業(yè)務(wù)交互流程實(shí)際上取決于具體提供的功能、數(shù)據(jù)和邏輯。例如，從業(yè)務(wù)層面來看，它是否會(huì)涉及敏感數(shù)據(jù)、涉及的數(shù)據(jù)是否已經(jīng)處理等。；應(yīng)用和中間部件、應(yīng)用和中間部件是承載整個(gè)業(yè)務(wù)的具體體現(xiàn)，也是應(yīng)用安全和數(shù)據(jù)安全關(guān)注的焦點(diǎn)。從安全研發(fā)培訓(xùn)到安全包SDK，從代碼白盒掃描到卡發(fā)布，數(shù)據(jù)生產(chǎn)如何提供給應(yīng)用，如何應(yīng)用消費(fèi)，如何實(shí)現(xiàn)相應(yīng)的權(quán)限控制等?；A(chǔ)網(wǎng)絡(luò)架構(gòu)，一個(gè)請(qǐng)求如何從客戶端到服務(wù)，服務(wù)是通過哪些路由直接完成的。這可能是個(gè)問題。需要注意的是，軟件架構(gòu)師給你的評(píng)估文件中的網(wǎng)絡(luò)架構(gòu)圖可能只是他所知道的一部分，更多的時(shí)候，他們似乎不關(guān)注；物理部署狀態(tài)，IDC還是云，刀片服務(wù)器還是ECS？云服務(wù)器還是一個(gè)問題。除了自個(gè)的設(shè)置之外，還需要考慮APS系統(tǒng)本身的設(shè)置范圍和其他所有不同的設(shè)置，還需要考慮APS系統(tǒng)的設(shè)置。

盡管如此，即使能夠真正遵守規(guī)范，建立起評(píng)審機(jī)制，但是在大型企業(yè)中，結(jié)構(gòu)評(píng)審的工作仍然可能很多。商業(yè)迭代變化很快，每周都會(huì)有幾次結(jié)構(gòu)評(píng)審，如何提高效率？先將可自動(dòng)化的自動(dòng)化掉，比如安全產(chǎn)品的部署，以及黑白盒的掃描。第二，將無法自動(dòng)化的能力轉(zhuǎn)移到測(cè)試部門、研發(fā)部門，使之具有安全屬性。使研究與開發(fā)能夠理解安全包的使用，并具有編寫安全代碼的能力，同時(shí)使測(cè)試部門能夠具備一些基本的滲透測(cè)試能力。較終將既不能自動(dòng)化也不能轉(zhuǎn)移的能力沉淀在知識(shí)庫(kù)和案例庫(kù)(踩坑經(jīng)驗(yàn)的Checklist)中。它是第一步，第二步是跟蹤結(jié)果，根據(jù)結(jié)果建立積極的反饋，驅(qū)動(dòng)或推動(dòng)其他團(tuán)隊(duì)繼續(xù)跟進(jìn)。

當(dāng)然，還有一些細(xì)節(jié)沒有寫，相關(guān)的結(jié)構(gòu)評(píng)估表也沒有貼出來，那么如何才能成為一名合格的安全結(jié)構(gòu)師呢？相信大家都心里同樣有自個(gè)的答案。當(dāng)你有這樣的視野時(shí)，許多事情并不難自己做。

安全性結(jié)構(gòu)不能一蹴而就，企業(yè)也不能僅僅依靠滲透性測(cè)試來完善安全防御建設(shè)。隨著技術(shù)的進(jìn)步，更需要能準(zhǔn)確地辨別是炒作還是跟風(fēng)。作為企業(yè)安全部門的重要角色，安全架構(gòu)師在具備相應(yīng)能力的同時(shí)，不斷學(xué)習(xí)也是一個(gè)不容忽視的方面。但愿以后安全行業(yè)的從業(yè)人員中能有更多合格的安全架構(gòu)師。身為安全行業(yè)的小朋友，還有很多地方需要學(xué)習(xí)。一路上，謝謝。夜深人靜，擱筆。