前知名銀行安全專家為你細細分享信息安全管理經驗
安全觀安全
1. 安全的本質
在企業做信息安全會遇到很多困惑,企業信息安全到底應該怎麼做?管理、技術、流程還是人更重要?安全團隊和安全人才該怎麼建設培養和激勵?帶著這些問題參加了很多安全峰會,雖然有很多不錯的會議和演講者分享了很多體會,但相比之下,更多的會議和演講者的做法還是不太專業。常見的套路:開篇講一堆的安全事件,什麼熱講什麼;中篇講所謂解決方案或思路,大部分代表其背後的利益團體,要麼產品,要麼先思路後產品;然後草草結尾。PPT做的很互聯網,羅列的數據很多,可是沒有講清楚,中篇的方案或思路能解決上篇的熱點問題嗎?在企業信息安全人員覺悟普遍覺醒的今天,這樣的會議會越來越沒有市場。
在混跡於各種安全圈和各種安全人互動後,我越來越渴望長期以來一直困擾我的問題答案:安全的本質,或者說,安全問題的本質。
互聯網本來是安全的,自從有了研究安全的人,就變得不安全了。SQL注入攻擊自從1999年首次出現後就成為互聯網安全的頭號大敵,注入攻擊的本質是把用戶輸入的數據當做代碼執行,而開發人員設計用戶輸入的功能時,本身只是提供一個用戶交互功能,根據用戶的輸入返回動態頁面結果以便更好的用戶體驗,只是被惡意的人濫用了。再比如,釣魚網站已成為很多金融機構的首要安全威脅,在2011年以前,很多金融機構的安全人員甚至都沒有考慮過這個問題。時至今日,都會覺得很無辜,企業的網站沒有安全漏洞,是釣魚網站的狡猾和用戶的「傻」才會讓犯罪分子有機可乘。
上面兩個例子中,開發人員信任用戶輸入,用戶信任釣魚網站,導致安全問題。個人認為,安全問題的本質是「信任」的問題。計算機用0和1定義整個世界,而企業的信息安全問題是解決0和1之間的廣大灰度數據,運用各種措施,將灰度數據識別為0(不值得信任),或1(值得信任)。信任是安全問題的本源。比如企業設計安全方案時,要做基本的假設前提:安全人員、開發人員、運維人員默認是被信任的;比企業安全要求更高的國家設計安全方案時,安全人員、開發、運維人員可能就不是默認被信任的。不同的信任假設決定了安全方案的複雜程度和實施成本,安全需要平衡。
2. 安全原則
(1)安全是持續改進的過程
如何讓一台伺服器不被不明武裝分子攻陷,有沒有一個類似「照妖鏡」的工具,一旦安裝上就可以高枕無憂,讓惡意的攻擊者無所遁形,有沒有一個萬能的「上帝之手」,幫我們幹掉所有安全問題?很遺憾,沒有。在解決安全問題的過程中,不可能一勞永逸。很多安全廠商在推銷自己的安全產品時,會吹的天花亂墜,似乎無所不能,從早期的防火牆、防病毒,入侵檢測,到現在的態勢感知、威脅情報,智能分析,安全防禦技術本身並沒有革命性變化,一套入侵檢測技術包裝個名詞,能從IDS到IPS、SIEM,再到現在的威脅情報,本質上還是開發檢測規則,異常模式識別。實際上,安全產品、安全技術需要不斷的隨著攻擊手段的發展而升級,也需要有人來運營,否則安全防護會成為稻草人,馬奇諾防線,在變化的攻擊手段前不堪一擊。比如絕大多數公司的分支機構,安全人員都是兼職的,日常運維能保障安全設備可用性就很不錯了,還能奢望這些每天忙於救火的安全人員能看懂數量不菲的各種安全告警嗎?還有比入侵檢測告警日誌更難看的日誌?
