اطمینان از امنیت اطلاعات بررسی سیستم های خودکار. امنیت اطلاعات سیستم های خودکار: چه نوع حرفه ای، با چه کسی کار کنیم؟ دانشگاه ها و مسیرها
در سال 2005، در کراسنویارسک، برای کسب آموزش در زمینه امنیت اطلاعات، امکان ورود دانشگاه فنی دولتی کراسنویارسک (در حال حاضر موسسه پلی تکنیک دانشگاه فدرال سیبری) یا دانشگاه دولتی هوافضای سیبری. من دومی را انتخاب کردم، مخصوصاً موشک عظیمی که روی نما نقاشی شده بود و کلمه "فضا" در عنوان آن مجذوب شدم. دانشگاه دولتی کشاورزی سیبری نیز به نوبه خود مجبور به انتخاب از دو جهت بود: 090105 "حمایت جامع امنیت اطلاعات سیستم های خودکار"و 090106 "امنیت اطلاعات سیستم های مخابراتی" (مدرک در هر دو مورد - متخصص امنیت اطلاعات)، در پلی تکنیک تخصص 090102 "امنیت کامپیوتر" (مدرک تحصیلی - ریاضیدان) وجود داشت. بین امنیت "جامع" و "مخابرات"، من دومی را انتخاب کرد و نه برنامه ها کاملاً متفاوت بود ، آموزش ما عمدتاً به مطالعه اصول ارتباطات در تمام جلوه های آن (ارتباطات رادیویی ، سلولی ، سیمی) اختصاص داشت.
به مدت پنج سال و نیم مدلهایی از یک کانال ارتباطی ساختیم، فرستندهها و گیرندهها را ترسیم کردیم، ویژگیهای سیگنال را محاسبه کردیم و کدگذاری مقاوم در برابر نویز را مطالعه کردیم. و همه اینها تحت رهبری مردان نظامی سابق (این عاشقانه خاص خود را دارد). برای کسانی که فیزیک و به خصوص بخش "نوسانات و امواج" را دوست دارند (احتمالاً سخت ترین در برنامه درسی مدرسه) تخصص "امنیت مخابرات" کاملاً مناسب بود. بسیاری از دوستان و آشنایان من در «امنیت یکپارچه» درس میخواندند و کلاسهای مشترکی داشتیم، هرچند برنامهشان به نظر من پیش پا افتادهتر بود. اما شامل کار بیشتر با رایانه و قوانین بود. شوهر من از دانشگاه پلی تکنیک فارغ التحصیل شد - آنها ریاضیات زیادی داشتند (مثل اینکه ما فیزیک داریم).
حالا چی؟
همه چیز چند سال پیش تغییر کرد و اکنون در دانشگاه کشاورزی دولتی سیبری می توانید برای مدرک لیسانس در 10.03.01 "امنیت اطلاعات" و متخصص در 10.05.02 "امنیت اطلاعات سیستم های مخابراتی" (تخصص من با نام جدید) تحصیل کنید. )(ارتباط دادن) . جهت SFU نشان داده شده است . در تومسک، آنها امنیت اطلاعات را در TUSUR (ارتباط دادن ). می خواهم فوراً متذکر شوم که تخصص ها بسته هستند، به این معنی که افراد دارای تابعیت سایر کشورها (و همچنین تابعیت مضاعف) پذیرفته نمی شوند.
آیا یادگیری آسان است؟
می توانم بگویم که مطالعه بسیار دشوار است، تکالیف مستقل، تکالیف درسی و کارهای استاندارد زیاد است. مدام مجبور بودم چیزی را حساب کنم و بشمارم. بسیاری از فیزیک و ریاضیات. قبلاً دختران زیادی در حال تحصیل نبودند، اما اکنون تعداد آنها بسیار بیشتر است. در گروه 27 نفری ما سه دختر بودند. برای کسانی که به طالع بینی اعتقاد دارند، یک جزئیات جالب - هر سه علامت زودیاک عقرب داشتند، آنها می گویند که مستعدی برای علوم فنی وجود دارد. نکته جالب دیگر تعداد مدال آوران طلا و نقره - نیمی از گروه است.
مطالعه و کار چه مشترکاتی دارند؟
متأسفانه، بیشتر دانش به دست آمده مفید نبود. مفیدترین کار مطالعه مبانی حقوقی و سازمانی امنیت اطلاعات به عنوان بخشی از یک دوره شش ماهه بود. همه موارد با توجه به امنیت رایانهنیز مفید بودند، اما مخابرات مفید نبود. در دانشگاه از سال دوم درس خواندم کار علمیو سمینارهای علمی رفتم، به نظرم بیشتر از همه دروس به من دادند :) بقیه اطلاعاتم را از کتاب، مجلات، اینترنت و تجربه کاری به دست آوردم.
آیا پیدا کردن کار سخت است؟
نظرات مختلفی وجود دارد اما با توجه به تجربه خودم و آشنایان و دوستانم می توانم بگویم کاریابی سخت اما ممکن است. من در حال حاضر در رتبه چهارم و هر بار در تخصص خود کار می کنم. علاوه بر این، شغل اول و دوم هنوز در دوران تحصیلم بود، بنابراین حتی با تحصیلات عالی ناقص هم می توان کار پیدا کرد. یافتن فریلنسینگ برای انجام کار دشوار است حفاظت فنیاطلاعات نیازمند مجوزهایی است که به سازمان داده می شود و اخذ آن بسیار دشوار است. اما می توانید در شرکتی که خدمات امنیت اطلاعات را ارائه می دهد شغل پیدا کنید، سپس حقوق به طور مستقیم به تعداد مشتریان بستگی دارد. اگر ثبات می خواهید، بهتر است یک متخصص امنیت اطلاعات در تولید شوید.
