安全行業(yè)從業(yè)的經(jīng)歷回顧

• 斗轉(zhuǎn)星移。在安全領(lǐng)域也熬了十多個(gè)年頭。近三年也經(jīng)歷了整個(gè)安全領(lǐng)域的大變遷。安全從小眾走向大眾。作為一個(gè)并非優(yōu)秀的從業(yè)人員，已經(jīng)被人超越。特別是2010年以后，互聯(lián)網(wǎng)企業(yè)崛起，目前不少安全大牛都是成長(zhǎng)在那以后。安全焦點(diǎn)也從傳統(tǒng)的IT基礎(chǔ)架構(gòu)演變成關(guān)注/攻/防的互聯(lián)網(wǎng)安全架構(gòu)。長(zhǎng)江后浪推前浪。像過(guò)去/滲/透試是忽視的，只是在乙方作為安全服務(wù)的一個(gè)小項(xiàng)目。如今卻因?yàn)槭袌?chǎng)需要和互聯(lián)網(wǎng)安全的驅(qū)動(dòng)，成為龐大的一支，很多新人都是以web安全入行。因?yàn)樯虡I(yè)產(chǎn)品特別是盒子跟不上，導(dǎo)致開源產(chǎn)品和自營(yíng)開發(fā)擴(kuò)大，安全技術(shù)的發(fā)展從乙方陣地更多轉(zhuǎn)向甲方。
• 接觸安全最早是從防火墻開始，我個(gè)人經(jīng)歷，是在2002年左右。這是安全市場(chǎng)已經(jīng)起來(lái)，主要目標(biāo)對(duì)象是政府企事業(yè)單位，是以賣防火墻為主。當(dāng)時(shí)網(wǎng)絡(luò)建設(shè)已初具規(guī)模，網(wǎng)絡(luò)安全問(wèn)題開始凸現(xiàn)。當(dāng)時(shí)我加入一家網(wǎng)絡(luò)安全公司，主要就是做安全集成，cisco IPX，天融信防火墻，啟明的IDS，然后公司自己開發(fā)的firewall。當(dāng)時(shí)錄取只有一個(gè)要求必須通過(guò)ccna。所以安全此時(shí)還沒(méi)成熟，只是網(wǎng)絡(luò)的附庸。當(dāng)時(shí)公司的安全建設(shè)方案是請(qǐng)的交大博士做的。我有幸第一看到全盤的安全解決方案。有安全評(píng)估安全加固和安全產(chǎn)品集成以及安全服務(wù)。當(dāng)時(shí)做的比較早，基本傳統(tǒng)安全基礎(chǔ)架構(gòu)后來(lái)長(zhǎng)時(shí)間一直沒(méi)變。這種套路估計(jì)到互聯(lián)網(wǎng)安全凸起，才發(fā)生變化。當(dāng)初防御還是主要靠加固。IDS，firewall和殺毒軟件是三駕馬
• 在小公司還是能學(xué)到很多的。短時(shí)間內(nèi)我就做過(guò)安全產(chǎn)品和安全服務(wù)，有段時(shí)間常駐在客戶做安全巡檢。都是邊做邊學(xué)。公司因?yàn)闆](méi)人也會(huì)讓你去做主要擔(dān)當(dāng)。記得我第一去裝Cisco pix，客戶說(shuō)已經(jīng)扔在倉(cāng)庫(kù)，因?yàn)橥嗣艽a。問(wèn)我能恢復(fù)系統(tǒng)嗎？我上網(wǎng)查了cisco的網(wǎng)站，很快網(wǎng)上下載程序，導(dǎo)入軟盤。用軟件幫他恢復(fù)了?；旧蠜](méi)人培訓(xùn)都是自學(xué)。
• 當(dāng)時(shí)已經(jīng)開始做安全評(píng)估，主要還是以網(wǎng)絡(luò)端口漏洞掃描為主。對(duì)于系統(tǒng)和應(yīng)用只能以加固為主。頂多安裝個(gè)防病毒軟件。而且linux系統(tǒng)不多，面向的是windows。除了網(wǎng)絡(luò)層。主機(jī)層的戰(zhàn)場(chǎng)就是桌面終端。不像現(xiàn)在終端可能只有兩三百臺(tái)，服務(wù)器卻有兩三千。安全架構(gòu)主要是內(nèi)網(wǎng)安全。所以當(dāng)時(shí)的安全理念是/攻/擊百分之七十都來(lái)自內(nèi)部。記得當(dāng)時(shí)文廣集團(tuán)下面某公司就遭受過(guò)ddos。但不是來(lái)自外網(wǎng)。主要是內(nèi)網(wǎng)某臺(tái)機(jī)器染病毒后迅速蔓延導(dǎo)致。即使客戶網(wǎng)站被/攻/擊，最多是網(wǎng)頁(yè)被篡改，并不會(huì)直接影響到企業(yè)業(yè)務(wù)。倒是內(nèi)網(wǎng)的各種安全問(wèn)題會(huì)導(dǎo)致業(yè)務(wù)蒙受損失。此時(shí)web業(yè)務(wù)還沒(méi)潮流，外網(wǎng)/攻/擊帶來(lái)的損失還不直接影響生產(chǎn)力。
• 回過(guò)頭來(lái)說(shuō)web安全形成潮流后，傳統(tǒng)基礎(chǔ)架構(gòu)在發(fā)生變化，更多的微服務(wù)，云服務(wù)越來(lái)越依賴互聯(lián)網(wǎng)架構(gòu)，邊界在消失。如果從宏觀上看，不能把web安全代表安全，應(yīng)該看到web安全在其中是怎么比例越來(lái)越加重的。而整體傳統(tǒng)架構(gòu)又如何虛擬化云化。桌面變成虛擬桌面。服務(wù)器變成虛擬機(jī)。cs架構(gòu)都變成bs架構(gòu)。甲方也從過(guò)去的內(nèi)網(wǎng)IT變成直接面向業(yè)務(wù)的運(yùn)維。開發(fā)人員從內(nèi)網(wǎng)的業(yè)務(wù)系統(tǒng)，變成做web架構(gòu)的開發(fā)。內(nèi)網(wǎng)的邊界也發(fā)生變化，比如阿里云的使用。內(nèi)網(wǎng)很多都是直接連接到外網(wǎng)的某個(gè)云平臺(tái)。又比如釘釘這種企業(yè)OA的微服務(wù)。過(guò)去內(nèi)網(wǎng)的概念已經(jīng)無(wú)法適用現(xiàn)在的形勢(shì)。現(xiàn)在更多是輕量級(jí)的，分布式的。
• 但變中也有不變，大的安全管理，安全架構(gòu)的模式還是繼續(xù)發(fā)揮作用，比如網(wǎng)絡(luò)安全，主機(jī)安全，系統(tǒng)安全，數(shù)據(jù)庫(kù)安全這種分法?；蛘呱矸菡J(rèn)證，授權(quán)訪問(wèn)，加密，安全評(píng)估等等。但是在第七版的cissp中出現(xiàn)了安全運(yùn)營(yíng)的概念。顯然隨著安全的子域細(xì)分后，如何把這些打通串聯(lián)起來(lái)，成了個(gè)問(wèn)題。過(guò)去是ISO27001+ISO2000,一個(gè)是安全管理體系一個(gè)是IT運(yùn)維體系?，F(xiàn)在互聯(lián)網(wǎng)架構(gòu)的出現(xiàn)原來(lái)的框架不適用了。去流程化，或者把流程變輕成了主要的議題。大的框架如何裁剪改變，形成新的技術(shù)和管理體系。