安全行業從業的經歷回顧

斗轉星移。在安全領域也熬了十多個年頭。近三年也經歷了整個安全領域的大變遷。安全從小衆走向大衆。作爲一個並非優秀的從業人員，已經被人超越。特別是2010年以後，互聯網企業崛起，目前不少安全大牛都是成長在那以後。安全焦點也從傳統的IT基礎架構演變成關注/攻/防的互聯網安全架構。長江後浪推前浪。像過去/滲/透試是忽視的，只是在乙方作爲安全服務的一個小項目。如今卻因爲市場需要和互聯網安全的驅動，成爲龐大的一支，很多新人都是以web安全入行。因爲商業產品特別是盒子跟不上，導致開源產品和自營開發擴大，安全技術的發展從乙方陣地更多轉向甲方。

接觸安全最早是從防火牆開始，我個人經歷，是在2002年左右。這是安全市場已經起來，主要目標對象是政府企事業單位，是以賣防火牆爲主。當時網絡建設已初具規模，網絡安全問題開始凸現。當時我加入一家網絡安全公司，主要就是做安全集成，cisco IPX，天融信防火牆，啓明的IDS，然後公司自己開發的firewall。當時錄取只有一個要求必須通過ccna。所以安全此時還沒成熟，只是網絡的附庸。當時公司的安全建設方案是請的交大博士做的。我有幸第一看到全盤的安全解決方案。有安全評估安全加固和安全產品集成以及安全服務。當時做的比較早，基本傳統安全基礎架構後來長時間一直沒變。這種套路估計到互聯網安全凸起，才發生變化。當初防禦還是主要靠加固。IDS，firewall和殺毒軟件是三駕馬

在小公司還是能學到很多的。短時間內我就做過安全產品和安全服務，有段時間常駐在客戶做安全巡檢。都是邊做邊學。公司因爲沒人也會讓你去做主要擔當。記得我第一去裝Cisco pix，客戶說已經扔在倉庫，因爲忘了密碼。問我能恢復系統嗎？我上網查了cisco的網站，很快網上下載程序，導入軟盤。用軟件幫他恢復了。基本上沒人培訓都是自學。

當時已經開始做安全評估，主要還是以網絡端口漏洞掃描爲主。對於系統和應用只能以加固爲主。頂多安裝個防病毒軟件。而且linux系統不多，面向的是windows。除了網絡層。主機層的戰場就是桌面終端。不像現在終端可能只有兩三百臺，服務器卻有兩三千。安全架構主要是內網安全。所以當時的安全理念是/攻/擊百分之七十都來自內部。記得當時文廣集團下面某公司就遭受過ddos。但不是來自外網。主要是內網某臺機器染病毒後迅速蔓延導致。即使客戶網站被/攻/擊，最多是網頁被篡改，並不會直接影響到企業業務。倒是內網的各種安全問題會導致業務蒙受損失。此時web業務還沒潮流，外網/攻/擊帶來的損失還不直接影響生產力。

回過頭來說web安全形成潮流後，傳統基礎架構在發生變化，更多的微服務，雲服務越來越依賴互聯網架構，邊界在消失。如果從宏觀上看，不能把web安全代表安全，應該看到web安全在其中是怎麼比例越來越加重的。而整體傳統架構又如何虛擬化雲化。桌面變成虛擬桌面。服務器變成虛擬機。cs架構都變成bs架構。甲方也從過去的內網IT變成直接面向業務的運維。開發人員從內網的業務系統，變成做web架構的開發。內網的邊界也發生變化，比如阿里雲的使用。內網很多都是直接連接到外網的某個雲平臺。又比如釘釘這種企業OA的微服務。過去內網的概念已經無法適用現在的形勢。現在更多是輕量級的，分佈式的。

但變中也有不變，大的安全管理，安全架構的模式還是繼續發揮作用，比如網絡安全，主機安全，系統安全，數據庫安全這種分法。或者身份認證，授權訪問，加密，安全評估等等。但是在第七版的cissp中出現了安全運營的概念。顯然隨着安全的子域細分後，如何把這些打通串聯起來，成了個問題。過去是ISO27001+ISO2000,一個是安全管理體系一個是IT運維體系。現在互聯網架構的出現原來的框架不適用了。去流程化，或者把流程變輕成了主要的議題。大的框架如何裁剪改變，形成新的技術和管理體系。