几乎每个参加RSA大会的人都有这样一个目的:从展览或会议中了解未来信息安全的发展趋势,但想要完成这个目标难度却很大,面对海量信息无异于大海捞针。实际上,参展商或会议发言人大都有背后的商业利益推动,所展示的内容大都是为了推广自己的产品或理念而服务,完全公正客观的很少。更何况大家面对的用户和政策环境很不一样,只有透过现象看本质,才能得到自己想要的东西。
在美国旧金山召开的RSA 2010
网络安全和数据安全:资讯、技术、法规、趋势……
几乎每个参加RSA大会的人都有这样一个目的:从展览或会议中了解未来信息安全的发展趋势,但想要完成这个目标难度却很大,面对海量信息无异于大海捞针。实际上,参展商或会议发言人大都有背后的商业利益推动,所展示的内容大都是为了推广自己的产品或理念而服务,完全公正客观的很少。更何况大家面对的用户和政策环境很不一样,只有透过现象看本质,才能得到自己想要的东西。
在美国旧金山召开的RSA 2010
———-benjurry———-
我来简单介绍下各互联网公司的安全团队吧,不当的地方还望各位补充和指正。
1、为什么互联网公司要有自己的安全团队。
a,公司重视:互联网公司的业务特别依赖于网络,网络的稳定和安全直接关系的公司业务,甚至是公司的市值,因此需要重点保障;
b,市场不能完全满足:由于安全公司偏向于传统网络安全,比较关注漏洞、FW、IDS、Scanner、Anti-DDOS、UTM等通用性安全产品和技术的研究,对于互联网公司的业务分析的相对少一些,因此短期内无法满足互联网公司的全部需求,因此在需要得到安全公司的服务外,还有不少安全需求无法解决。
…
“我们在做什么?将走向何方?”
这本来是一个极具有哲学意味的命题,在读大学的时候,我的心理课程老师就专门给我们上过一堂这样的课。但今天在这里,我并不想探讨任何哲学或者人生的问题,只是想讲讲我对甲方安全发展方向的一些理解。对面临就业选择的朋友来说,可以作为一个参考。
甲方在这里就是指安全不是核心业务的企业,比如google,比如apple;相对而言,乙方就是指安全厂商、防病毒厂商了。一般来说,乙方的主要以安全产品或者安全服务为主。
在几年前,甲方招安全人员一般都是放到运维部门,主要工作还是扫描和服务器加固等。这也为乙方的生存和发展提供了市场。乙方到甲方做渗透测试、安全评估,然后出个安全解决方案,最后再把一大堆产品卖给甲方。
…
慢慢的发现自己有点落后于这个行业……
2007出差最多,到沿海后才发现西安原来落后于人家那么多,我说的,包括:技术、市场、观念。也许技术上提高很容易(毕竟西安高校还是很多的)、市场上提高也仅仅需要领军人物,但是观念上的落后确实致命的!
西安,交大捷普、安智科技、电信十所,在西北地区算是有点样子的安全公司了,安全服务、应急响应、系统集成、涉密集成的资质都有,但是即便是在大本营的西安,在市场上也见不到和他们身份相称的影子。
曾经有个朋友和我认识好几年,关系很不错,最开始在西安做公司,后来因为出了一些问题(遇到土匪了,没错,您没看错,就是遇到土匪了),直接迁移到上海发展。半年后,他和我说:比起来,上海的政策太宽松了,比西安更适合创业,西安很多钱、很多时间都耗费在和公务员们打交道上了。和我说要是想好好发展,一定要去上海、深圳、广州这样的地方,思路开、政策开。
有一段时间出差在北京、上海等地,包括和沿海一些朋友聊天,感觉西安这边的安全行业,落后于那边要有2-3年,甚至5年。而其间落后最厉害的,是观念上的。我在一些军工企业甚至遇到有核心人员说:我们的东西有什么值得保密的?落后美国几十年。囧……
在和政府管理机构一些朋友的聊天中,得知他们也是累的够呛。保密知识的普及按说也很费力气了,但是领导层还是只看市场,不管知识产权的保密,特别是对于内部人员的管控,几乎是放羊式管理。简言之:领导只看能带来效益的市场占有率,至于信息化则是“只花钱、不赚钱”的机构。而对于信息化带来的便捷性、高效率认识不够,对于安全性问题更是认识落后。
曾经在一次针对省级军工企业的培训会上,某厂家的技术人员说删除的数据可以恢复,然后就很多保密干事、信息中心的技术人员都感觉很惊讶……当然,经过两三年的普及,现在应该都知道回收站清空后数据还可以恢复了。但是,举一反三的事情我感觉还是很多单位做不出来。
UTM类产品,在沿海是卖的很不错的,但是在西安这边,很多用户依然处于认识阶段。
至于应用安全,更是刚刚开始……曾经有一段时间,我和几个朋友说,西安做数据库安全的,也就咱们几个人吧,几个人坐在一起都可以围标了……几个人笑。想来,笑的也挺没意思的,是啊,凭信息不对称在这样的地方、在这样的形式下领先有什么意义?
