安全行業從業的經歷回顧
阿新 • • 發佈:2018-09-30
規模 加固 繼續 運維 經歷 裁剪 培訓 雲服務 輕量 鬥轉星移。在安全領域也熬了十多個年頭。這三年也經歷了整個安全領域的大變遷。安全從小眾走向大眾。作為一個並非優秀的從業人員,已經被人超越。特別是2010年以後,互聯網企業崛起,目前不少安全大牛都是成長在那以後。安全焦點也從傳統的IT基礎架構演變成關註/攻/防的互聯網安全架構。長江後浪推前浪。像過去/***/測試是忽視的,只是在乙方作為安全服務的一個小項目。如今卻因為市場需要和互聯網安全的驅動,成為龐大的一支,很多新人都是以web測試入行。因為商業產品特別是盒子跟不上,導致開源產品和自營開發擴大,安全技術的發展從乙方陣地更多轉向甲方。
接觸安全最早是從防火墻開始,我個人經歷,是在2002年左右。這是安全市場已經起來,主要目標對象是政府企事業單位,是以賣防火墻為主。當時網絡建設已初具規模,網絡安全問題開始凸現。當時我加入一家網絡安全公司,主要就是做安全集成,cisco IPX,天融信防火墻,啟明的IDS,然後公司自己開發的 。當時錄取只有一個要求必須通過ccna。所以安全此時還沒成熟,只是網絡的附庸。當時公司的安全建設方案是請的交大博士做的。我有幸第一看到全盤的安全解決方案。有安全評估安全加固和安全產品集成以及安全服務。當時做的比較早,基本傳統安全基礎架構後來長時間一直沒變。這種套路估計到互聯網安全凸起,才發生變化。當初防禦還是主要靠加固。IDS,firewall和殺毒軟件是三駕馬車。
在小公司還是能學到很多的。短時間內我就做過安全產品和安全服務,有段時間常駐在客戶做安全巡檢。都是邊做邊學。公司因為沒人也會讓你去做主要擔當。記得我第一去裝Cisco pix,客戶說已經扔在倉庫,因為忘了密碼。問我能恢復系統嗎?我上網查了cisco的網站,很快網上下載程序,導入軟盤。用軟件幫他恢復了。基本上沒人培訓都是自學。
當時已經開始做安全評估,主要還是以網絡端口漏洞掃描為主。對於系統和應用只能以加固為主。頂多安裝個防病毒軟件。而且linux系統不多,面向的是windows。除了網絡層。主機層的戰場就是桌面終端。不像現在終端可能只有兩三百臺,服務器卻有兩三千。安全架構主要是內網安全。所以當時的安全理念是百分之七十都來自內部。記得當時文廣集團下面某公司就遭受過ddos。但不是來自外網。主要是內網某臺機器染病毒後迅速蔓延導致。即使客戶網站被,最多是網頁被篡改,並不會直接影響到企業業務。倒是內網的各種安全問題會導致業務蒙受損失。此時web業務還沒潮流,外網帶來的損失還不直接影響生產力。
回過頭來說web安全形成潮流後,傳統基礎架構在發生變化,更多的微服務,雲服務越來越依賴互聯網架構,邊界在消失。如果從宏觀上看,不能把web安全代表安全,應該看到web安全在其中是怎麽比例越來越加重的。而整體傳統架構又如何虛擬化雲化。桌面變成虛擬桌面。服務器變成虛擬機。cs架構都變成bs架構。甲方也從過去的內網IT變成直接面向業務的運維。開發人員從內網的業務系統,變成做web架構的開發。內網的邊界也發生變化,比如阿裏雲的使用。內網很多都是直接連接到外網的某個雲平臺。又比如釘釘這種企業OA的微服務。過去內網的概念已經無法適用現在的形勢。現在更多是輕量級的,分布式的。
但變中也有不變,大的安全管理,安全架構的模式還是繼續發揮作用,比如網絡安全,主機安全,系統安全,數據庫安全這種分法。或者身份認證,授權訪問,加密,安全評估等等。但是在第七版的cissp中出現了安全運營的概念。顯然隨著安全的子域細分後,如何把這些打通串聯起來,成了個問題。過去是ISO27001+ISO2000,一個是安全管理體系一個是IT運維體系。現在互聯網架構的出現原來的框架不適用了。去流程化,或者把流程變輕成了主要的議題。大的框架如何裁剪改變,形成新的技術和管理體系。
接觸安全最早是從防火墻開始,我個人經歷,是在2002年左右。這是安全市場已經起來,主要目標對象是政府企事業單位,是以賣防火墻為主。當時網絡建設已初具規模,網絡安全問題開始凸現。當時我加入一家網絡安全公司,主要就是做安全集成,cisco IPX,天融信防火墻,啟明的IDS,然後公司自己開發的
在小公司還是能學到很多的。短時間內我就做過安全產品和安全服務,有段時間常駐在客戶做安全巡檢。都是邊做邊學。公司因為沒人也會讓你去做主要擔當。記得我第一去裝Cisco pix,客戶說已經扔在倉庫,因為忘了密碼。問我能恢復系統嗎?我上網查了cisco的網站,很快網上下載程序,導入軟盤。用軟件幫他恢復了。基本上沒人培訓都是自學。
回過頭來說web安全形成潮流後,傳統基礎架構在發生變化,更多的微服務,雲服務越來越依賴互聯網架構,邊界在消失。如果從宏觀上看,不能把web安全代表安全,應該看到web安全在其中是怎麽比例越來越加重的。而整體傳統架構又如何虛擬化雲化。桌面變成虛擬桌面。服務器變成虛擬機。cs架構都變成bs架構。甲方也從過去的內網IT變成直接面向業務的運維。開發人員從內網的業務系統,變成做web架構的開發。內網的邊界也發生變化,比如阿裏雲的使用。內網很多都是直接連接到外網的某個雲平臺。又比如釘釘這種企業OA的微服務。過去內網的概念已經無法適用現在的形勢。現在更多是輕量級的,分布式的。
安全行業從業的經歷回顧