NO.21 波折的十二月-年終總結

今天是2017年的最後一個工作日,再不把這個月的專欄更新了,恐怕就要拖到2018年了。

12月真是充滿波折的一個月

因為之前公司跟DNV有在公司推ISO27001合作意向,雖然因為種種原因還沒有放上日程,為了保持良好的關係吧。DNV送了我們一個ISO27001LA的培訓名額,作為唯一的一名安全工程師,這個機會自然就歸我了。

培訓時間就在12月月初,時間一周,培訓地點在CBD。真的要感慨一句,畫風跟南二環就是不一樣,跟西二旗也完全不同。如果非讓我選一個的話,二環老幹部、西二旗程序員、和CBD小姐姐之間,我選擇小姐姐。

CBD夜景

課程上收穫非常多,大學畢業之後很久沒有這種迅速吸收知識的感覺了,感覺自己就像一塊乾癟的海綿一樣,畢業後一直以來基本全靠自學,有老師的感覺真幸福。驚喜的是授課的老師居然是窩工的學姐,在信息安全領域從事了十多年的工作,也是國內做ISO27001信息安全管理體系諮詢和認證的專家,真的非常優秀。

老師和我們分享的這麼多年總結出來的經驗和案例,讓我這個剛畢業一年多的菜鳥非常有收穫。到底什麼是信息安全,保密性、完整性、可用性怎麼就被成為了信息安全三要素。風險管理的意義和方法,怎麼才能寫出落地的、符合標準的文件,以及如何作為一名審核員進行審計。很多之前只是聽說過的名詞和理論知識,在這堂課內都得到的解答,真的重塑了我的信息安全觀,同時讓我對安全管理和安全審計產生了濃厚的興趣,希望這能我未來的發展方向。

小插曲:安全從業者的圈子是真的小,跟我一起上課的有我上家公司的導師離職後去的公司的人員,我就跟他聊

「你認識XXX嗎?」

「認識啊,之前就我們那的,去你們那裡了?」

「沒有,他從我這兒離職去的你們那裡,又離職了?」

「可不,幾個月前又走了」

「。。。我感覺你們挺重視安全的啊,我看你們又招人呢」

「對啊,這不就是因為他走了,所以得再招一個嘛」

捂臉.jpg

這個title真的是很心水


上完課回來就考試忙公司幾個系統等級保護測評複測的事情。

「你覺得做等保中遇到最大的困難是什麼」

「扯皮最困難」

扯皮就是協調,畢竟我不能自己去改代碼調伺服器給機房添滅火器,工作還是要交給開發商的開發和運維來做,真的是通知發了八遍但是你不把刀架在他脖子上他都不給你改的。

『影響業務,不能改』這個時候業務到成擋箭牌了。

帶著測評的人員跑這兒跑哪兒,測評的工程師也真是辛苦了,整改建議發了兩個星期,結果再來看發現還是一樣的。然後幾個小兄弟陪著開發商一起改,最後才過了驗收,也是真的辛苦。好在此時此刻已經拿到了四本通過測評的報告,下午準備去交給有關部門了。

之前我們預計的時間是12月中旬拿到,給公安送過去。結果時間還是來不及了,只能給警官打電話問一下:

「我們是不是只要2017年送過去就可以?」

「是」

「12.31號送也行?」

「是」

「那要是沒趕上,1月份送呢?」

「那就算2018年的測評結果」

那我為什麼不幹脆一月份再去送,明年就不用做了。。。


12.22日爆發的WebLogic WLS 組件漏洞(CVE-2017-10271)我們也算是狠狠中招了。這一周的時間收到了SRC發過來的大概有十台伺服器的weblogic漏洞吧。

我也是儘力了,22號上午收到情報後就給開發商發送了相關預警,下午就大面積中招了,黑白帽子們真是跑的比香港記者還快。

以及這次之後事件之後我覺得我需要一份軟體資產清單,容易出問題的一些服務比如Weblogic、Structs2等都部署在哪台伺服器屬於哪家開發商,之後在安全事件可以即時響應。現在的資產清單不是沒有,但是都太過於冗長和複雜了,可能之後得我自己做出一份吧安全響應專用的吧。

這個工作其實可以自動化完成的,之前看過一些互聯網企業的安全部門會自建監控系統掌握公司伺服器的應用狀況和版本。這個在我這裡做起來太難了,傳統行業開發運維全部外包,開發商有將近十家,伺服器無數,太難了。。。

總之最後這一周就是在圍著Weblogic漏洞扯皮,終於要結束了,過個開心的元旦吧,希望世界和平。不對,世界和平可能安全人員就要失業了,希望世界動態和平與穩定。


12月過去了,一年也就結束了。

算上本篇文章,這個專欄一共更新了12篇文章,一個月一篇。希望2018年自己也能保持這個頻率,內容在保持是真實體會的同時能多寫點有技術含量的東西與大家分享。

從2016年7月畢業到現在,過去了1年零5個月,這麼想想自己還真特么年輕。雖然有時候會覺得焦慮,覺得自己這裡做的不好,那裡做的不好。尤其是在本科的同學,繼續讀研究生的明年也都要畢業了。找工作基本也都有了著落進了各大廠,有的還拿了SP Offer,薪水比在國企的我要高多了。

人有舒適區、有拉伸區、有恐慌區。當不停的跟比自己優秀的人去比較的時候就容易陷入恐慌區,實際幫助不了你什麼,但會讓你整個人都很焦慮。12月實際上焦慮了一個月,甚至還參加了一次面試。面試被拒也是清理之中的事情,在恐慌狀態下的橫衝直撞怎麼能有好結果呢。不過這次被拒真的也對我是件好事。像一盆涼水一樣讓我冷靜了下來,現在需要的是學習、沉澱和進步,自己還有很多時間,不用這麼著急。一味的去比較然後陷入恐慌是沒有意義的。

上周報名了一月底的托業考試,英語其實一直以來是我的弱項,大學英語六級也沒有通過。最近快年底了等保也收尾了會比較輕清閑。白天在公司做做聽力,晚上回家做閱讀,希望能考個理想的分數,先完成這個小目標吧。


那 就先這樣了

提前祝我專欄的753名關注者,以及知乎賬號的885名關注者2018年新年快樂!

Engineering For The Win

2017.12.29

推薦閱讀:

網路安全入坑指南(授課版)
新型MacOS勒索軟體:正在偽裝成PS軟體傳播
GoSSIP 論文推薦(2017-06-19)
互聯網甲方公司和乙方公司安全工程師的薪資範圍大概是什麼樣的?
追蹤IP地址你需要這幾款工具加持

TAG:信息安全 | 年终总结 |