日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

一、背景介紹

創(chuàng)新互聯(lián)服務緊隨時代發(fā)展步伐，進行技術革新和技術進步，經過10余年的發(fā)展和積累，已經匯集了一批資深網站策劃師、設計師、專業(yè)的網站實施團隊以及高素質售后服務人員，并且完全形成了一套成熟的業(yè)務流程，能夠完全依照客戶要求對網站進行成都網站設計、成都網站制作、建設、維護、更新和改版，實現(xiàn)客戶網站對外宣傳展示的首要目的，并為客戶企業(yè)品牌互聯(lián)網化提供全面的解決方案。

就職某保險公司，為信息安全部門負責人，職責歸納起來是負責控制整個公司內外部風險，應對新領域的安全挑戰(zhàn)和對抗。

自身的經歷：從研發(fā)，攻防實驗室，業(yè)務安全，數(shù)據(jù)安全，安全架構和開發(fā)一路走來，也是一種非常有意思的體驗。

二、沖突和挑戰(zhàn)

金融行業(yè)是一個非常有挑戰(zhàn)的行業(yè)，基本任何一個行業(yè)都跟金融行業(yè)多多少少有關系，現(xiàn)實來講沒有一個行業(yè)能夠離開資金的支持，無論以什么形式，也就決定了金融行業(yè)復雜和挑戰(zhàn)，它基本可以對接任何行業(yè)，各行業(yè)的業(yè)務模式和技術架構的對接就更增加了它的復雜性，金融行業(yè)為了支持業(yè)務的發(fā)展又會引入各種新技術來增加自身業(yè)務優(yōu)勢，使得他們業(yè)務系統(tǒng)和技術架構在復雜度上更上一層樓，作為一個安全負責人同時要支持技術線，業(yè)務線，數(shù)據(jù)線等多條線，要面臨太多太多的挑戰(zhàn)，傳統(tǒng)的安全模式和服務已經遠不能滿足現(xiàn)實的情況，這也是為什么很多互聯(lián)網公司或甲方公司要建設自己的安全部門或團隊的原因，自己的問題自己解決。

1. 各種新技術帶來的挑戰(zhàn)

(1) 問題和挑戰(zhàn)

隨著業(yè)務線的不斷發(fā)展以及各種互聯(lián)網技術的引進，各種新技術占比越來越高，安全部門是否能跟進新技術的演進，并提供這些新技術架構的安全支持，甚至走在其它科技部門前面，這是一個無法回避的問題。

我們本身就在一個不斷變化的時代，IT技術因為這幾年還聯(lián)網業(yè)務發(fā)展更新?lián)Q代的步伐就更加快，安全又是一個特例，科技線可以分成多個部門，如IT技術(細分：開發(fā)，運維，數(shù)據(jù))，大數(shù)據(jù)(數(shù)倉，模型，數(shù)據(jù)治理，AI等等)，風控，終端，合規(guī)等，而安全很多時候它要同時面對他們，安全又是一個小部門大責任的部門，用極為有限的人員支撐這些部門的安全工作，對每個人技術業(yè)務能力都有很大的挑戰(zhàn)(同時你還要不斷迭代這些新的技術)，

如果安全人員如果不能了解相關技術棧和業(yè)務模式(如：如：容器管理，微服務架構，實時流計算，圖數(shù)據(jù)庫，Deep/Machine Learning 等)，很難支持整各個科技和業(yè)務線(IT/大數(shù)據(jù)/風控/業(yè)務等)，這也是很多乙方安全公司人員轉型到甲方面臨的很重大的一個挑戰(zhàn)，也是目前很多甲方安全人員要迫切面臨的問題。

(2) 解決方案

a. 終身學習

就我個人來講終身學習是我個人比較喜歡的一件事，不斷的學習各種的知識(同時個人要有判斷，哪個領域知識技術是你值得投入的)不斷的學習可以給技術人員一種滿足感或者安全感，這樣的你不會被行業(yè)淘汰，不會擔心自身價值隨時間而流失，保持對新鮮事物的一種興趣，也許你沒有辦法深入了解所有事，但是保持新事物的興趣會極大擴展你自身的廣度，同時對加強你自身在某個領域的深度也是有極大好處的，觸類旁通就是指的如此。

b. 善于團隊互補

一個人始終精力有限，不可能兼顧所有方向，要善于發(fā)揮團隊的力量，安全也分為很多領域，每個人方向不一，自身知識領域也不一樣，把每個人用到合適的崗位是很重要的，部門成員之間也能夠互相交流，定期對自身領域的成果進行交流復盤，大家也都能了解對方在做什么，價值在哪里，也能彌補各自可能存在的短板。也能夠在工作量較大時可以相互支撐對方部分工作。

