理論篇 #####
第一章 安全大環境與背景
談企業安全得有大視野,不然沒法講,雖然從整體環境入手並系統講解,但是後面章節細化後,視野會越收越窄。
#1.切入「企業安全」的視角
企業安全是什麼?
安全行業中「二進位制」和「指令碼」流派是主力軍,但是這兩流派都屬於微觀對抗,還有乙個流派群體叫csos,前兩個流派是企業安全的縮影,而csos流派才是全貌,才能更好詮釋:企業安全是什麼。
csos流派裡面有兩種極端的領導,一邊倒攻防,一邊倒浮誇的新概念,這些都是缺乏積極意義的。
技術很重要,但攻防只解決了一半問題,安全的工程化以及體系化的安全架構設計能力是業內普遍的軟肋,多數人不擅此道。
乙方區別甲方,在安全建設上缺少系統化和工程化的日常性活動。
甲方安全有一類特殊的,叫產品線安全,一般的甲方網際網路企業關注入侵檢測、漏洞掃瞄等,但是產品線安全要更深入,從設計和威脅建模的角度去看整體全面和很細節的安全。
csos無法純幹技術活,cso需要制定策略,四兩撥千斤解決安全問題,cso 不會只停留在微觀對抗上,在系統性建設更多一點。
#2.企業安全包括哪些事情
1網路安全(純技術)
2平台與業務安全(目的性強,基礎安全的拓展)
3廣義資訊保安(包括紙質文件安全等一切內容)
4it 風險管理、it 審計&內控(合規性)
5業務持續性管理bcm(讓安全業務更有親和力)
6安全品牌營銷、渠道維護(含src的活動)
7cxo 們的其他需求(運維/開發均費力幹的事情)
側重點:
網際網路公司:1、2、5
傳統公司:1、3、4、5
任何以安全團隊自我為中心的安全建設都難以落地,多進行bcm的實操。
對乙方而言,即使你成為骨灰級的專家啊,公司也會對你在某方面創新有所期待而給你持續發展的可能性。
對甲方而言,ceo會想是不是安全部門為了打造影響力在浪費錢。
以狹義的安全垂直拓展去發展甲方安全團隊的思路本質上是個不可控的想法,
籌碼不在 cso 或者 cto 手中,而是看主營業務的晴雨表。
有想法的安全團隊在網路安全方面做得比較成熟時會轉向平台和業務安全,
平台和業務安全是乙個很大的領域,發展的好,團隊規模可以擴大2、3倍,
並且在企業價值鏈中的地位會逐漸前移,成為運營性質的職能,
結合 bcm 真正成為乙個和運維、開發並駕齊驅的大職能。
bcm不僅僅是災難恢復dr,還包括很多帶灰度的內容需要結合業務深挖。
網際網路行業的安全工作有:
資訊保安管理(佔 10% 工作量)
基礎架構與網路安全(佔 29% 工作量)
應用與交付安全(佔 31% 工作量,救火階段通常入手不夠且沒有完整sdl)
業務安全(佔 30-50% 工作量,屬吃飽了,高階內容)
#3.兩種型別的企業安全建設中的區別
傳統企業:業務變更不頻繁,idc規模不太大,安全產品架構不限。
網際網路企業:業務變頻繁,idc規模很大,必須用分布式架構。
同時在架構上要關注:高效能、高可用、擴充套件性、tco(roi)
網際網路公司難以理清所有介面間的呼叫,等理清了可能框架又變了,故得靠自動化手段。
對核心業務才會深入調研並隨之更新。
傳統企業安全建設是:在邊界部署硬體防火牆、ips/ids、waf、商業掃瞄器、堡壘機,
在伺服器上安裝防病毒軟體,整合各種裝置、終端的安全日誌建設 soc。
當然購買的安全硬體裝置可能遠不止這些,
重視制度流程、重視審計,有些行業也必須做等級保護以及滿足大量的合規性需求。
網際網路公司一般可分為生產網路和辦公網路,大部分安全建設都圍繞生產網路,
而辦公網路的安全通常只佔整體的較小比重,但是某些傳統企業比例上正好相反。
網際網路企業的生產網路中,安全解決方案基本上都是以攻防為驅動的,
怕被黑、怕拖庫、怕被劫持就是安全建設的最直接的驅動力,比傳統企業更務實。
##小結
本章內容豐富,但是有些內容只在本章提及,因書本篇幅所限不能展開,不代表不重要。
本章以企業安全這個名詞展開,分析了大型甲方、小型甲方、乙方的企業安全工作內容的不同處,
及背後的原因,本章末尾提到了雲的趨勢,
講解了雲趨勢給安全產品、消費者、雲平台在安全方面可能帶來的變化。
網際網路安全(二)
數字簽名 使用公鑰加密技術實現的用於鑑別數字資訊的方法,由資訊的傳送者產生的別人無法偽造的一段數字串,放鬆方用乙個雜湊函式從報文中生成報文摘要 digest 然後使用自己的私鑰對該摘要加密,加密後的摘要即時該報文的數字簽名。接收方需要用和加密是一樣的雜湊函式從接收到的報文中算出報文摘要,然後再用傳送...
網際網路安全加密
1.加密理解 加密型別 分為單向加密和雙向加密 加密演算法 演算法分為對稱性加密演算法和非對稱性加密 對稱性加密理解 對於對稱性加密演算法,資訊接收雙方都需事先知道密匙和加解密演算法且其密匙是相同的,之後便是對資料進行加解密了。非對稱性加密理解 非對稱演算法與之不同,傳送雙方a,b事先均生成一堆密匙...
網際網路安全 API 安全概述
申明 本筆記引用了 的一些內容,並結合自己的理解與思考,歡迎指正。1.1 什麼是api安全 api是系統提供服務的介面,外部 web mobile server等 請求api,經過一些業務邏輯後,返回響應。api安全主要涉及網路安全 應用安全 資訊保安。1.1.1 api 安全目標 api安全目標 ...