自2017年年底,满怀憧憬的心情,拖家带口从一线城市,毅然决然的回到了我的家乡,从此开始结束了长达6年的海飘生活,然而命运是如此的调戏我,回到家乡的每一份工作都不太理想,更换的频率一直都是一年为周期,每当夜深人静的时候都在问自己,命运为何如此的调戏我 🤣 。
兜兜转转,时间来到了2021年,每从事一次工作渐渐的都远离了老本行(网络工程师),从而转向另一个新的领域——安全。准确的来讲,我是一个半路出家跨专业的安全人,但是这并不能阻挡我想要成为一个技术专家的梦想,但实际上这个梦想一直都没事实现 😆 ,因为很多时候时间才是最宝贵的资源,每当想要去全身心投入学习的时候都会被各种的琐事所阻挡,这里也吐槽一下(时间创造收入)。
话说回来,既来之则安之,既然已经入坑那就在坑里继续带着吧,反正也就这样了。于是,本人开始博览各种安全书籍,以及研究安全技术,渐渐的在这个圈子里面也了解了一些,认识了一些安全的大佬,并结合自己的实际经历,在此也分享一下,企业安全建设之路过程中,其实从宏观上还是老话:三分靠技术、七分靠管理,下面从技术层面简单聊聊(说的不对之处请大佬多多包涵)。
一、 企业对安全的认知
从远古时期(这里指的是近十几年哈)到现在,安全行业从原来的不为重视,到现在的习大大提出的没有网络安全就没有国家安全的大方针,安全也越来越被各个企业所重视,由此引发的专业网络安全性人才也逐渐浮出水面,利用自己所学从技术诠释了网络安全的重要性(利用各种攻击手段,获取到各种信息)。
网络安全到底对企业带来多少利益?创造多少收入?解决了什么问题呢?可能这是初期阶段几乎每个企业的管理者会问的问题,因为在管理者的角度,每一次的付出或多或少的都得看到一些成效(这里可能大多数人觉得都是收益,简而言之就是钱),但是,安全可能从某种意义上来说,并不能给企业带来很大的实际收入,相反,而是可能需要投入更大的经济投入,但很多管理者并不能明白这一点存在的价值,等到企业的数据被黑客所获取之后或企业的网络被攻击的时候才会意识到,安全可能体现的比较重,而在这个时候往往也是亡羊补牢为时已晚。
二、 安全建设三件套
当一部分企业在意识到安全的重要性之后,那接下来面临的问题就是如何在企业现有的业务系统之上构建自己的安全体系(这里可能说的比较大,因为有些企业肯能建设的不是安全体系,而是往上堆安全各种安全设备)。
作为安全技术圈的小白,初期也是认为安全不就是防火墙嘛!结果,在跟一些技术大佬交流的时候才发现,自己真的是low的一B, 根本不在一个调调上。经过一段时间的学习、挖洞、谈论,渐渐的才发现,原来安全并不是所谓的一台防火墙就能解决所有问题,认识到自己的不足之后,就尝试不断的学习(前期仅仅是挖洞,学习各项安全技能)。
终于,功夫不负有心人,经过不断的努力感觉自己也成长了不少(请允许我不要脸一下)。企业的安全建设需要结合每个实际的业务架构、场景、客户的需求等等方面考虑,并非是一刀切,这里的复杂度太高了,我也只能说从小范围来分享一下。
企业安全建设过程中,个人觉得从大的三个方面作为切入点(可能说的不对,请大佬们勿喷!!):基础架构、应用场景、网络边界。
三、 基础架构
安全的建设离不开基础架构,因为它是地基,如何在地基中嵌入安全这又是一个看似很平淡实际很庞大的工程。在安全建设过程中需要考虑主机安全建设(包括虚拟机、虚拟化等等)、物理环境安全。而在这两个范围里面又衍生出更加细小的安全结构体,如:服务器安全、终端电脑安全、机房环境安全、虚拟机安全、容器基础安全等等,庞大而又细小的系统都要涉及安全的建设。
未完待续……