早期基於系統漏洞利用的攻擊是主流,安全防護對應以防火牆和入侵檢測為主,對互聯網只開放少量埠,互聯網資產管理主要是IP和埠的管理。隨著攻擊主流轉變為Web攻擊,安全防護對應升級為Web安全防護,出現了Web應用防火牆(WAF),互聯網資產管理也相應轉變為對第三方應用和開發使用框架為主,不再是舊有的資產管理概念。問渠那得清如許,為有源頭活水來,有效的安全是持續改進,針對變化的安全形勢和矛盾進行調整。
(2)縱深防禦
我們坐飛機,從購買機票到最終到達目的地,如何保障全體旅客安全的過程就是縱深防禦的例子。從購買機票實名制、機場防爆安檢、行李安全檢查、人、票、證一致,到機場登機檢查、飛機安全員、起飛降落不能使用手機等種種安全措施的實施,事無巨細,是縱深防禦的具體應用。在各種入侵案例中,基本都是利用Web應用漏洞,攻擊者獲得低許可權WebShell,然後通過低許可權的WebShell上傳更多文件,並嘗試執行更高許可權的系統命令,嘗試在伺服器上提升許可權為Root,並進一步橫向滲透,獲得更多內網許可權。在這個典型的攻擊路徑中,在任何一個環節設置有效的安全檢測和防禦措施,都可能導致攻擊被檢測和阻止。目前在安全防護技術沒有革命性發展下,縱深防禦,從網路層、系統層、應用層、數據層、用戶層、業務層進行層層防禦,共同組成整個防禦體系。
(3)非對稱
對於攻擊者來說,只要能夠找到企業系統的一個弱點,就可以達到入侵系統的目的,而對於企業信息安全人員來說,必須找到系統的所有弱點,不能有遺漏,不能有滯後,才能保證系統不會出現問題。這種非對稱是造成黑客和安全防護人員思維方式不同的根本原因,這種非對稱,也是企業信息安全工作難做的根本原因。破壞永遠比建設容易,怎麼扭轉劣勢呢?安全防護人員也需要非對稱思維。解放軍和美帝博弈對抗中發明了反介入戰略,發展各類型導彈,特別是反艦彈道導彈,阻止美軍航空母艦進入第一島鏈,如果解放軍耗盡國力,拚命造航空母艦和美帝對抗,搞軍備競賽,可能就落得蘇聯解體的下場了。
那發展哪些非對稱的安全防護武器呢?各種「蜜」的產品應用而生了,蜜網站、蜜域名、蜜資料庫、蜜表、蜜欄位、蜜數據、蜜文件,在面對攻擊時進行安全反制,惡意攻擊者很難全身而退。據我所知,很多企業已經進行了商業化大規模部署並在實際對抗中取得不錯的效果,這應該是未來安全防護髮展的一個有益方向。
3. 安全世界觀
安全人員最重要的是安全問題解決的思路,以及看待安全問題的角度和高度,而不是掌握多少漏洞,拿下多少許可權,也就是安全世界觀。我的安全世界觀概述:信息安全就是博弈和對抗,是一場人與人之間的戰爭。交戰雙方所爭奪的都是信息資產的控制權,也就是在博弈和對抗中,牢牢的把控住各類信息資產的控制權。
正確處理幾個關係
1. 科學與藝術
科學講究嚴謹,藝術講究美。安全既是一門科學,也是一門藝術。如何對安全進行科學或藝術的管理,也需要方法論和思路。好比畫畫,再厲害的老師也不可能在課堂上教你畫出一幅傳世作品,但並不否定畫院老師的貢獻。畫院老師會教一些基本功,一些方法,介紹一些流派,開闊眼界。在此基礎上,入門了,掌握了基本技巧,再輔以自己的天賦和勤奮,才能創造出好的作品。企業安全工作中,安全的科學性體現在安全工作無論安全體系還是具體安全技術都是嚴謹的,在企業內部系統和網站運維中,有的開發和運維同事覺得在內網就安全了,已經拒敵於國門外了,從而放鬆了安全要求,實際中攻擊者通過一些邊緣攻擊進入內網,從而進一步滲透入內部伺服器的案例比比皆是。安全的藝術性體現在安全工作的權變性,不是所有情況都適用同樣的安全要求,需要不斷的depend on,不斷的權衡利弊,選擇當前情況下的最優。比如要求內部伺服器和面向互聯網伺服器一樣的安全基線就是不現實的,也是不經濟,難以實施落地的,實際情況中,更多的是兩套基線標準,互聯網伺服器的安全要求更嚴格一些。
2. 管理與技術
