متخصص امنیت کیست؟

شروع موضوع توسط Nazanin ‏20/10/15 در انجمن اخبار تکنولوژی

  1. Nazanin

    Nazanin Moderator عضو کادر مدیریت

    ارسال ها:
    16,244
    تشکر شده:
    60
    امتیاز دستاورد:
    38
    شاید این سوال ذهن بسیاری از علاقه مندان به امنیت و آی تی را پر کرده است که یک کارشناس و یا متخصص امنیت اصلا کیست؟ چه می کند؟ چه چیزهائی باید بداند؟ آیا صرف بلد بودن کار با یک نرم افزار یا سخت افزار امنیتی کافیست که آن شخص متخصص امنیت شود؟


    1610a711e66a4ec8dcd69d982533e117.jpg


    به منظور متخصص شدن در زمینه امنیت ابتدا باید مفهوم امنیت را بدانیم و درک صحیح از این واژه داشته باشیم.

    همانطور که در دو مقاله قبل (1 و 2) هم توضیح داده شد امنیت به معنای احساس آرامش داشتن است. صرف داشتن یک وسیله دفاعی، یک نرم افزار یا سخت افزار قوی، امنیت محیط یا سیستمی بوجود نمی آید. بسیاری از سازمان ها از دیواره های آتش قوی، آنتی ویروس های حرفه ای تحت شبکه استفاده می کنند ولی هیچ گاه بدرستی پیکربندی نشده و یا از ظرفیت اصلی آنها استفاده بهینه نشده است. چرا چنین اتفاقی می افتد؟



    معمولا افرادی که با نرم افزار و یا سخت افزارهای امنیتی کار می کنند به معلوماتی که از طریق رفتن به دوره های آموزشی تخصصی در این ضمینه فرا می گیرند اکتفا می کنند. این یکی از بزرگترین مشکلاتی است که گریبانگیر بسیاری از نهادها و سازمان ها است.

    حال می خواهیم در این مقاله بطور بسیار ساده و مختصر راه و روش هایی را برای رسیدن به هدف پرورش یک متخصص در ضمینه امنیت اشاره کنیم.

    در ابتدا باید ببینیم یک کارشناس ارشد امنیت با یک متخصص امنیت چه تفاوت هائی دارد.

    یک کارشناس ارشد امنیت، مفاهیم اصلی در این علم را بصورت آکادمیک یاد گرفته است. مثلا دارای مدرک کارشناسی و یا کارشناسی ارشد از دانشگاه در زمینه امنیت اطلاعات، شبکه می باشد. این فرد با تمام مفاهیم امنیتی و تا حدودی با نرم افزار ها و سخت افزارها آشناست و یا در استفاده از بعضی نرم افزار های امنیتی و یا سخت افزارها دارای دانش و تخصص کافی می باشد. ولی امکان این هست که با تمامی یا تعداد زیادی از آنها آشنا نباشد. کارشناس ارشد امنیت معمولا سیاست های امنیتی را برنامه ریزی می کند. دید کلی نسبت به امنیت دارد. مشکلات امنیت را بررسی و راه کارهای لازم را در این خصوص ارائه می دهد. آموزش متخصصان و گاهی کاربران نیز از دیگر وظایف یک کارشناس ارشد امنیت می باشد.

    2073a84b1de079aee35828c6830a7afe.jpg


    حال به عملکرد یک متخصص امنیت می پردازیم. این شخص دارای تخصص خاص و حرفه ای در نرم افزارها یا سخت افزارهای امنیتی می باشد. گاهی نیز در این ضمینه دارای مدرک بین المللی است. مثلا دارای مدرک CCSP،CCNP ، MCSE Securityو... می باشد. یک متخصص شبکه وظیفه پیکربندی و تهیه گزارش از نحوه عملکرد سیاست های امنیتی در مجموعه را به کارشناس ارشد امنیت دارد. نقش گزارشات ارائه شده، در تصمیم گیری های مدیریتی و امنیتی بسیار مهم می باشد و بر اساس آن کارشناس ارشد امنیت می تواند وضعیت را تجزیه و تحلیل کرده و در صورت عدم گرفتن جواب مناسب نصبت به تغییر سیاست ها اقدام نماید. بعبارت ساده تر متخصص امنیت بازوی کارشناس امنیت می باشد.





