看了黑哥的ppt《业务与安全》,我也想谈谈我的信息安全观。

如果把一家公司比作一个人的话,一家公司要经历天使投资-A轮投资-B轮投资-C轮投资-IPO上市的过程,就好比一个人需要经历出生-婴儿-孩童-青春期-成年阶段,在我的眼里,信息安全就如人的衣服。一家刚成立的公司可以不需要信息安全,因为它什么资产也没有,就像刚出生的孩子一丝不挂,也不知道羞耻。但是一家公司成长起来,随着它的业务扩展,资产增多,就像婴儿开始成长,它需要衣服来为它保暖、遮羞、保护。

信息安全一定是动态的,不是企业建设好就高程无忧。随着公司体量逐渐增大,就像小孩开始长个子,过去的衣服不适合发育后的身体,就需要重新定制衣服,毕竟总没见过20多岁的小伙穿开裆裤在马路上撒欢吧?(笑)。而一家公司如果不注重信息安全,就像穿着没有皮带的裤子,很容易就被人脱裤(数据库)。公司的业务发展,一定需要安全部门的人跟进,waf、服务器防火墙只能阻挡具有特征值的攻击,而像逻辑漏洞、弱口令这些机器识别不了的,需要安全部门负责人进行测试。

信息安全是系统性的,需要动员所有人参与。信息安全不只是安全部门或者信安工程师的事,而是整个公司全体员工、外包人员、员工家属,包括与公司有密切联系的子公司、合作伙伴的事。我曾遇到企业高层领导的邮箱密码设置为123456弱口令,而导致企业大量信息泄露;也曾遇到通过旗下子公司漏洞,而导致母公司主业务存在信息泄露;电影里的桥段更不用说了,通过社会工程学手段,取得公司人员的信任,然后做进一步攻击……信息有输入和输出,任何输入、输出的环节都可能存在信息安全问题。

信息安全是个攻防对抗的过程。什么系统最安全?拔掉网线,甚至拔掉电源的系统最安全,但是这样的系统没有任何可利用性。而且就算没有电源和网线,也可能遭受物理破坏,所以没有绝对安全的系统。防御要做的是提高攻击的成本,使得攻击方放弃攻击。比如16位的高强度密码(数字+字母大小写+特殊符号),攻击方用现有的暴力破解手段需要上万年才能破解,那么攻击方会放弃爆破。当量子计算出现后,原本需要上百年才能破解的加密算法,可能就几小时几天就被破译了,到那时候加密算法就得被重新设计。

信息安全必须上升到国家安全的层面。习主席曾说过:“没有网络安全就没有国家安全。”事实的确如此,中国目前是世界第二大经济体,随着国家的强大,与美国为首的西方世界摩擦也越来越多,中美正在打“贸易战”,未来很难说会不会打“网络战”。之前在中国肆虐的“永恒之蓝”勒索病毒利用的微软MS17-010漏洞,就出自美国国家安全局(NSA)旗下组织“方程式小组”御用的0Day漏洞。一个泄露出来的0Day漏洞便威力至此,那么NSA手底下会有多少这种级别的漏洞呢?在我挖洞的过程中,发现大量的政府、学校、医院网站防护措施和意识做得很差,一个弱口令便把网站核心资产全暴露了,中美如果开打“网络战”,中国受损的程度一定远大于美国。

我为什么转行信息安全?一个是从小受影视剧影响。上小学时,CCTV-6播放《黑客帝国》,躲子弹那幕令我记忆犹新。上初中又后看过一部电视剧叫《防火墙5788》,里面的黑客可以入侵他人计算机、摄像头、智能终端设备,在当时还没拥有电脑的我看起来,酷毙了。当然,学习信息安全后打消了做黑客的念头,我非常愿意做名信息安全工程师,跟黑客们对抗,与信安圈大佬们并肩作战,一起守卫中国互联网信息安全。

另外一个原因是信息安全是朝阳行业。相比于我之前呆的钢铁行业,信息安全有无限的潜力。信息、物质(材料)、能源是世界三大组成要素,信息革命是三大要素中发展最快的革命,能源我们依然用化石燃料为主,而材料还在实验室中研发,只有信息革命,做到让大部分人享受到光速通讯——目前已知最快的通讯方式。而围绕信息传递的信息安全就是不可或缺的了,我很喜欢不断学习的过程,而信息安全这个技术革命很快的行业,正要求自我革新,抛弃过去陈旧的知识,学习新技术,这让我感受到生命的意义!

我想我会一直呆在信息安全行业,保持旺盛的精力,不断学习,努力不被时代淘汰,引用知乎网友 精灵 的话来说就是,“发现大师,追随大师,成为大师,超越大师!”

Last modification:December 22nd, 2020 at 11:18 pm