c. 開闊視野聚焦方向

安全人員除了要了解安全行業(yè)各種信息外，也可對各個相關領域多投入時間去關注一下，這些都不會白費，筆者的崗位工作需要接觸各個領域的人員，有技術的也有業(yè)務的，既有大數(shù)據(jù)，也有法律合規(guī)，所以需要多個領域的知識和積累，多和不同領域的人員交流溝通，除了能夠更加了解不同領域的情況，也能加深自身技術積累，行業(yè)的資深人員永遠是最好的老師，很多行業(yè)水非常深，如果自己去了解沒有幾年沒有人帶根本摸不清，但如過有資深人員肯帶你，短時間內你就能夠把握一個行業(yè)或領域的脈搏(有點像投行的行研報告，但遠比這個深入)，這些知識一方面能夠幫助你更加深入發(fā)現(xiàn)一個條業(yè)務線或一個領域可能存在的風險(這種業(yè)務或由人造成的風險你沒有足夠經驗是無法發(fā)現(xiàn)的)，更加重要的是拓寬你個人的視野，知道清晰知道未來自己該走的方向。

筆者曾經面試過很多安全從業(yè)人員，有很多人對新領域有濃烈興趣的，也有人持續(xù)抱著多年前技術抱殘守缺(聊的東西還是6，7年前的)，似乎認為這個可以用一輩子，這個世界上哪有一輩子的事情，更何況還是IT這個更新最快的行業(yè)，這樣他自己怎能不為將來擔心。

d. 敢于挑戰(zhàn)，學以致用

安全向后期演進就是數(shù)據(jù)量的對抗，數(shù)據(jù)分析能力的對抗，安全人員除了要了解業(yè)界的安全風險，也要了解新的知識體系，也要考慮將這些新領域(如：IT/大數(shù)據(jù)/AI)，引入到自身安全能力中去，如將實時計算框架(如：Flink/Beam 等技術)引入到的安全平臺中，通過實時流技術解決大量數(shù)據(jù)下的實時告警/處理問題。通過不斷學習，不斷將它們用于實踐中，解決現(xiàn)實中的難題(新的技術誕生就是為了解決難題的)，通過解決一個問題或完成一個項目，你能更加充分了解駕馭這些新的技術。

e. 掌握一門或者多門開發(fā)語言

筆者很幸運，從一個研發(fā)人員轉型到安全，直至目前也一直沒有離代碼，也在職業(yè)生涯中經歷了多個大型軟件的開發(fā)，但是我目前看走技術路線的安全人員(一般：滲透，安服)都不太懂或者說沒有開發(fā)過或參與過真正的項目，有很多安全人員多數(shù)了解的是Python(主要用Python 做一些小工具)，更進一步了解Java(Java 體系本身確實也比較復雜)還是比較少的，無論從找漏洞或是分析系統(tǒng)風險，做過開發(fā)和沒有做過開發(fā)發(fā)現(xiàn)問題的深度和廣度完全不一樣，個人以為安全人員最好有過開發(fā)的經驗，在做安全工作時能力會倍增，在開發(fā)的過程中能夠真正接觸多個方面的技術知識，對加強自身了解整個應用系統(tǒng)環(huán)境和架構是非常有好處的。另外安全人員也越來越需要自己動手開發(fā)工具或相應安全平臺，早晚都避免不了和開發(fā)打交道，所以趕早不趕晚，早日學起來吧。

2. 小團隊支撐大業(yè)務

(1) 問題和挑戰(zhàn)

安全部門或團隊通常來講在每個公司規(guī)模都不會太大，都是小團隊來支撐大業(yè)務，多部門，全公司，這個是現(xiàn)狀短時間內也沒有太好的辦法，各種黑客/黑產(金融行業(yè)的高價值數(shù)據(jù)是很多黑色產業(yè)垂涎的目標)，監(jiān)管部門的檢查(如這幾年的護網行動)，各種監(jiān)管條例和法規(guī)遵循，信息安全部門的工作量和風險可想而知。

另一方面因各業(yè)務自身演進較快，業(yè)務需求變化頻繁，多個業(yè)務線每周發(fā)版頻率較高，安全部門人員有限，無法跟進所有業(yè)務變化，也沒有足夠的人力對上線前的系統(tǒng)進行全覆蓋測試(僅僅還只是較大變化的版本和關鍵性系統(tǒng))，這些給安全帶來全方位的挑戰(zhàn)。