حق الزحمه
به طور متوسط از برنامه نویسان پایین تر است و یافتن کار پاره وقت دشوارتر است. اما معمولاً بالاتر از مدیران سیستم است.
متخصص چه می کند؟
حتی با عنوان شغلی یکسان، زمینه های کاری زیادی وجود دارد. نصب و پیکربندی ابزارهای امنیت اطلاعات، نوشتن دستورالعملها و مقررات امنیت اطلاعات، آموزش روشهای کار ایمن به کاربران، کار با ابزارهای رمزنگاری، بررسی حوادث و موارد دیگر.
موارد منفی
من معایب را در نظر خواهم گرفت:
- انتخاب کوچکی از مشاغل (در مقایسه با برنامه نویسان و سایر متخصصان فناوری اطلاعات)؛
- حقوق کم، کار پاره وقت دشوار؛
- کار با اسناد زیاد
شرح
در طول آموزش در این پروفایل، به دانش آموزان آموزش داده می شود:
- اجرای اجزای زیرسیستم، بررسی وضعیت فنی آنها، تعمیر و نگهداری.
- انجام تطبیق و نصب اجزای زیرسیستم؛
- سازماندهی رویدادهای مرتبط با بهداشت و ایمنی شغلی؛
- استفاده از نرم افزار و سخت افزار لازم برای اطمینان از امنیت اطلاعات در سیستم های خودکار؛
- نظارت بر بهره وری سخت افزار و نرم افزار مورد استفاده؛
- اطمینان از ضبط، پردازش، انتقال و ذخیره اطلاعات محرمانه؛
- استفاده از تجهیزات مهندسی؛
- حل مشکلات فنی خصوصی که به طور اجتناب ناپذیری در فرآیند انجام بررسی های کنترلی، صدور گواهینامه اماکن، تاسیسات و وسایل فنی;
- اعمال مقررات قانونی، دستورالعمل هاو اسناد؛
- توسعه ساختار سازمانی در یک سیستم جامع امنیت اطلاعات؛
- نظارت بر اثربخشی سیستم های پیچیده مورد استفاده برای اطمینان امنیت اطلاعات.
با چه کسی کار کنیم
جهت اصلی در رشد حرفه ای تضمین امنیت اطلاعات در شرکت ها است. این شامل شرکت های بزرگو زنجیره های خرده فروشی آژانسهای کارآگاه خصوصی مختلف نیز به خدمات مشابهی نیاز دارند که در آنها میزان حفاظت از دادهها باید در حداکثر سطح باشد. رهبران در استخدام سازمان های دولتی مختلف هستند که به طور منظم به توسعه دهندگان سیستم های امنیتی و تشخیص تهدیدات خارجی موجود نیاز دارند. بسیاری از فارغ التحصیلان برای پیشرفت شغلی خود، مشاغل حرفه ای خود را در تیم های توسعه در شرکت های کوچک آغاز می کنند. در این مدت آنها تجربیات بسیار ارزشمندی را به دست می آورند که حضور آنها به آنها امکان می دهد با بهترین شرایط در سازمان های بزرگ استخدام شوند.
اخیراً مسیری مانند "امنیت اطلاعات" در دانشگاه ها رایج شده است. بعد از فارغ التحصیلی چه باید کرد؟ این سوال را تقریباً همه فارغ التحصیلان و دانشجویان این رشته می پرسند. از یک سو، اینها فناوری های IT هستند و از سوی دیگر، ناشناخته ها. به همین دلیل است که ما سعی خواهیم کرد بفهمیم که چه شغلی می تواند در انتظار فردی باشد که در یک دانشگاه به امنیت اطلاعات تسلط داشته باشد. اگر دقت کنید، می توانید تعداد زیادی جای خالی جالب و معتبر پیدا کنید. برخی از آنها می توانند درآمد زیادی برای شما به ارمغان بیاورند.
نصب کننده شبکه
بنابراین، شما در رشته سیستم های خودکار تسلط دارید یا قصد دارید فارغ التحصیل شوید." پس از فارغ التحصیلی چه باید کرد؟ دانشگاه پاسخ روشنی به این سوال به شما نمی دهد. اما در عمل می توانید بفهمید که کجا می توانید شغل پیدا کنید. .
به عنوان مثال، فارغ التحصیل این تخصص می تواند به عنوان نصاب شبکه مشغول به کار شود. اکثرا کامپیوتری به عنوان یک قاعده، ارائه دهندگان مختلف اینترنت بسیار مایل به استخدام چنین متخصصانی هستند. وظیفه شما حفظ کنترل، امنیت و ثبات سرور اصلی خواهد بود.
به عبارت دیگر، اگر در زمینه امنیت اطلاعات تسلط دارید، اما نمی دانید با چه کسی کار کنید، می توانید به ارائه دهندگان اینترنتی معروف مراجعه کنید. آنها به سرعت برای شما موقعیتی در آنجا پیدا می کنند. علاوه بر این، نصب شبکه ها یک کار بسیار مهم و دشوار است، اما سود خاصی ندارد. بنابراین، شما باید گزینه دیگری را پیدا کنید. البته اگر نصاب را به عنوان حرفه انتخاب نکرده باشید.
برنامه نویس
بنابراین، شما وارد تخصص چه کسی خواهید شد تا 5 سال دیگر کار کنید؟ در اینجا دادن یک پاسخ مشخص دشوار است. پس از همه، این جهت تمام حوزه های فناوری IT را پوشش می دهد. در عمل، تصویری که به دست میآوریم تقریباً به این صورت است: شما تبدیل به فردی میشوید که کمی در مورد هر جنبهای از فناوری و رایانه میفهمد.