等级保护在浙江、广东、北京、上海做的如火如荼了,陕西呢?如果大家关注,可以知道落差多大。落后仅仅是因为技术上、资金上的问题吗?
前一段参加交大捷普的新品发布会,新品无所谓是上网行为管理、多核防火墙,有何新意呢?安智也依然在推SPM、防火墙、网管、SDM、WebGate之类的产品,当然最近也在做安全服务;电信十所则几乎销声匿迹……
应用安全,西安,几乎是零!
其实从技术上来说,我很佩服交大捷普的研发:防火墙、VPN、路由器、交换机、入侵检测、漏洞扫描、网管软件、计费软件、入侵防御……全能啊!安智则当年狠挖了一批圈内知名的hacker,现在西安本地做安全服务也算No.1了;十所不说了,个人评价是浪费了个涉密集成甲级资质。
但是,从市场上来说,他们都不成功,是的,不成功。如果在北京,他们理应比现在做的好的多。至少在客户案例上,北京公司随便找一个,就是中XX、国XX、XX部委、XX总部,而在西安的话……嘿嘿,你只能做陕西省XX,差距太大了。所以现在认识的很多做安全的公司,都迁移到北京。
一方面,因为北京的技术优势、市场优势;另一方面,北京的观念先进的多。同样一个公司,在北京活的好好的,在陕西可能就是在生死线上挣扎……挺悲哀。
曾经有一批做网站的哥们在讨论网站运营的时候,说:看看吧,除了古城热线是陕西电信的、华商网总部在西安,还有像样子的网站不?当然现在腾讯西安也像模像样,不过这得益于深圳腾讯的超强实力,和西安关系不大。而实际上,很多做网站的都是从西安出去的,比如:张朝阳、方兴东……都是佼佼者,但是:他们都出去了,而不是选择了留在西安。
近期和朋友们聊天的过程中,几个人和我说:想搞安全,就去北京,西安不适合,你现在已经开始落后了,而本来你是领先这个行业的。我却实在不喜欢北京这个城市:多数时间浪费在路上……但是,从行业发展来看,有的选择么?
撇开待遇不说,其实很多人怕的不是收入差距,而是理念上的差距。
插播一句:很多地方,有钱吃饭,没钱发展。
是西安落后,还是我在落后?
作者:张百川(网路游侠)
网站:https://www.youxia.org
转载请注明来源!谢谢合作。
2009年对于信息安全业界来说是不平静的一年,随着黑客攻击手段不断更新,企业面临的威胁也越来越多。进入2010年,企业用户仍不能放松警惕,1月12日,百度首页被黑的事件,充分说明了企业仍然面临严重的信息安全问题。在固有的攻击模式下,新型的攻击将在2010年大行其道,未来企业信息安全仍将承受巨大的压力。
2009年企业信息安全热点回顾
1.万兆安全网关“干打雷不下雨”
近年来,在数据通信领域,“千兆到桌面、万兆做骨干”已经呈普及趋势,很多交换机和路由器都拥有多个万兆大容量端口。而在网络安全领域,国内众多安全厂商在2008年就曾纷纷推出了万兆网络安全产品,如万兆防火墙、万兆UTM(统一威胁管理)以及万兆IDS/IPS一度成为安全厂商的主打产品。
…
在信息安全就业市场上,2009年被认为是就业模式转换的一年。在我们这个行业中,信息安全职业人员有史以来第一次需要面对全球经济恶化带来的更为广泛的负面影响,主要表现为:裁员、降薪或不加薪,以及更少的就业机会;这些影响归因于外界的商业因素:公司破产、风险资金投资的减少、公司信息安全投资的减少以及公司更多的依赖产品外包和自动化。
2009年发生的这些事情给所有的信息安全从业人士敲响了警钟。信息安全这个职业已经成熟了,而且已经成为非常受欢迎的职业选择。在过去,安全从业人员能够要求额外的补偿和培训,然而现在很多人只要有稳定的工作就很高兴。2010年刚刚开始,而经济状况依然不明朗,所有信息安全从业人士都应该很清楚他们不仅需要继续发展和提高自己的技术水平,而且还迫切需要向老板证明自己的价值。
…
在群里面发了一句,后来就有跟帖……
认识个做安利的,天天烦我。