(2) 解決方案

a. 自動化，工具化，平臺化

其實最快的解決方案就是招人，但是一方面人員編制不是那么好要的，另一方面隨著公司業(yè)務的發(fā)展多少安全人員才夠呢?一個人或者一個部門能力再強如果讓它支撐其上千臺服務器或幾百條業(yè)務線的安全單純靠人力也沒有任何可能性。筆者自身是研發(fā)出身，比較喜歡DevOPS，目前又是軟件定義一切的時代(如：SAN，SDN)，將安全能力自動化，工具化，平臺化是大勢所趨，再復雜的系統(tǒng)，數(shù)量再多主機，如果有自動化程度足夠高的平臺，支撐這一切是很輕松，而安全人員自身也有足夠的時間去從事其它重點工作。

b. 規(guī)范的流程和體系

筆者將多個涉及安全的多個資源/權限的申請在OA中線上化，通過規(guī)范化，標準化的流程能夠大大提供工作效率，任何部門無論想申請什么權限，提取什么樣的數(shù)據(jù)，配置什么樣的服務，各個部門人員可根據(jù)創(chuàng)建的標注流程去申請，避免了人工溝通確認的大量成本和各種重復工作。

3.  業(yè)務深入度不夠

(1) 問題和挑戰(zhàn)

安全人員比較注重漏洞風險，系統(tǒng)底層的研究，很多人最大的關注就是挖各種漏洞，收集各種0Day,當然這些固然很重要，可是對一個甲方的安全人員來講是遠遠不夠的，有很多嚴重的漏洞都在來自于業(yè)務本身，不是業(yè)務流程上的，就是業(yè)務模式上的，惡意用戶或黑產人員只要覺得攻擊目標足夠有價值，舍得花時間，吃透了業(yè)務，從擼羊毛到各種流量劫持，從數(shù)據(jù)污染到新媒體欺詐，已經遠超單純的數(shù)據(jù)脫庫，買賣數(shù)據(jù)那種簡單的模式了，現(xiàn)在黑產的復雜度遠勝從前，很多攻擊手段和獲利模式都是一般人很難想到，很多時候整黑色產鏈條里面有各種利用金融工具結合技術手段來變現(xiàn)和獲利的方法，如果你僅僅只是了解安全本身，你很難進行對抗。

安全從來不止是單純的技術，對業(yè)務了解的深度某種程度上也決定了你安全的深度，安全從未離開業(yè)務，。

(2) 解決方案

a. 貼近業(yè)務

可以多和業(yè)務部門，風控部門多多溝通，了解一手的業(yè)務模式和流程，一線業(yè)務人員他們一般是整個公司最了解某條業(yè)務線的人，另外公司在都有業(yè)務評審，這個時候業(yè)務部門和IT部門也會提交詳細的需求文檔，安全部門通過評審詳細了解業(yè)務系統(tǒng)的細節(jié)以及和業(yè)務部門進行溝通。

b. 輪崗

這種方式不具有普遍性，如果你能在業(yè)務的崗位上工作一段時間這個將是你最快也是最好了解業(yè)務的方式，但是很多公司不具備這個模式，所以還得看具體情況。

c. 了解行業(yè)動態(tài)

安全人員不要只埋頭苦干，也要了解行業(yè)趨勢，安全技術能力固然重要，但是很也要把握行業(yè)趨勢，老話說的好“不要只埋頭拉車，也要抬頭看路”，很多時候方向錯了，也就離目標越來越遠了。知道該向那個方向努力其實很重要，業(yè)務和IT的發(fā)展方向永遠是你要關注的，了解行業(yè)趨勢能讓你更清晰的知道大家都在關注什么，也能使你站的更高看的更清楚，更容易找到你自己的道路和方向。

筆者見過很多這樣的場景，安全技術本身演示的時候很炫酷，大家會上都說好，但是事后一直沒什么結果呢，關鍵是你不能創(chuàng)造價值，不能夠解決關鍵問題，這個是目前安全從業(yè)人很多都會面臨的問題，自身的價值點在哪?(不單單是傳統(tǒng)安全所做的工作)筆者也在一直在思考，也在尋找，了解業(yè)務趨勢和發(fā)展方向對你找到自己的價值點肯定是非常有幫助的，也歡迎大家一起多多交流，能夠碰撞出火花。

三、結束語

我大概簡述了一個安全人的煩惱和憂慮，因為限于時間和篇幅的關系，很多問題也沒有展開講或者還沒來得急講(如：數(shù)據(jù)安全和客戶隱私保護，傳統(tǒng)安全問題的刨析，編碼/架構設計能力等問題)，很多答案也僅僅基于我自己實踐和思考，肯定也也有很多局限性，我挑了幾個有代表性的問題，也許這不僅僅是安全從業(yè)人員的挑戰(zhàn)，可能是很多IT人面臨的挑戰(zhàn)，面臨挑戰(zhàn)怎么辦?只要還在行業(yè)中，躲是躲不了的，那就只能迎難而上，直面挑戰(zhàn)，引用一句老話這個時代唯一不變的就是變化本身。 

文章名稱：傳統(tǒng)崗位新挑戰(zhàn)：信息安全之路
當前地址：http://www.5511xx.com/article/dpgjphe.html