بنابراین، یک دانشجوی فارغ التحصیل گزینه های مختلفی برای کار دارد. اما موفقیت شغلی، به عنوان یک قاعده، بستگی به این دارد که فرد با موفقیت و وضوح در مورد چیزی خاص در طول آموزش "تثبیت" کرده است. اگر تخصص دریافت کرده اید - نمی دانید برای چه کار کنید، اما در عین حال عمدتاً درگیر برنامه نویسی بودید، می توانید به عنوان برنامه نویس شغلی پیدا کنید. این مکان بسیار معتبر و پردرآمد است. اما همه نمی توانند اینجا کار کنند. برای استخدام موفق باید برنامه نویسی را از سال اول دانشگاه شروع کنید. و سپس شانس به شما لبخند خواهد زد.
گارد امنیت
راستش را بخواهید هر متخصصی می تواند به عنوان نگهبان کار کند. و حتی معمولی ترین دانش آموز. با این وجود، شما تخصص "امنیت اطلاعات سیستم های مخابراتی" را دریافت کردید. با چه کسی کار کنیم؟ علاوه بر موقعیت های خالی ذکر شده، می توانید شغلی به عنوان نگهبان نیز پیدا کنید. فقط نه به یک فروشگاه یا زنجیره خرده فروشی، بلکه به یک مکان معتبرتر. در آنجا، جایی که باید با استفاده از دوربین های خاص، نظم را کنترل کنید.
اما این جای خالی محبوبیت خاصی ندارد. حتی اگر در نظر داشته باشید که تمام اتفاقات را از یک دفتر گرم و دنج تماشا خواهید کرد. نگهبان پستی نیست که ارزشش را داشته باشد 5 سال و حتی بیشتر در دانشگاه درس بخواند. بنابراین، بسیاری این موقعیت را فقط به خاطر تمرین می گیرند. و سپس به دنبال مکان مناسب و معتبرتر می گردند. اگرچه انجام این کار چندان آسان نیست.
اگر به تخصص "امنیت اطلاعات سیستم های مخابراتی" تسلط دارید، هنوز نمی دانید با چه کسی کار کنید و حرفه یک نگهبان یا نصاب مخصوصاً برای شما مناسب نیست، پس باید دوباره جستجو کنید. در واقع، گاهی اوقات پیدا کردن یک مکان خوب برای کار بر روی مدرک می تواند بسیار دشوار باشد. و به همین دلیل است که بسیاری سعی می کنند "حداقل در جایی" شغلی پیدا کنند. اما ما سعی خواهیم کرد تا مشاغل خالی را که برای فارغ التحصیلان این رشته مناسب تر است را شناسایی کنیم.
مدیر سیستم
در اینجا یکی دیگر است که برای فارغ التحصیلان بسیار مناسب خواهد بود. همه نمی توانند تصور کنند که پس از دریافت تقریباً هر تخصص در علوم کامپیوتر، می توان یک مدیر سیستم شد. زیباست کار ساده، که حتی یک دانش آموز که از گهواره در زمینه فناوری رایانه به خودآموزی می پردازد نیز می تواند با آن کنار بیاید.
این یک تخصص چند وجهی "امنیت اطلاعات" است. جایی که باید کار کرد، همه سعی می کنند مکان مناسبی برای خود انتخاب کنند. اگر در ردیف مدیران سیستم "ثبت نام" می کنید، برای این واقعیت آماده باشید که باید به طور مداوم بر عملکرد رایانه و شبکه خود نظارت کنید. برای بسیاری، این یک کار بسیار ساده است که لذت را به ارمغان می آورد. بعلاوه، مدیر سیستمهمچنین باید پیکربندی و اشکال زدایی را انجام دهد سیستم های عاملو تجهیزات و حتی یک دانش آموز اکنون با این روش ها آشنا است.
در بیشتر موارد، شغل یک مدیر سیستم بسیار معتبر و دشوار تلقی می شود. اغلب به شما یک دفتر جداگانه داده می شود که در آن می توانید هر کاری را که صلاح می دانید انجام دهید. اما تا زمانی که مشکلی پیش بیاید. یا کارفرما می تواند یک برنامه رایگان (در تماس) به شما بدهد. همه چیز کار می کند؟ سپس در خانه بمان. آیا چیزی ناگهان شکست؟ لطفا به محل کار بیایید و همه چیز را درست کنید. به هر حال، اندازه، به عنوان یک قاعده، به ماهیت برنامه کاری شما بستگی ندارد.
اما این تمام آن چیزی نیست که «امنیت اطلاعات» آماده کرده است. علاوه بر گزینه های ذکر شده، کجا کار کنیم؟
خدمات امنیتی خصوصی (نصب تجهیزات)
به عنوان مثال، اگر به طور خاص نمی خواهید به عنوان یک نگهبان کار کنید، اما حداقل به نحوی خود را به این حرفه "نسبت دهید"، می توانید در یک سرویس امنیتی خصوصی (به عنوان مثال، در شرکت ها) شغلی پیدا کنید. دقیقا چه کسی باید به آنجا برود؟ به عنوان مثال، یک نصاب اصلی تجهیزات ردیابی.
مسئولیت های شما چه خواهد بود؟ به محلی که خدمات سفارش می دهید برسید، تجهیزات را نصب کنید، آن را متصل کنید، عملکرد آن را بررسی کنید و آن را پیکربندی کنید (در صورت لزوم). و این همه است. برخی ممکن است فکر کنند که در اینجا هیچ چیز پیچیده ای وجود ندارد. اما در واقعیت، همه چیز کمی متفاوت است - برخی از کارگران نمی توانند، به عنوان مثال، دوربین ها را به درستی به "سرور" یا رایانه متصل کنند، جایی که ضبط ویدیوی هر آنچه اتفاق می افتد نمایش داده می شود.