和我说:做安利5-8年你就可以1年收入十几万了。
我说:我搞安全,明年就可以收入十几万了……
他不吭气了……
搞黑站挂马的说:
认识个做安全的,天天烦我。
和我说:做安全明年你就可以1年收入十几万了。
我说:我搞黑产,明天就可以收入十几万了……
他不吭气了……
卖上网行为管理系统的说:
认识个做黑产的,天天烦我。
和我说:做黑产明天你就可以收入十几万了。
我说:我搞网络监察,马上就可以收入十几万了……
他不吭气了……
搞地下交易的说:
认识个做网络监察的,天天烦我。
和我说:做网络监察马上你就可以收入十几万了。
我说:我搞网络攻击的,已经收入几百万了……
他不吭气了……
数据显示,我国每年因网络泄密导致的经济损失高达上百亿!近日,国家信息中心联合中国信息安全测评中心、微软(中国)有限公司等机构正式推出具有自主知识产权的政务终端安全护理方案。而联想、方正等国产PC企业从去年开始也对信息安全提供了整机保护的方案,一场无形的信息安全保卫战已全面打响。
超六成企业处高风险状态
信息技术的不断发展,使得网络资源的双刃剑效应日渐凸显。日益严重的来自网络的安全威
今天在某省级政府单位进行技术沟通,谈到他们测试的流量控制系统,用户说了一句很经典的话:
“高开低走,最后停盘”
我问,详情如何?
曰:测试的产品一款不如一款,最后直接断网了……有的挂上慢一些也就罢了,“杀敌一万,自损三千”尚且可以理解,但是某款宣传的蛮好的产品居然挂上之后网卡和交换机有兼容性问题,乃至于无法上网!还有某厂家的测试的时候需要一个个的添加帐号,否则无法上网。配合测试的工程师直接说:算了吧,上千人添上都累死了……不用测了。
所以说产品的测试是“高开低走,最后停盘”。
游侠想说:
做产品,一定要以客户实际需求为主,切忌研发闷头写产品,否则注定是被市场抛弃。
不写了,明天早上还得被闹钟叫醒去外地给客户做网络安全测试……
估计睡眠时间6小时,明天至少在车上6小时。晚上回西安如果不出意外的话是得“披星戴月”。
群里面和朋友聊天的时候有哥们说一般用Unix+WebLogic比较保险吧?
其实,安全从来都是相对的,我们看下图:
看到了?漏洞并不少
游侠记得以前zone-h的统计,被黑网站绝大多数是Unix/Linux
大约占到总体被黑网站系统的百分之九十
随手写的个文档,当时都没有多考虑
因为在忙公司的事情,无奈了……
缺憾很多的,只是一点点的内容
网路游侠@https://www.youxia.org
1. 巩固和发展传统优势行业
金融
电力
保险
运营商
偏门行业(虽然资金不多,但是竞争小,容易形成纵向、横向优势)
其它“行业垄断型”企业(一般这类企业都有钱,且有财务自主性)
……
微软公司副总裁成候选人;美军将成立网络司令部
美国总统奥巴马定于29日公布美国网络评估安全报告。媒体报道,他届时将宣布设立一个职位,负责统管美国网络安全事务。同时,美国军方正筹建网络司令部,为未来网络战作准备。
美去年网络遭袭3.6亿次
《纽约时报》和《华尔街日报》报道,出任这一职务的人需要向国家安全委员会和国家经济委员会报告,而不是直接对奥巴马负责。美国政府内部之前就这一职
美国总统奥巴马二十九日发表讲话,表示网络安全问题已成为美国经济与国家安全面临的最严重挑战,他将在近期指定一位高层官员专门负责互联网安全的监管。
奥巴马称,白宫将新设一个互联网安全办公室,该办公室的负责人将从美国全国安全委员会和全国经济委员会成员中选出,其主要职责是制定网络安全政策以及在网络入侵案件发生时协调政府各部门的行动。该办公室还将有专人负责保护公众隐私和自由。
奥巴马在讲话中指出,美国政府和整个国家都没有对网络安全问题予以足够重视和准备。他列举数字称,过去两年网络盗窃事件已造成八十亿美元的经济损失。而他本人去年参加总统竞选期间,竞选阵营的网络系统也曾遭遇黑客入侵。
…