看到有人推薦, 安全界新書(shū)<互聯(lián)網(wǎng)企業(yè)安全高級(jí)指南>, 最為一個(gè)安全方面的小白, 果斷廢寢忘食的讀了一遍, 收獲頗豐.
本書(shū)最大的特色就是作者從方法路的角度, 介紹了安全建設(shè)的方方面面, 而具體的技術(shù), 感覺(jué)在本書(shū)中的意義并不是非常明顯, 畢竟方法論講透了, 安全技術(shù)那么多, 一本書(shū)神仙也說(shuō)不完.
講到從外面挖來(lái)一個(gè) CSO, 安全體系從頭開(kāi)始重建一次, 對(duì)于 CSO 來(lái)說(shuō)并不是很有挑戰(zhàn), 但對(duì)于 CSO 的跟班小弟來(lái)說(shuō), 確實(shí)千載難逢的學(xué)習(xí)的機(jī)會(huì). 這簡(jiǎn)直就是最實(shí)用的職場(chǎng)建議啊
從安全人才培養(yǎng)方面, 作者認(rèn)為有兩種人可以考慮:
- 第一類(lèi)是酷愛(ài)攻防技術(shù)的人, 也就是我們常說(shuō)的黑客
- 第二類(lèi)是基礎(chǔ)非常不錯(cuò)的程序員.
雖說(shuō)第一類(lèi)人才是安全建設(shè)初期最迫切需要的, 也是最合乎普遍看法的, 但作者強(qiáng)調(diào)安全體系建設(shè)是系統(tǒng)性的, 分階段的, 基礎(chǔ)好的程序員失業(yè)和思路開(kāi)闊, 有可能最終脫穎而出.
第三章 甲方安全建設(shè)方法論
在安全界, 甲方就是安全需求方, 掏錢(qián)要求被保護(hù)的那頭; 而乙方就是提供安全服務(wù)的這一頭. 甲方建設(shè)的方法論, 也就是作為互聯(lián)網(wǎng)工程師的我, 需要著重學(xué)習(xí)的. 個(gè)人認(rèn)為這一章是本書(shū)的精華.
從零開(kāi)始
從零開(kāi)始建設(shè)公司的安全體系, 作者有一套方法論
首先伸手要的三張表:
- 組織結(jié)構(gòu)圖, 這是開(kāi)展業(yè)務(wù)的基礎(chǔ).
- 各個(gè)產(chǎn)品線(xiàn)和負(fù)責(zé)人表. 這是縮水版問(wèn)題響應(yīng)流程, 出事知道該找誰(shuí)
- 全網(wǎng)拓?fù)? 各個(gè)系統(tǒng)的邏輯圖, 物理部署圖, 各個(gè)系統(tǒng)間的調(diào)用關(guān)系, 數(shù)據(jù)流圖. 沒(méi)有推進(jìn)讓業(yè)務(wù)部門(mén)畫(huà).
其次,
- 建立安全基線(xiàn), 之前的慢慢改, 但之后的必須保證安全底線(xiàn) (簡(jiǎn)直就是老司機(jī), 要不上任后依舊被人拖庫(kù), 你想老板怎么想... )
- 監(jiān)控, 多維度入侵檢測(cè), 有的放矢的修復(fù)安全問(wèn)題
- 做好事后的應(yīng)急響應(yīng)能力
收獲好多, 恨不得抄書(shū)的感覺(jué).
總結(jié)
這是一本我恨不得每章的筆記都再打字輸入一遍的書(shū), 五星推薦, 不干安全也非常有收獲.