علاوه بر این، گاهی اوقات مجبور خواهید بود برای مشاهده ضبط های ضبط شده در دوربین های امنیتی کمک کنید. این امر به ویژه زمانی صادق است که نگهبان در محل کار نمی داند چگونه با چنین تجهیزاتی کار کند. به طور کلی، کار به عنوان نصاب اصلی سیستم های ردیابی نیز بسیار معتبر است. به خصوص اگر کسب و کار خود را خوب بشناسید.
معلم فناوری اطلاعات
اگر از دست اول «امنیت اطلاعات» (تخصص)، محل کار را میدانید، به احتمال زیاد مطمئن نیستید. در این مورد، همانطور که قبلاً ذکر شد، دانشجویان و فارغ التحصیلان در تلاش برای یافتن حداقل نوعی شغل هستند. و یکی از گزینه ها مدرسه بود. چگونه می توانم اینجا کار پیدا کنم؟ شما می توانید معلم علوم کامپیوتر شوید.
حقیقت را بگویم، این جهت به ویژه با حرفه انتخاب شده مطابقت ندارد. با این وجود، دانشآموزان هنوز درکی کلی از کامپیوتر دارند. و آنها می توانند این مطالب را به دانش آموزان ارائه دهند. یک متخصص امنیت اطلاعات که به عنوان یک معلم معمولی علوم کامپیوتر کار می کند این روزها بسیار غیر معمول است. معمولا مردم با این جای خالی موافقت می کنند که گزینه دیگری وجود ندارد. "امنیت اطلاعات" چقدر بی رحمانه است. با کی دیگه کار کنم؟ بیایید سعی کنیم این را بفهمیم.
کارآفرین
کارآفرینان فردی و خصوصی در زمان ما غیر معمول نیستند. معمولاً اگر فردی دیپلم داشته باشد و شغل نداشته باشد یا اصلاً تحصیلات نداشته باشد، اما ایده، زمان و تلاش زیادی داشته باشد، در این صورت کارآفرین می شود و کسب و کار خود را باز می کند. اگر به گرایش امنیت اطلاعات تسلط داشته باشید، همین کار را می توانید انجام دهید. دقیقا با چه کسی کار کنم؟
به عنوان مثال، می توانید یک دفتر را سازماندهی کنید کمک کامپیوتریا نصب خصوصی سیستم های ردیابی. چنین تجهیزاتی در حال حاضر خیلی گران نیستند و تقریباً در هر فروشگاه رایانه ای نیز فروخته می شوند. علاوه بر این، می توانید سعی کنید در موضوعات کامپیوتری یک کپی رایتر شوید. امنیت اطلاعات یا به عبارت دقیق تر، مقالاتی در این زمینه در اینترنت بسیار محبوب هستند. و اگر کار خود را بشناسید و توانایی نوشتن داشته باشید چندان سخت نخواهد بود. اما بسیار سودآور است.
خلاصه کردن
بنابراین، امروز فهمیدیم که فارغ التحصیلان تخصص امنیت اطلاعات کجا می توانند کار کنند. همانطور که می بینید، گزینه های زیادی برای توسعه رویدادها وجود دارد و بسیاری از آنها به مهارت های فردی هر دانش آموز بستگی دارد.
به طور کلی چنین کارگرانی زندگی واقعیدر هر شغلی که مرتبط با کامپیوتر باشد شغلی پیدا کنید. طراحان، مدل سازان سه بعدی و برنامه نویسان وب در اینجا وجود دارند. نکته اصلی این است که خودتان تصمیم بگیرید که دقیقاً چه کاری می خواهید انجام دهید. و مهارت های خود را در این زمینه از سال اول ارتقا دهید.
بعد از فارغ التحصیلی از دانشکده امنیت اطلاعات چه کاری می توانید انجام دهید و از کجا می توانید تجربه کسب کنید؟ اگر در یک شهر کوچک زندگی می کنید، تحصیل برای نگهبان شدن منطقی است؟ سرگئی کروچینین، رئیس پروژه های آموزشی در GeekBrains، در مورد همه اینها صحبت خواهد کرد. این فرد کار روسای هر 8 دانشکده GeekUniversity را مدیریت می کند و برنامه های آموزشی را هماهنگ می کند.
سرگئی، بیایید با چیز اصلی شروع کنیم. متخصص امنیت اطلاعات یک مفهوم گسترده است. دقیقا چی آموزش میدی؟
اول از همه، می خواهم بگویم که برنامه دانشکده توسط متخصصان مجرب تدوین شده است. تشکر ویژه از نیکیتا استوپین، متخصص امنیت اطلاعات در Mail.Ru و رئیس دانشکده ما. با دانش آموزان به اشتراک خواهیم گذاشت بهترین شیوه هاامنیتی که قبلاً در Mail.Ru Group استفاده می شود.
برای اینکه کسی گیج نشود، باید بدانید که در زمینه امنیت اطلاعات (IS) "مقاله" وجود دارد و کار عملی. متخصصان "کاغذ" نظارت می کنند که آیا سیستم امنیتی - طبق اسناد - با الزامات قانون مطابقت دارد یا خیر. در واقع ممکن است پر از حفره هایی باشد که هیچ کس به دنبال آن نیست یا آنها را تعمیر نمی کند، اما در مستندات همه چیز طبق استاندارد است.
اینطوری انجام نده
ما روی امنیت کاغذی تمرکز نمی کنیم، بلکه بر امنیت عملی برنامه های کاربردی وب، شبکه ها، تجهیزات و داده ها تمرکز می کنیم. دانشآموزان ما روشها و فنآوریهای هک، ابزارهای هکر و عملکرد سیستمهایی که باید محافظت شوند را مطالعه خواهند کرد. تمام این دانش برای یافتن و بستن نقاط آسیب پذیر ضروری است.