    حال به منظور یک متخصص امنیت و یا یک کارشناس ارشد امنیتی شدن، چه باید معلوماتی باید دانست؟

    *در قدم اول متخصص امنیت یا کارشناس ارشد امنیت با هر نوع گرایشی می بایست درک درست مفهوم امنیت را بداند. برای انجام وظایف خود این دید را نسبت به کارهای خود داشته باشد و همیشه احتمالات را در نظر بگیرد.این جمله بدین معنی نیست که شخص مانند کاراگاهان اداره امنیتی کشور رفتار کنند و به همه ** و همه چیز مشکوک باشند، بلکه همیشه احتمال خطر و ریسک موجود را شناسائی و سعی بر برطرف کردن آن و یا به حداقل رساندن آن کند.

    *در قدم بعدی دانش و تاریخچه امنیت که از کی شروع شد، چه مراحلی را طی کرد و در حال حاضر به کدام مقطع رسیده است را بداند.

    صرف داشتن یک نرم افزار یا سخت افزار قوی، امنیت سیستمی بوجود نمی آید. بسیاری از سازمان ها از دیوار آتش قوی، آنتی ویروس های حرفه ای استفاده می کنند ولی هیچ گاه بدرستی پیکربندی نشده و یا از ظرفیت اصلی آنها استفاده بهینه نشده است




    *داشتن معلومات لازم در خصوص موارد مهمی مانند رمزنگاری، الگوریتم های مورد استفاده آن، سرویس های مربوط جهت راه اندازی و مدیریت آن.


    2370242353152ab83dd03e420c8f08b4.jpg


    *مدیریت ریسک: مدیریت منابع، ارزش گذاری، در نظر گرفتن احتمال خطا و آسیب ها و روش های حفظ و نگهداری دارائی های سازمان جزو دانش لازم برای اینگونه افراد می باشد.

    * آشنائی با پروتکل های امنیتی و مطالعه در این زمینه، دانستن تکنیک های نفوذ و هک و بلعکس، جلوگیری از آنها نیز جزو اطلاعات لازم و اجباری برای افرادی که در زمینه امنیت فعالیت می کنند است.

    * تخصص در نصب و پیکربندی صحیح نرم افزارها و سخت افزارهای امنیتی مانند آنتی ویروس ها، دیواره های آتش و سیستم های اعلام خطر و گزارش گیری.

    * مطالعه در خصوص روش های نوین پیاده سازی امنیتی، استاندارهای جدید و مقالات نو، تحقیق و شرکت در جلسات آموزشی و سمینارهای امنیت.

    با توجه به توضیحات بالا برای یک کارشناس ارشد امنیت طی کردن دوره های Security+، CEH، CISSP در خصوص دید کامل نسبت به امنیت و دانش تخصصی در ضمینه یک دیواره آتش مانند ASA شرکت سیسکو، TMG و یا مسلط بودن به یک سیستم عامل با اکثر ابعاد کارائی و امنیتی آن مانند دوره های MCITPE یا RHCE، لازم و ضروری است.

    اما برای یک متخصص امنیت که وظیفه پیاده سازی و پیکربندی را دارد طی کردن دوره هایی نظیر MCITP، MCSE security، RHCE، CCNP Security و مسلط بودن به نحوه کارکرد یک آنتی ویروس تحت شبکه لازم است.

    بطور خلاصه می توان گفت داشتن معلومات کافی و بروز نگه داشتن آن، آشنائی و شناخت صحیح قابلیت های نرم افزها و سخت افزارهای امنیتی، کسب تجربه مانند شرکت در دوره ها و خودآموزی ها، راه های پیشرفت کارشناسان ارشد و متخصصان امنیت می باشد هر چه در این ضمینه سعی و کوشش بیشتری بنمایند به طبع نتیجه بهتر و قابل توجهی نسیب خود آنها می شود.
     
    Nazanin, ‏20/10/15
    #1