诸子云 | 2020评优:最佳征文候选展播及投票
诸子云,是由安在新媒体发起、组织并运营,以中国境内各行业各领域企业机构网络安全从业骨干为主体的纯民间社群组织。利用安在作为专业媒体的便利和优势,诸子云开展个人专访、主题征文、线上交流、线下沙龙、课题项目、调查报告等一系列社群活动,旨在为企业用户(甲方)一线工作者提供一个交流互助、影响传播和价值共享的平台。
自2018年8月成立至今,诸子云先后在上海、北京、深圳、杭州、武汉、厦门、西南(成都+重庆)、厦门等地建立分会,认证会员近1500人。会员分布极其广泛,涉及超过80个不同的行业,其中尤以金融、互联网、制造和大型企业为众。从职位来看,会员有超过20%担任所在企业机构的高级安全岗位,超过40%为中级安全岗位。
除了常规性的社群活动和事务,基于诸子云,秉持“取之于民,用之于民”的原则,近两年来,安在更是策划组织了多个创新性项目,包括网络安全“大众点评”——安在新榜、网络安全公益直播——安在讲堂、网络安全创新测试——POC、网络安全“黄埔军校”——超级CSO研修班、诸子云知识星球等,更进一步活跃社群、惠及会员,同时,也为促进网络安全产业发展贡献力量。
值此新旧交替之际,为感谢过去一年来诸子云会员在社群共建方面所做贡献,我们特别策划了年度评优活动,以分会推荐+日常积分为准推举候选,同时采取网上公开投票的方式,选出诸子云2020年度“最佳项目”、“最佳分享”、“最佳征文”、“最佳分会”和“十佳会员”等荣誉称号。
本次推文,是年度评优活动的第三期,即诸子云2020年度“最佳征文”的候选展播和公开投票,所列举的,都是过去一年多来,已经完成并在安在微信号正式发布的“安在征文”。
自2019年初起,“安在征文”就是诸子云会员的特色项目,聚焦热点话题,面向诸子云社群,激发创作分享,其目的在于让更多人成为写作者、分享者和互助者,从而提升网安业者整体的视野与水平。
2020年,“安在征文”共发布了三大征文主题,分别是“红蓝对抗中的心理博弈”、“POC轶事”和零信任”,收获了11篇干货满满的征文,受到业内人士的好评。那么,现在就为你心目中最好的那个投出一票吧!
* 范围:所有2020年度已经发布的安在征文
* 网络投票
* 评选唯一大奖
(点击标题查看项目详细内容)
王振东
就职于东方航空,从事系统开发工作。爱好心理学和信息安全,持续关注赛博空间安全发展,主要研究领域为研发安全和安全意识培养。拥有心理疏导师资格证书和信息安全工程师职业资格证书。
红蓝对抗不是零和博弈,他们有一个共同的目标就是帮助赛博空间更安全。而正义与邪恶、光明与黑暗才是零和博弈,安全从业人员对网络犯罪应该零容忍,对欺诈、窃取、破坏行为要严厉打击。我们也要学习象棋和围棋的智慧,纵深防御、步步为营、追根溯源、降维打击,全方位构建一个安全的赛博空间。
杨博涵
交通银行股份有限公司安全部门技术工程师,负责安全防护体系建设相关工作,CISSP。
全流量系统一般包含数据采集模块、数据存储模块、安全分析模块,共三个基本组成部分,但根据POC测试经验,建议甲方在计划采购全流量系统时,可要求乙方公司补充两个模块——文件沙箱和威胁情报模块,可以提高分析效果。目前主流厂商的全流量系统产品都包含这五个模块,但是整合能力存在差异(这一点可以从POC测试时硬件服务器的数量看出端倪)。
黄乐
十年网络架构设计经验,五年安全体系建设及管理经验,清流派企业安全沙龙创始人,两个安全公众号主理人。
在企业中,技术团队经常通过POC来验证产品功能和性能是否符合预期。POC是采购前最后一个环节。当然,也有些POC会放到采购环节之后(对即将购买的产品进行POC测试)。一般来说,POC是甲方对产品了解和信任的重要环节。但谈论POC还要从上一个环节,也就是技术交流谈起。
金国峰
某银行技术信息安全官,十多年金融行业信息科技及安全从业经验。写过COS,拜过机房,扛过项目,专注架构的老人家。
POC在安全层面或是安全运维层面并不具特殊性,从业者应有清醒的认识。整体POC的设计应着重考虑业务和科技规划的需求。大体包括明确的测试目的、测试计划(时间、人员,测试环境申请,部署,测试过程及反馈,测试进度计划等)、甲乙方责任、定义参考、双方声明及最重要的测试案例等。
李磊
OPPO信息安全部,数据安全8年安全从业经验,长期负责内部安全建设,探求安全体验与效率并存的安全能力和解决方案建设,拥有CISSP和PMP认证。