دانش آموزان ما همچنین به طور خلاصه با جنبه "کاغذی" امنیت اطلاعات آشنا می شوند: آنها یاد خواهند گرفت که مقررات و دستورالعمل ها را برای کارمندان شرکت تنظیم کنند. استانداردها و مستندات به هیچ وجه بی فایده نیستند، اما جایگزینی برای حفاظت واقعی نیستند.
- چرا GeekUniversity این مسیر خاص را انتخاب کرد؟
ایمنی عملی مهمتر است. یک تجارت قوی در درجه اول به نتیجه علاقه مند است. من همچنین توصیه می کنم با تمرین شروع کنید زیرا به احتمال زیاد شما را به یک تیم جوان و پیشرو IT هدایت می کند.
جای خالی "کاغذی" اغلب توسط افراد 40 تا 50 ساله با نوع خاصی از تفکر، تحصیلات دانشگاهی و تجربه در سازمان های دولتی پر می شود. آنها به طور رسمی به مسائل نگاه می کنند. در طول یک ممیزی، آنها سؤالاتی مانند "آیا سیستم تشخیص نفوذ دارید؟" یا برای بررسی چیزی از کلاینت رمز عبور root را می خواهند. بدون رمز عبور، فارغ التحصیل ما به آنچه در یک ماشین متوسط نیاز دارد نگاه می کند و در صورت لزوم رمز عبور را خودش تغییر می دهد.
در GeekUnivestity ما در حال آماده سازی متخصصانی هستیم که در گروه Mail.Ru و شرکت های مشابه مورد تقاضا خواهند بود - به عنوان مثال، آنها می توانند در تضمین امنیت یک سرویس پستی بزرگ شرکت کنند.
- به هر حال، گروه Mail.Ru در چه زمینه های امنیتی متخصصان را استخدام می کند؟
در میان اولویت ها امنیت محصول (Application Security) است، حتی یک جای خالی باز نیز وجود دارد. متخصصان در این زمینه قادر به یافتن آسیب پذیری های وب سرویس، خنثی سازی تزریق SQL، تزریق فرمان سیستم عامل و غیره هستند. متخصصان امنیت زیرساخت نیز مورد تقاضا هستند. صلاحیت های آنها: حفاظت از سطح شبکه (L3، L4، TCP/IP، فایروال ها)، امنیت سیستم عامل (کنترل بر روی بسته و به روز رسانی هسته)، سیاست های رمز عبور، اسکن محیطی - این لیست برای مدت طولانی ادامه دارد.
- برای کسانی که به تازگی با اصطلاحات آشنا می شوند، تزریق در وب سرویس ها چیست؟
این زمانی است که به جای داده های مورد انتظار برنامه، مانند شناسه پیام، مهاجم دستور مورد نیاز خود را وارد می کند و اسکریپت آن را اجرا می کند. کلاهبردار به داده های محرمانه یا حتی به ماشینی که آسیب پذیری در آن پیدا شده است دسترسی پیدا می کند.
- چه تهدیدهای دیگری را برای یافتن آموزش می دهید؟
باینری، رمزنگاری انواع مختلفی از آسیب پذیری ها وجود دارد. دو سه ماهه اول سال تحصیلی تنها به امنیت وب اختصاص دارد. این یک جهت بسیار مهم است، زیرا تجارت از حالت آفلاین به آنلاین می رود و داده های کاربر به وب و ابرها می رود. همین 10 سال پیش سفارش تاکسی فقط تلفنی بود. اکنون - عمدتاً از طریق خدماتی مانند Uber و Yandex.Taxi. و سوال اصلی این است که وب سرویسی که به داده های خود اعتماد دارید چقدر امن است.
اگر توسعهدهندگان سایت به امنیت توجه نکرده باشند، یک کاربر کم و بیش پیشرفته میتواند پیامهای دیگران را بخواند، به عکسها و غیره نگاه کند. مجموعه ای از آسیب پذیری های وب برای سوء استفاده از بی دقتی برنامه نویس طراحی شده است. ما به دانشآموزان توضیح میدهیم که مهاجمان چگونه چنین آسیبپذیریهایی را پیدا میکنند و از آنها سوء استفاده میکنند، این میتواند منجر به چه چیزی شود، و چگونه از آن جلوگیری کنیم.
دانستن چنین چیزهایی برای توسعه دهندگان وب، مدیران پروژه و هر کسی که می خواهد از داده های محرمانه بازدیدکنندگان وب سایت خود محافظت کند مفید است. یا باید یک متخصص را درگیر کنید که ممیزی را انجام دهد. شناسایی تهدیدها کمتر از نیمی از کار است. ما هنوز باید بفهمیم که چگونه آنها را از بین ببریم، و سپس مطمئن شویم که حفاظت کار می کند.
دفتر GeekBrains: ما تا دیروقت کار می کنیم، فقط برای اینکه دانش آموزان دانش کسب کنند
علاوه بر امنیت وب، دانشجویان ما امنیت شبکه را به طور مفصل مطالعه می کنند. این مناطق تا حدی به هم مرتبط هستند، زیرا تهدیدهایی وجود دارد که نه تنها سرور، بلکه بخش مشتری سرویس را نیز تحت تأثیر قرار می دهد.
به عنوان مثال، برخی از سایت ها، از جمله سازمان های بزرگ، ترافیک را رمزگذاری نمی کنند. این به آن اجازه می دهد تا به ماشین های جعلی هدایت شود و هر چیزی را که کاربران می خواستند به سرور ارسال کنند، رهگیری کند.
