作為資訊安全領域摸爬滾打十年以上的從業人員,我練過滲透,幹過産品,做過內建,賣過服務,吹過咨詢,也曾在網際網路電商企業“掃黃(牛)打黑(産)”一線與職業黑客、羊毛黨直接對抗。目前正全面負責千尋位置公司(www.qxwz.com)未來時空基礎設施的的資訊安全工作。
我不擅長寫自我介紹類的材料,一方面受限于我的文字表達能力,同時也因為我并沒有什麼“豐富”的經曆。相對于普通的安全技術,我更關注安全架構;不過,我願意在mvp平台和大家就任何與安全有關的話題進行交流。
學生時期,我曾受到了一本雜志《黑客防線》的影響,從此踏上安全之路。對新事物的好奇,是我在這個領域堅持下來的重要原因。有幸能在工作過程中遇到不錯的夥伴、可靠的上司甚至人生導師,更堅定了我在這個行業深耕的信念。
在從業數年的不同階段,我曾服務過不同的公司和客戶,包括:安全産品廠商、安全服務與內建商、世界500強通信企業、紐交所上市電商公司和目前所在的千尋位置公司。我是真正的愛一行幹一行,從踏入安全圈門檻的那一刻開始我就一直保持着戰鬥激情,可謂“飲冰十年,難涼熱血”。
<b>很多人關心的技術棧:</b><b></b>
我是雲計算的狂熱愛好者和追随者,在aws、阿裡雲、linode等平台都曾部署過自己的個人伺服器叢集。多年前,我就開始使用遠端伺服器資源來替代本地主機進行各類安全技術的研究測試。亞馬遜開始提供雲計算服務後,我就把家裡的電腦“搬”到了雲上。從此把用來更新電腦的錢都砸在了雲主機上。這讓我有足夠的時間和精力聚焦于鑽研安全技術,而不必忍受個人電腦上常常因虛拟機卡死帶來的痛苦。
作為一名安全從業人員,我始終沒有放棄自己在程式設計開發方面的努力。很顯然,相對于專業的開發人員我差得還很遠;但具備一定的編碼基礎,能讓我更加自信地與開發、測試同學進行溝通,尤其是說服大家為産品增加一些安全特性時。
<b>工作和學習環境:</b><b></b>
我在工作和學習過程中使用最頻繁且為之付費的軟體有:
●
chrome以及基于chrome的各類插件
grammarly - 讓你的英文寫作看上去更加專業
evernote -存儲和搜尋資訊碎片,解放大腦
mweb - 支援markdown 文法的編輯器,支援一鍵釋出到 wordpress
snagit - 及時截圖是個好習慣,支援打碼、特效、自動存儲和标簽管理
sublimtext - 支援高亮檢視和編輯代碼檔案
securecrt - 最好用的 ssh 用戶端,支援宏操作
gliffy/graphviz/yworks
yed - 流程圖、時序圖、拓撲圖、關系圖,不可或缺
各類安全類軟體或工具
我個人學習和使用過的程式設計語言和開發環境有很多,但真正擅長且一直在用的是下面這些:
python/java
pycharm/intellij
mysql/sql lite
bootstrap/jquery/tornado
關于安全本身,我更喜歡參與開源社群的活動。我是開源社群和開源産品的受益者,也是開源社群的貢獻者。2012年曾主導翻譯過owasp webgoat 5.4版本的手冊翻譯。
資訊安全是現代企業賴以生存的生命線,資訊安全建設更是一項管理與技術并重的工作。就我接觸過的企業和我服務過的客戶而言,最近幾年越來越多的企業都在高度重視安全,積極招攬安全人才。随着《網絡安全法》的正式施行,我國網絡與資訊安全領域将會有更大的市場前景和發展空間
總體上說,資訊安全行業适合于那些喜歡不斷挑戰自我的人。我個人在諸多方面都不太優異,但有幾點體會還是很深刻的:
<b>關注業務</b><b></b>
