返回
华安信达-六年如逆旅,我亦是行人:一个顾问的六年安全从业经历

华安信达-六年如逆旅,我亦是行人:一个顾问的六年安全从业经历

ID:9229722

大小:415.09 KB

页数:10页

时间:2018-04-24

华安信达-六年如逆旅,我亦是行人:一个顾问的六年安全从业经历_第1页
华安信达-六年如逆旅,我亦是行人:一个顾问的六年安全从业经历_第2页
华安信达-六年如逆旅,我亦是行人:一个顾问的六年安全从业经历_第3页
华安信达-六年如逆旅,我亦是行人:一个顾问的六年安全从业经历_第4页
华安信达-六年如逆旅,我亦是行人:一个顾问的六年安全从业经历_第5页
资源描述:

《华安信达-六年如逆旅,我亦是行人:一个顾问的六年安全从业经历》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、六年如逆旅,我亦是行人一个顾问的六年安全从业经历前言在屏幕上敲下这行改自苏轼原诗的句子,就觉得心中突然少了点什么,虽然不至于说是丢掉了清白,但起码应该是少了某种良好的习惯,就象呆惯了阴暗的房子,现在决定要走到太阳底下去。实际上我心里也明白,写这篇东西就等于是开始说话,从此就不再是沉默的大多数中的一员了。用电影行话来说,走出这道门,那从此就是江湖中人了,生死由命、富贵在天。为什么还是要写这篇东西呢?仔细想来,倒不是自觉道行够了,可以开口说话——恰恰相反,正是认为自己一个人在路上摸索久了,才希望能有伙伴能交流一下,这是其一。其二来源于前段

2、时间一件小事,有个朋友毕业要找工作,是信息安全专业的研究生,他就对安全这个行当(对于从业者而言,安全是个“行当”profession,我一直是这么觉得的;说是“行业”industry,明显不妥,电信、金融才是行业)不甚了然,希望能得到过来人的指导。我那时就觉得有必要把自己的心得拿出来分享一下。想当年,2001年的我新入行时,也是倍感迷茫。既然决定开口了,那到底说什么呢?安全行业的过去现在和未来?本人一直是干活的,没机会高屋建瓴来俯视、剖析,恐怕写不来;信息安全的前世今生?无数的专家学者及业内大牛已经阐述过,已经细致到了某个标准、某项技

3、术、某类产品、某个行业,一个顾问甚至都不敢谈上自己“懂”这些标准技术产品行业,更加写不来。那最后只剩下个人的从业经历了,这个好!既不涉及精深的领域,又俨然业内人士;藏着可以说是敝帚自珍,拿出来可以说是个人“愚见”、“所得”,真是居家旅游两相宜。正所谓,“演员圈里说相声,相声界里做演员”。三家公司,一个六年2001年,又站在职业选择的十字路口。那时候,我已经毕业两年多了,做过开发、销售、技术支持,一直在IT圈里打转。当真的决定要选择一个行当准备深入下去的时候,感到的除了迷惘,更多是惶恐:不知道自己能做什么、这个世界需要什么,甚至不清楚自

4、己喜欢什么。七场面试,甲乙丙丁,结果鬼使神差进了我的第一家安全公司。公司创建于1999年,是国内最早一批进入安全行业的公司,当时挺知名的。挂靠在科研机构下面,有院士的名头,长长的产品线也完全是自己的知识产权,包括FW、VPN、IDS、Scanner、IAM等。我做的是技术支持,当然售前、售后不分。最常见的工作是在powerpoint上画拓扑图,在适当的位置放进公司的主要产品……各种产品……所有产品,第二天去给客户比较产品技术参数、兼介绍我们的方案(之所以说“兼”,的确是因为防火墙的部署方式就那么几种,再挖空心思也没法创新,也就谈不上什

5、么方案了),最后插上网线将FW/IDS采用透明方式部署,项目就做完了。偶尔也帮客户用sniffer抓包、分析FW/IDS日志或进入操作系统检查服务或安全配置,出份看起来有一定技术含量的分析报告。我不知道别人的安全行业初始经历如何,反正那时候这些对我意味着安全的全部:网络、操作系统、黑客攻防。我们常挂在口头的是网络要过CCNP、操作系统要会Unix、产品要熟悉checkpoint、攻防要……后来才知道,正在当时,国内第一批安全界大牛们已经在摸索着实施企业级的BS7799咨询项目,而我直到四年后才有机会这么做(一直有个先入之见:只有完整做

6、过或维护过企业级的7799项目,才算对一个组织的安全管理有较深的认识),追忆前辈风采,真是遥遥不及。02年已经开始热安全服务了,那时我尽管读过7799,看过13335,但还远没学会用资产、价值、风险、弱点、威胁、影响和可能性这些好的字眼去出proposal和报告。正如上文所言,我最希望做的是让客户明白我们团队里有几个会AIX/Solaris、有几个黑客高手。至于在安全评估方案书中学会引入体系与方法论,那已是2002底03年初的事了。到那时,作为后知后觉者,我才知道有这么一种不用深入学习网络安全技术和操作系统,也可以让客户觉得你很专业的

7、方法,真是大喜若惊。也就在那时抬头一看,才发现业界(各种会议上、论坛里、客户处)安全标准、法规、体系的讨论已经非常热闹了,如果不能说出几个,完全算不上安全行当里的人。于是有一阵子,没日没夜到网上去搜资料,直到把所有听说过的名词全在硬盘中建立了folder、所有英文的中文的网站收藏进favorites才松了口气。这份名单很长,大家耳熟目详就包括7799/CC/Cobit/ITIL&ITSM/NIST-SP800/4360/Octave/13335/7498-2/IATF/BCP/DRP……在这整个狂热的氛围中,英文阅读是必须的,去坛子里

8、看别人讨论也是必须的,如果有某个大牛能从自己项目经验出发谈点体会,那绝对是论坛上追贴无数、被人顶礼膜拜……至于我的亲身实践,直到第二家安全公司才有机会,具体情况后文再说。作为标准热的后遗症,一直有件小事让我印象深刻。一次

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。