اگر فردی در شهر کوچکی زندگی کند که در آن هیچ شرکت فناوری اطلاعات پیشرفته ای وجود نداشته باشد چه؟ بنابراین او به عنوان یک نگهبان عملی آموزش دید. او باید با چه کسی کار کند؟
پشته فناوری که ما آموزش می دهیم به مدیریت سیستم و سایر حوزه های مرتبط با امنیت اطلاعات گره خورده است. اگر فردی مجدانه درس بخواند نزد ما متخصص عمومی می شود. حالا با جزئیات بیشتر توضیح می دهم.
یک متخصص امنیتی خوب باید بتواند مدیریت کند. اگر به رزومه متخصصان امنیت اطلاعات نگاه کنید، بسیاری از آنها در حرفه خود یک مرحله مدیریت سیستم داشته اند.
دانش آموزان ما لینوکس را از نزدیک مطالعه می کنند. هرکسی که قبلا با این سیستم عامل کار نکرده باشد، ابتدا نحوه نصب آن را یاد می گیرد ماشین مجازی. در مرحله بعد، دانش آموزان به کار در ترمینال، نصب نرم افزار و حل مشکلات اساسی تسلط پیدا می کنند.
ما همچنین نحوه کار با سرویس ها را آموزش می دهیم: نحوه راه اندازی سرور Nginx یا Apache، پایگاه داده DBMS، راه اندازی یک سرور BIND DNS و ایمیل. فقط باید به یاد داشته باشید که دانش پس از پرداخت هزینه آموزش به طور خودکار به دست نمی آید - باید تلاش کنید.
- ساخت و پیکربندی شبکه ها را هم آموزش می دهید؟
آره. مهندس شبکه یکی دیگر از حرفه هایی است که کار یک متخصص امنیت با آن اشتراکاتی دارد. شما باید حداقل بتوانید پیکربندی کنید فیلترهای شبکه، پورت ها را ببندید، اتصالات فعال را نظارت کنید.
هنگام مطالعه شبکه های کامپیوتردانش آموزان مهارت های عملی را در شبیه ساز Cisco Packet Tracer تمرین خواهند کرد. ما آن را برای وضوح انتخاب کردیم، اما توانایی کار با تجهیزات سیسکو نیز یک امتیاز برای رزومه شما است.
موضوع سنگ بنا امنیت شبکه- TCP/IP این مدلی برای انتقال داده از طریق شبکه است. مدیران و متخصصان امنیتی همیشه با پیاده سازی های مختلف آن کار می کنند. ما به شما می گوییم که پروتکل های کانال و کانال چیست. لایه شبکه، چگونه کار می کنند، چرا به یک آدرس MAC نیاز دارید. تعداد کمی از مردم این را درک می کنند، اگرچه در سطح پیوند است که انواع مختلفی از حملات ساخته می شود.
مطالعه فناوری های شبکه
- بیایید به وضعیت "فارغ التحصیل نمی خواهد از آنجا حرکت کند." شهر کوچک" کجا کار کنیم؟
بیایید با این واقعیت شروع کنیم که همه جا ارائه دهندگان وجود دارد. آنها خوشحال خواهند شد که فارغ التحصیل ما را به عنوان مهندس شبکه استخدام کنند. علاوه بر این، این یک مهندس شبکه با درک بسیار خوبی از امنیت خواهد بود. از نظر شغلی، او نسبت به افرادی که قبلاً فقط شبکه میگذاشتند، مزیتی خواهد داشت: کابلهای جفت پیچ خورده را منقبض کرده و با آن از اتاق زیر شیروانی عبور میکند. برای مهندس امنیت ما آسان تر خواهد بود تا به رتبه مدیر برسد. ارائه دهندگان وب سایت ها و برخی خدمات دارند - در اینجا می توانید خود را نیز ثابت کنید.
نکته بعدی این است که همه جا به مدیران سیستم نیاز است. در صورتی که شرکت متخصص امنیت اطلاعات جداگانه نداشته باشد، وظایف وی توسط مدیر سیستم انجام می شود. و دوباره، فارغ التحصیل ما نسبت به مدیرانی که خودشان و به صورت سطحی امنیت را مطالعه کرده اند، برتری پیدا می کند.
در یک یادداشت شخصی، اضافه می کنم که اگر فرصت مهاجرت به مسکو یا سن پترزبورگ و کار در یک شرکت بزرگ محلی یا بین المللی را دارید، ارزشش را دارد. ما دانش آموزانی داریم که قبلاً موفق شده اند.
- در مورد کار با برنامه ها چطور؟ به هر حال، نگهبان نیز باید نرم افزار را تحت کنترل داشته باشد.
بله، ما جداسازی و تجزیه و تحلیل برنامه را آموزش می دهیم تا دانش آموزان بتوانند کدهای مخرب را شناسایی کنند.
شما باید درک کنید که مهاجمان و کسانی که با آنها مبارزه می کنند از ابزارهای مشابهی استفاده می کنند. هکرهای "سیاه" (بد) تجزیه و تحلیل می کنند نرم افزارو به دنبال آسیب پذیری هایی باشید که می توان از آنها سوء استفاده کرد. یک هکر کلاه سفید (اخلاقی) به دنبال باگ می گردد تا حفره های امنیتی را مسدود کند.
ما نحوه کاوش کد را آموزش می دهیم. اگر برنامه نویس بی دقت بود، تحت شرایط خاصی برنامه می توانست داده های حساس را فاش کند. به عنوان مثال، یک قطعه برای کاربر ارسال کنید حافظه دسترسی تصادفی، جایی که رمزهای عبور، کلیدهای خصوصی و چیزهای جالب دیگر ذخیره می شوند.
همچنین برنامه نویسی را در پایتون آموزش می دهیم. خودکار کردن وظایف یا نوشتن ابزارهای تجزیه و تحلیل داده خود را راحت می کند. این مهارت ها یک نگهبان امنیتی را به سطح حرفه ای بالاتری می برد.
