良好的事件日志系统是具有价值的，优秀的 IT 专业人员应该知道如何设置以及何时进行查询。

以下是事件记录的基本执行步骤，每个 IT 安全专业人员都应该熟练掌握：

• 　　政策
• 　　配置
• 　　事件日志收集
• 　　规范化
• 　　索引
• 　　存储
• 　　相关性
• 　　基线
• 　　警报
• 　　报告

　　11、事件响应

最终，每个 IT 环境可能都会遭遇安全防御失败的状况。不知何故，黑客或者由此创建的恶意软件总能找到可乘之机，随之而来的就是严重的负面后果。因此，一位优秀的 IT 专业人员需要对此准备就绪，并制定事件响应计划，该计划最好能够立即付诸实施。良好的事件响应至关重要，这可能最终决定着我们的企业形象甚至商业生命能否延续。事件响应的基础包括：

• 　　及时有效地做出响应
• 　　限制伤害范围
• 　　进行取证分析
• 　　识别威胁
• 　　沟通
• 　　限制后续伤害
• 　　承认经验教训

　　12、威胁教育和沟通

大多数威胁都是众所周知并且经常发生的。从最终用户到高级管理层和董事会的每个利益相关者都需要了解当前针对贵公司的最大威胁，以及您为了阻止他们所采取的措施。您面临的一些威胁，例如社会工程攻击，只能通过员工安全意识培训来阻止。因此，良好的沟通能力通常是将优秀的 IT 专业人员与普通人员区分开来的评判因素。

沟通是一项重要的 IT 安全专业技能。但是，不能简单地依靠员工自己的个性和魅力，因为沟通是通过各种方法进行的，其中包括：面对面交谈、书面文档、电子邮件、在线学习模块、新闻通讯、测试和模拟网络钓鱼。

无论你部署什么类型的技术控制措施，可能都躲不过攻击活动的侵扰。因此，请确保利益相关者为此做好准备。至少，你的教育计划应该涵盖以下项目：

• 　　针对组织的最可能、最重要的威胁和风险
• 　　可接受的使用方法
• 　　安全政策
• 　　如何进行身份验证以及应该避免哪些操作
• 　　数据保护
• 　　社交工程认知
• 　　如何以及何时报告可疑的安全事件

(责任编辑：安博涛)