安全人員除了做好本職的安全工作外,還需要關注業務。任何企業最終都需要通過業務來産生盈利。安全人員必須關注并熟悉公司的業務,要清楚公司目前的業務狀态、戰略規劃;特别是當需要在安全和業務之間取得平衡時,要能更好地用業務語言說清楚安全問題。很多企業在安全建設上容易走兩個極端:要麼是沒有安全,要麼就是一管到底,導緻業務開展缺乏靈活性,進而喪失市場機遇和競争力。
<b>注重提煉和積累</b><b></b>
無論個人、團隊還是企業,都應定期對自身的安全工作進行回顧,提煉和積累。個人要想提高專業水準,必須定期對已有知識和經驗進行總結和抽象,輸出成産品或方法論,進而避免止步不前。企業在安全建設過程中同樣需要定期積累和沉澱案例,并對案例進行複盤和挖掘,進而逐漸提升安全防護能力,減少安全短闆。
<b>不要懼怕新技術</b><b></b>
關于新技術,很多業界同仁往往對之充滿恐懼,敬而遠之。特别是當新技術與業務系統進行結合時,更是如此。我更偏向于擁抱新技術。攻防對抗過程中,決定成敗的往往隻是一兩個資訊不對等的細節。誰能先用上新技術,先把新技術應用于實戰,誰才能搶占先機,掌握攻防對抗過程中的主動權。
我個人和我所在的企業都是阿裡雲的使用者,特别是雲盾系列的安全産品和服務。雲計算概念初起時,大家最關注的莫過于安全問題。近年來,随着各大雲平台廠商的不斷建設和探索,越來越多的使用者對雲平台的安全性開始充滿信心。
中小企業通常很少有能力對自身的雲上資源做全面管理,更不要提複雜的安全問題。作為雲平台服務商,提供一些基礎的安全産品或服務還是很有必要的。以下是我個人極力推薦并在使用的雲盾旗下産品:
waf(web應用防火牆)産品。有資料顯示:網際網路上絕大多數網絡攻擊是針對web網站的攻擊。雲平台提供了統一waf防護政策和技術,能夠幫助中小企業迅速補足應用安全短闆,大幅提升綜合安全防護能力。再加上雲平台自身巨大的資料流量基礎,平台能夠及時擷取最新的攻擊源、攻擊技術等情報資訊,雲上waf總能以最快的速度更新規則攔截最新的攻擊模式。
另外,“态勢感覺”也是我在雲平台上經常使用的安全服務。“态勢感覺”能夠協助客戶在大規模雲計算環境中,對那些能夠引發網絡安全态勢發生變化的要素進行全面、快速和準确地捕獲和分析。是專業安全分析人員、安全技術團隊快速識别風險,開展威脅響應的得力助手。
“君子善假于物”,用好雲平台上的安全産品和服務能夠為企業帶來良好的安全效益。要做到“善假于物”,前提是“格物緻知”——充分了解雲平台上每個安全産品的原理、特性和使用場景,才能最大限度發揮其優勢,将雲上安全提升到更高的水準。關于雲平台上的安全産品和服務,我個人有一些使用上的心得,希望今後能有機會和大家一起分享。
事實上我并沒有主動去做過任何貢獻,相反隻是站在一家基于雲平台開展業務的企業的安全負責人的角度,對我們最核心的基礎設施合作夥伴提出了大量的産品或服務上的苛刻要求。在這裡,我要感謝阿裡雲團隊對我們的信賴、容忍、幫助和支援。阿裡雲團隊一直以來高度重視我們回報的各種需求和bug,總能在第一時間站在使用者角度為我們解決問題。這也是為什麼我們能夠與阿裡雲團隊越來越深入合作的重要原因。
作為mvp,我個人希望能夠在第一時間了解阿裡雲在技術架構、産品設計和服務實作上的技術路線規劃,也期盼成為新産品、技術的早期使用人員。mvp應該是主動向其他使用者傳達雲平台産品新特性的媒介,更要敢于成為新技術的第一個吃螃蟹的人。mvp還應在社群中主動扮演積極分享的角色,将優秀的産品、技術和理念布道或傳遞給使用者;同時,幫助使用者向平台回報問題和需求。
最後,我希望所有的阿裡雲mvp成員之間能夠增加交流和溝通,我們可以互相學習,并與雲平台的所有使用者共同成長。
今後,我也會以阿裡雲mvp 的身份為大家分享更多的基于雲平台的企業資訊安全技術實踐
![TestLink導出用例轉換工具(XML2Excel)[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)