ما همچنین یک دوره سیستم عامل داریم. او در مورد معماری سیستم عامل، تفاوت تهدیدات امنیتی در لینوکس، داس، ویندوز و موارد دیگر صحبت می کند.
ما توضیح می دهیم که فضای هسته و فضای کاربر چیست، حافظه چگونه کار می کند و چرا یک برنامه در سیستم عامل های مدرن نمی تواند داده های یک برنامه دیگر را تغییر دهد. چگونه یک فرآیند با یک نخ متفاوت است؟
در پایان دوره - در سه ماهه چهارم - دانش آموزان با موضوع آسیب پذیری های باینری آشنا می شوند.
- اشاره کردید که دانش آموزان نحوه تنظیم مقررات و کار با اسناد را نیز یاد می گیرند.
ما در مورد تعامل با مجری قانون و سازمان های نظارتی - FSTEC و FSB صحبت می کنیم. ما یاد می گیریم که چه زمانی و چگونه استانداردهای ایمنی ارائه شده توسط قانون روسیه را اعمال کنیم.
یکی دیگر وجود دارد نکته مهم. ما اصول مهندسی اجتماعی را آموزش می دهیم. زیرا یک مهاجم هرگز بی جهت مسیر سخت را طی نمی کند. قبل از شکستن هر چیزی، سعی می کند رمز عبور یا سایر اطلاعات لازم را از کاربر جذب کند. ما به شما می گوییم که چگونه هنگام تهیه دستورالعمل برای کارمندان شرکت، چنین طرح هایی را در نظر بگیرید.
- پس در حال آماده سازی یک "سرباز امنیت جهانی" هستید؟
ما در حال آماده سازی فردی هستیم که می داند چگونه هک و محافظت کند. درک روش های هک برای ساختن یک سیستم اطلاعاتی با صلاحیت ضروری است.
یک نگهبان امنیتی خوب همان مهارت های یک مهاجم را دارد. اما از آنها برای اهداف خودخواهانه و/یا مجرمانه استفاده نمی کند، بلکه برای محافظت از سیستم و در نهایت از کاربران استفاده می کند.
شما می توانید هر چیزی را هک کنید - این موضوع زمان و منابع است. اما دور زدن یک دفاع خوش ساخت می تواند به سادگی یک مهاجم را خراب کند.
- اولویت ها در بین حوزه های مورد مطالعه چگونه تعیین می شوند؟
تمرکز اصلی بر امنیت وب مهندسی شبکه و مدیریت سیستم در مجاورت آن است. در سایر زمینه ها، ما دانش پایه ای را ارائه می دهیم که می تواند بسته به علایق دانش آموز توسعه یابد.
یک دانشجوی امنیت از کجا می تواند تجربه عملی کسب کند؟ او با توجه به نتایج مطالعاتش می تواند چه دستاوردهایی را در رزومه کاری خود ثبت کند؟ و چگونه سطح خود را ارتقا دهید؟
تهدیدها را می توان مدل سازی کرد. ابزارهای خاصی برای این کار وجود دارد. بهتر است با چیزهای ساده شروع کنید: یک "برنامه وب باگی" را در سایت بگیرید و نصب کنید - bWAPP (برنامه وب باگ). در ابتدا برای ناامن بودن ایجاد شد تا «هکرهای اخلاقی» بتوانند از آن برای تمرین یافتن و مسدود کردن آسیبپذیریها استفاده کنند.
همچنین DVL وجود دارد - یک توزیع ویژه لینوکس با خطاهای پیکربندی عمدی.
چنین ابزارهایی بسیار مفید هستند، اما دانش آموزان می توانند به سرعت از آنها خسته شوند، بنابراین ما تست های جالب تری را آماده کرده ایم. مثلا مسابقاتی مثل Capture the flag. شما به یک ماشین راه دور دسترسی پیدا می کنید، اما از قبل آسیب پذیری های آن را نمی دانید و باید آنها را پیدا کنید. پیروزی در چنین مسابقات و مسابقاتی در بازار ارزش دارد - آنها را می توان با خیال راحت در رزومه شما یادداشت کرد. هک کردن یک شبیه ساز جدی آسان تر از یک وب سایت واقعی نیست.
همچنین ارزش شرکت در مسابقاتی مانند Bug Bounty را دارد. این زمانی است که یک سازمان به کسانی که آسیبپذیری در یک محصول پیدا میکنند، جایزه میدهد. ما به شما خواهیم گفت که چگونه در چنین برنامه هایی شرکت کنید. اگر یک حساب کاربری توسعهیافته در هکرون دارید، در شرکتهای بزرگ، از جمله شرکتهای خارجی، استقبال خواهید کرد.
دانشجوی ما همچنین میتواند خدمات حسابرسی را به صاحبان وبسایت ارائه دهد: آسیبپذیریها را پیدا کرده و ببندد. نکته اصلی این است که از قبل با صاحب سایت موافقت کنید، زیرا مرز بین هک "سیاه" و "سفید" بسیار نازک است و کمک ناخواسته می تواند منجر به اتهامات جنایی شود.
آیا ارائه ممیزی های امنیتی به کسانی که به آن اهمیت نمی دهند منطقی است؟ این اتفاق می افتد که یک آسیب پذیری حتی برای افراد غیر متخصص هم قابل مشاهده است، اما هیچکس آن را برطرف نمی کند...
ارزش تلاش را دارد. بعضی ها واقعا نوشتن را بی فایده می دانند، اما کسانی هم هستند که به این مشکل فکر نکرده اند. من به یکی از صاحبان سایت توضیح دادم که او از HTTP استفاده می کند، و زمان آن است که به HTTPS تغییر دهید، زیرا در غیر این صورت رمزهای عبور کاربر از طریق یک کانال ارتباطی ناامن منتقل می شود. و مرد گوش داد. اگر سایت درآمد ایجاد کند، مالک به توسعه آن علاقه مند است و به احتمال زیاد وارد گفتگو خواهد شد.
