安全行业从业的经历回顾

• 斗转星移。在安全领域也熬了十多个年头。近三年也经历了整个安全领域的大变迁。安全从小众走向大众。作为一个并非优秀的从业人员，已经被人超越。特别是2010年以后，互联网企业崛起，目前不少安全大牛都是成长在那以后。安全焦点也从传统的IT基础架构演变成关注/攻/防的互联网安全架构。长江后浪推前浪。像过去/渗/透试是忽视的，只是在乙方作为安全服务的一个小项目。如今却因为市场需要和互联网安全的驱动，成为庞大的一支，很多新人都是以web安全入行。因为商业产品特别是盒子跟不上，导致开源产品和自营开发扩大，安全技术的发展从乙方阵地更多转向甲方。
• 接触安全最早是从防火墙开始，我个人经历，是在2002年左右。这是安全市场已经起来，主要目标对象是政府企事业单位，是以卖防火墙为主。当时网络建设已初具规模，网络安全问题开始凸现。当时我加入一家网络安全公司，主要就是做安全集成，cisco IPX，天融信防火墙，启明的IDS，然后公司自己开发的firewall。当时录取只有一个要求必须通过ccna。所以安全此时还没成熟，只是网络的附庸。当时公司的安全建设方案是请的交大博士做的。我有幸第一看到全盘的安全解决方案。有安全评估安全加固和安全产品集成以及安全服务。当时做的比较早，基本传统安全基础架构后来长时间一直没变。这种套路估计到互联网安全凸起，才发生变化。当初防御还是主要靠加固。IDS，firewall和杀毒软件是三驾马
• 在小公司还是能学到很多的。短时间内我就做过安全产品和安全服务，有段时间常驻在客户做安全巡检。都是边做边学。公司因为没人也会让你去做主要担当。记得我第一去装Cisco pix，客户说已经扔在仓库，因为忘了密码。问我能恢复系统吗？我上网查了cisco的网站，很快网上下载程序，导入软盘。用软件帮他恢复了。基本上没人培训都是自学。
• 当时已经开始做安全评估，主要还是以网络端口漏洞扫描为主。对于系统和应用只能以加固为主。顶多安装个防病毒软件。而且linux系统不多，面向的是windows。除了网络层。主机层的战场就是桌面终端。不像现在终端可能只有两三百台，服务器却有两三千。安全架构主要是内网安全。所以当时的安全理念是/攻/击百分之七十都来自内部。记得当时文广集团下面某公司就遭受过ddos。但不是来自外网。主要是内网某台机器染病毒后迅速蔓延导致。即使客户网站被/攻/击，最多是网页被篡改，并不会直接影响到企业业务。倒是内网的各种安全问题会导致业务蒙受损失。此时web业务还没潮流，外网/攻/击带来的损失还不直接影响生产力。
• 回过头来说web安全形成潮流后，传统基础架构在发生变化，更多的微服务，云服务越来越依赖互联网架构，边界在消失。如果从宏观上看，不能把web安全代表安全，应该看到web安全在其中是怎么比例越来越加重的。而整体传统架构又如何虚拟化云化。桌面变成虚拟桌面。服务器变成虚拟机。cs架构都变成bs架构。甲方也从过去的内网IT变成直接面向业务的运维。开发人员从内网的业务系统，变成做web架构的开发。内网的边界也发生变化，比如阿里云的使用。内网很多都是直接连接到外网的某个云平台。又比如钉钉这种企业OA的微服务。过去内网的概念已经无法适用现在的形势。现在更多是轻量级的，分布式的。
• 但变中也有不变，大的安全管理，安全架构的模式还是继续发挥作用，比如网络安全，主机安全，系统安全，数据库安全这种分法。或者身份认证，授权访问，加密，安全评估等等。但是在第七版的cissp中出现了安全运营的概念。显然随着安全的子域细分后，如何把这些打通串联起来，成了个问题。过去是ISO27001+ISO2000,一个是安全管理体系一个是IT运维体系。现在互联网架构的出现原来的框架不适用了。去流程化，或者把流程变轻成了主要的议题。大的框架如何裁剪改变，形成新的技术和管理体系。