企业在做安全产品选型时,POC测试多站在产品功能、性能验证视角,而对后期安全运营视角下的需求关注较少.随着企业安全建设的深入,安全产品作为独立个体”独善其身”的可能性下降,需要更多与其他安全产品、平台集成、联动,POC测试时安全运营需求如果考虑未充分考虑,最后会发现安全产品的能力和功效发挥的一般,甚至造成”食之无味、弃之可惜”的被动局面。故,笔者从安全运营视角谈一谈POC时的注意点,给大家提供些许参考或指引。
蒋琼
中银证券安全管理主管,国内第一批CISA,DPO,在信息系统安全审计、数据安全管理实践等方面具备丰富经验。曾任中和软件后台合规性检查系统高级工程师、负责人。
POC测试(Proof of Concept)作为针对具体应用的验证性测试,核心在于选用用户服务器上进行真实数据的运行。一切皆真实,也就让或炫酷或云雾中看不明的安全产品的介绍,尤其是在新兴技术领域,那些具有颠覆性革新的云中路,雾中花,真实落了地。笔者一直记得当年读审计时将审计总结为是一项证明的科学,因此,持续关注并参与体味着poc测试的主角,肩负着如何证明的甲方团队的一些真实感受,以一篇关于新兴变革性产品做poc测试的小文与诸君分享。
李磊
OPPO信息安全部,数据安全8年安全从业经验,长期负责内部安全建设,探求安全体验与效率并存的安全能力和解决方案建设,拥有CISSP和PMP认证。
如果要说2020年哪几个安全名词最火,“零信任”应该可以排上前三甲。从2010年Forrester提出“Zero Trust”概念到2019年NIST发布零信任架构草案,中间业已过去了近10年, 为什么“零信任”好像突然一夜之间大火了?笔者认为,年初的“新冠疫情”,加剧了远程办公的诉求,传统的VPN远程接入模式已不能解决复杂的业务场景需求,转而诉诸零信任能扭转这种局面。那么,到底什么是零信任呢?
肖文棣
获得华中科技大学软件工程专业工程硕士学位,持有 CISSP、AWS 助理解决方案 架构师和 AWS 安全专家等认证。现任晨星资讯(深圳)有限公司安全架构师职务,负责应用安全设计、管理和评审等工作;现任OWASP中国广东分会负责人。
笔者认为,零信任也是有自己合适的场景,而不是一个万能的银弹。大家应该根据企业的需要进行合适的选择,有的时候,边界防御还是当前场景的最优方案。不用盲目要求一切都要追求最新最时髦的东西,而忘记安全为业务服务的本质。
笔者还认为对于风险大家也要正确看待,有些风险值得处理,有些风险必须接受,只要一切都在掌握之中,并且与业务团队达到共识,这样的风险并不可怕。最可怕的是不知道风险而去盲目处理,这样可能事倍功半,得不偿失。
杨文斌
国网电商安全管理岗位,12年网络安全从业经验,熟悉网络安全、数据安全及安全运营等领域,擅长企业网络架构和安全架构方案设计。近期一直在深耕开源安全相关工作,并持续开展SRC平台运营推广。
第一次接触零信任是2019年中,在写自家安全运营平台建设规划方面的材料时,发现了这个新概念,当时大概了解到零信任模型的思想,多数文章还是从谷歌的Beyondcorp作为案例简单介绍。对于网络出身,转向安全的我来说,这个模型不管是从架构还是理念都使我感到格外亲切,引发了很强的兴趣。
个人认为,零信任体系的建立没有固有的模式和方案,唯独思想和目标是固定的,相信在未来零信任理念一定会持续不断的融合到安全体系的建设中,形成适合公司自身发展且独具特色的安全理念。
刘欢
某互联网公司安全负责人,曾参与过运营商、金融、军工等行业安全评估建设。目前主要负责企业内部安全防护体系的建设,主要研究方向为基础安全与数据安全。
笔者认为不管零信任还是SDL等等并非是一个具体的技术,只是一种设计参考模型或者说是一种架构思路。如果为了零信任而去做零信任那大可不必。毕竟我们做企业安全的根本问题是解决企业实际问题,而每个企业由于规模不同其基础设施、技术架构也不同。所以将零信任思路融入企业安全建设中去与企业内部基于内部实际基础设施去改造才是真理。
高勇
十余年信息安全从业经验,在信息安全技术,信息安全管理方面都有所涉猎。目前在金融行业某头部企业从事信息安全类项目的规划和设计工作。
零信任中的“零”是一种可定义的零,仅意味着对网络的一种更为精细的划分。或者说,“零”仅象征了这个方案做到极致时的样子,也就是分无可分的状态。
仅细分网络而不重新考虑信任,实际上就是多了几个防火墙,这没有任何实际意义。但此时的信任问题是与网络细分的程度强关联的,不同的网络细分需要的信任模型都不一样,也就是说这个“信任”是要看这个“零”是如何定义的。
笔者认为一个比较好的切入点是VPN,如果组织的所有成员在不使用VPN的情况下在能够外网安全的完成所有日常工作,至少说明其具备了切换零信任的基础条件。
、
齐心抗疫 与你同在