در اینجا شخصی است که در یک مسابقه برنده شد، برای کسی حسابرسی انجام داد، اما هنوز روی کارکنان کار نکرده است. آیا این مشکل در جستجوی کار است؟
خیر فارغ التحصیل ما یک سال کامل را با گروه GeekBrains و Mail.Ru گذراند. او قبلاً شغل یک نگهبان را در تصور می کند شرکت بزرگ، کل پشته فناوری را می شناسد و یک مجموعه استارت آپی را جمع آوری کرده است. از نظر کارفرمای متوسط، این مقدار زیادی است.
- در مصاحبه چیزی برای نشان دادن وجود خواهد داشت...
به خودی خود. ممکن است فارغ التحصیل برخی مسائل را بهتر از رهبر آینده درک کند.
سرگئی، بسیار متشکرم! حالا من یک تصویر کامل دارم از اینکه چه چیزی و چرا در دانشکده امنیت اطلاعات تدریس می کنند. اگر خوانندگان سوالی دارند، امیدوارم در نظرات بپرسند. و من و شما هنوز زمان خواهیم داشت تا درباره دانشکده دیگری - هوش مصنوعی - مفصل صحبت کنیم.
در مورد دانشکده جدید و مسیر علم داده واقعاً چیزهای زیادی برای گفتن وجود دارد. پس تا دفعه بعد
متخصص امنیت اطلاعات شخصی است که ریسک های اطلاعاتی شرکت را تجزیه و تحلیل می کند، اقداماتی را برای جلوگیری از آنها ایجاد و اجرا می کند. مسئولیت های او همچنین شامل نصب، پیکربندی و نگهداری تجهیزات فنی حفاظت از داده ها است. متخصصان امنیتی همچنین آموزش و مشاوره برای کارکنان در مورد مسائل امنیت اطلاعات انجام می دهند و اسناد نظارتی و فنی را توسعه می دهند.
یک متخصص امنیت اطلاعات، به ویژه در یک شرکت بزرگ، نه تنها مشکلات جالب را حل می کند، بلکه مسئولیت زیادی نیز بر عهده دارد. او باید درک خوبی از اصول مدیریت داشته باشد و بتواند سیستم های امنیتی را برای شرکت های خاص ایجاد کند تا از شبکه های کامپیوتری محلی در برابر حملات ویروس یا هکرها محافظت کند. علاوه بر این، کارمندی که مسئولیت امنیت اطلاعات را بر عهده دارد، باید سایر کارمندان را برای رعایت اصول اولیه امنیت اطلاعات آموزش دهد.گاهی اوقات او با تعهدات اضافی محدود می شود، مانند محدودیت در سفر اگر کار در یک شرکت دولتی انجام شود.
سایر عناوین شغلی: تکنسین حفاظت از سیستم های اطلاعات و ارتباطات، تکنسین ارشد حفاظت از سیستم های اطلاعات و ارتباطات، کارشناس حفاظت از داده ها، افسر امنیت
مسئولیت ها
ایجاد و آزمایش سیستم های حفاظت از داده ها
یک متخصص امنیت اطلاعات باید مطالب سازمان را جمع آوری و تجزیه و تحلیل کند تا اقداماتی را برای اطمینان از امنیت اطلاعات انجام دهد، یعنی:
- نصب و پیکربندی فنی و نرم افزارحفاظت؛
- یافتن کانال های احتمالی نشت اطلاعات مربوط به اسرار دولتی، نظامی، رسمی یا تجاری؛
- مشارکت در توسعه ابزارهای اتوماسیون کنترل جدید، مدارهای تجهیزات کنترل، مدل ها و سیستم های امنیت اطلاعات؛
- نصب، پیکربندی و نگهداری ابزارهای فنی و سخت افزاری-نرم افزاری امنیت اطلاعات
تشکیل اسناد
تدوین و تهیه مستندات فنی طراحی و کار مطابق با استانداردها از دیگر وظایف متخصص امنیت است.
- تدوین قوانین، مقررات، دستورالعمل ها و سایر اسناد سازمانی و اداری برای مدیریت امنیت اطلاعات.
- ارائه پیشنهادهایی برای بهبود و افزایش اثربخشی ابزارهای امنیت اطلاعات.
مشاوره کارکنان
یک متخصص امنیت اطلاعات همچنین باید با کارمندان شرکت مشورت کند و به آنها در حل مشکلات نوظهور کمک کند:
- سازماندهی کار تیم با در نظر گرفتن الزامات امنیت اطلاعات؛
- فراهم کند محافظت قانونیاطلاعات؛
- اشیاء حفاظتی را بررسی کرده و گواهینامه آنها را انجام دهید.
آنچه شما باید بدانید و بتوانید انجام دهید
- تفکر سیستماتیک و انعطاف پذیر؛
- تمرکز بر یک نتیجه خاص از فعالیت؛
- ابتکار عمل؛
- توانایی برنامه ریزی و طراحی؛
- مهارت های ارتباطی؛
- سازمان؛
- مسئوليت؛
- عزم;
- توانایی خودآموزی؛
- مقاومت در برابر استرس.
ویژگی های شخصی
- آشنایی با اصول امنیت اطلاعات؛
- دانش به انگلیسیدر سطح خواندن ادبیات فنی؛
- امکان برنامه نویسی به زبان های مختلف C، C#، JAVA، Perl، PHP، JSP، EJB، J2EE و غیره.
- مهارت در مدیریت سیستم عامل های مختلف، راه اندازی و پشتیبانی از نرم افزارهای ضد ویروس؛
- آشنایی با معماری شبکه؛
- توانایی تنظیم وظایف به درستی.
