zoukankan      html  css  js  c++  java
  • 参加会议的几点体会

    2019年8月21日-23日,我参加了为期三天的北京网络安全大会,议题满满,收获多多,但其实也是蛮累的。

    本次大会主题是“聚合应变,内生安全”,三天的会议日程,上午是主题峰会,下午是分论坛。

    这里分享一下参加分论坛的几点心得体会:

    关于选择的策略

    面对这么多分论坛和主题演讲,如何去选择呢?

    为此,我和我同事分别采用了两种策略,我同事将所有分论坛的主题内容全都过一遍,筛选出感兴趣的主题内容,按照时间计划排成一个先后顺序,听完一个演讲迅速赶往下一个主题所在的会议室,如此往返。但计划不如变化,因部分分论坛嘉宾没有及时导致延迟开场、部分演讲时间超时等客户因素,并没有如愿进行。

    而我,选择了一种比较“笨拙”的方式,根据分论坛主题和演讲嘉宾,找一个感兴趣的分论坛,然后早早去会议室找个好位置,从下午1:00-5:30都在同一间会议室,省去了往返奔波的时间。虽然主题内容并非全部感兴趣,但只要用心倾听,终有所获。我分别选择了如下三个分论坛:

    21日下午 《金融科技网络安全论坛》
    22日下午 《首届网络空间安全可信技术创新论坛》
    23日下午 《CISO高峰论坛》

    这种选择,让我可能慢慢地享受这场会议,可能是一张PPT,又或者是演讲嘉宾的一句话,能够有所启发,这就值得了。

    关于安全的几点体会

    1、做安全,做到最后是一份责任,而不是一份养家糊口的工作。

    如果说,白帽子是行走在网络边界的游侠,那么,在甲方安全的童鞋们,就是守护一方疆域的将士,保护企业的信息资产。在《蜘蛛侠》电影中,有这样非常经典的一句话:能力越大,责任越大。作为一个甲方安全工程师,你可以按照你的意愿去设计你的系统,你也可以将你的安全意识辐射到团队的其他成员。安全,对你我来说,更多的是一份责任。

    2、倾听甲方的心声,真实的诉求

    在平时的工作接触过程中,有些团队拿出的产品或方案并不成熟,甚至有的销售要求内部团队拿出新产品卖钱,你觉得,忽悠客户,这就能卖钱吗?多倾听甲方诉求,为用户提供安全价值,脚踏实地的研究产品和服务,才是正道。

    3、基于业务规则梳理安全防护策略

    这是一种有效防范APT防御攻击的方式,即使再厉害的安全团队,也很难全部摸清楚内部的业务规则。比如,属于财务部门的IP,访问金融科技部门的服务器远程桌面服务器,这就是属于异常的访问行为。

    4、开源软件+API安全

    我们经常通过升级版本或打补丁来修复漏洞,但在跑业务的系统,应更谨慎些。漏洞修复前,需全面评估对业务的影响,修复后,做大量的业务测试,才能保证系统的稳定性。

    越来越多的系统采用微服务架构来构建自己的业务平台,各种应用使用大量接口API,接口安全问题不容忽视。API金钟罩:接口参数加密+时效性验证+私钥+HTTPS。

    5、学习践行

    有幸参会,聆听前辈们的演讲,学习行业里在安全方面的做法、产品、服务,重新思考安全的价值,不断践行。

    以上,仅我个人粗浅的体会,安全的路还很远。

  • 相关阅读:
    springboot2系列目录
    zookeeper 集群部署
    canal 配置 详细说明
    在Docker环境下部署Kafka
    Spring4新特性
    centos7 卸载 jdk
    Kafka安装
    Scala 面向对象(三):package 包 (二)
    Scala 基础(七):Scala 运算符
    Maven 专题(四):什么是Maven
  • 原文地址:https://www.cnblogs.com/xiaozi/p/11416226.html
Copyright © 2011-2022 走看看