企業信息安全中安全管理與安全技術孰輕孰重?我認為是個偽命題。從事安全管理的人會覺得三分技術,七分管理,當然是安全管理重要,拚命搞ISO27001安全體系,發布各種安全制度政策,上各種安全流程式控制制,做各種安全審計和檢查,搞得民怨沸騰,往往效果也不好。從事漏洞挖掘和攻防的人會覺得搞安全管理的人太虛,這也不會,那也不會,每天就是搞體系制度流程,能擋住我一個0day嗎?能擋住我Getshell嗎?會挖洞和寫PoC嗎?還是堅持縱深防禦的原則。安全制度政策和流程沒有技術和自動化手段保障,無法有效落地,管理10台伺服器和10000台伺服器的安全性,安全政策和流程肯定不能是一樣的。只有安全技術,只能做破壞,而破壞遠比建設容易,對企業安全建設也是沒用的。如果側重於安全管理的也能了解你的對手,像攻擊者一樣去思考。白帽子懂安全技術,學習一些安全管理知識,從安全建設的角度去思考破壞的防護之道,我相信安全人員的境界就提高了好幾層。
企業安全,但凡和安全沾點邊的,都可以歸結於安全團隊的職責和任務,怎麼平衡?我覺得還是權變。安全的核心職責和任務是不變的,和這個相關的都是優先順序排第一的,不做是要死人的,比如數據安全、核心業務系統安全、放在互聯網的網站和伺服器安全。採用短期快速止血和長期安全機制建設相結合的方法迭代改進。如果精力、投入和能力不夠,那就把八成的資源投入到最關鍵的地方去,比如數據安全和互聯網系統的安全保障上去。
3. 業務與安全
這個關係話題非常有意思。剛工作時我認為安全是為業務服務的,但安全是阻礙業務發展的。隨著認識加深,我的認知發生一些變化,安全是為業務服務的,安全是業務的屬性之一。不安全或沒有安全考慮的業務就像不合格的次品一樣,終究是要被市場淘汰的。本質上,安全是一項服務,安全服務是安全團隊提供給用戶和客戶的一種服務類別,如果安全方案和安全要求設計時沒有最大化這種服務的價值,那麼在充分競爭的情況下,安全團隊是要被市場淘汰的。我經常問自己和自己的團隊,如果公司不是只有我們一個安全團隊,我們安全團隊在公司這個範圍內不是壟斷的,而是有其他安全團隊也提供服務,共同競爭的情況下,我們提供的安全服務還能被用戶認可買單嗎?我們傳統中認為的安全總是這也不能做,那也要控制,安全就是拖業務的後腿,安全總是降低業務發展效率。我是反對的,但在企業中安全通常做成的就是這個樣子。造成這種現狀,企業安全主管首先要反思。這是因為安全團隊設計安全方案和要求時,不是以業務和服務出發點,而是以安全團隊省時省事,盡量少承擔責任為出發點。後者設計出的安全方案當然是阻礙業務發展、降低效率。如果一套安全方案和要求,能夠在少降低甚至不降低業務發展的情況下,又能保障安全,業務團隊,開發運維當然是歡迎的,誰願意冒著巨大的風險強行上線新的業務呢。如果安全團隊能和業務、開發運維一道剖析,站對方立場設計方案和執行要求,用戶從心裡是認可安全團隊和安全服務的。實際中,我遇到很多這種情況,堅持安全服務的做法,會讓安全團隊之路更順暢。
4. 甲方與乙方
乙方是指給企業提供安全產品和服務的一方,包括安全產品原廠、代理商、集成商和外包公司。甲方和乙方的關係我理解為燈芯和燈油的關係,誰離開誰都會失敗。有好的燈芯和燈油,也會有差的燈芯和燈油,關鍵在於各守本分,各盡其責。見的較多的乙方老闆是貴公司是我們的大客戶,我們一定會服務好。乙方銷售在旁邊配合,我們的產品和服務是最好的,用我們絕對不會有問題。我再稍微問下,貴公司怎麼服務好我們?你們的產品和服務好在哪?你們了解我們的實際問題和需求嗎?基本上90%的就接不上話了,更有甚者,有的老闆和銷售的回答啼笑皆非,我們的產品和服務就是最好的,不用你們會後悔的。我還要保持心情平靜的答覆,你們的產品和服務我都了解了,挺不錯的,希望有機會合作。聽到較多的乙方抱怨甲方,主管啥也不懂,就知道不能出事,出事背鍋。安全人員啥也不會,只知道指揮我們幹活,把我們工程師不當人用。乙方眼裡90%的甲方都是這個印象。
我無意為任何一方辯護,包括我做為甲方自己,因為甲乙雙方都是站在自己立場處理問題,無可厚非。甲方和乙方都需要檢討。我理解的甲方應該是對自己承擔的職責負責,不管用什麼方法方案搞定安全問題,要能識別什麼是能搞定的方案和方案中靠譜一員的乙方,和乙方的關係挺簡單,如果乙方能為甲方創造安全價值,那匹配等量的安全回報給乙方,如繼續長期合作,否則對不起,多聽你一秒都是浪費生命。我理解的乙方應該是對自己的承諾負責,要了解你的客戶,不是簽單成功就萬事大吉,合同落地才是剛開始,甲方的辨識能力和社會的口碑傳播效應越來越強的今天,做一鎚子買賣只能讓自己的路越走越窄。誰都不傻,不是嗎?
若干問題
1. 什麼樣的安全是安全的?
企業負責人和IT部老總,以及安全人員都會問:什麼樣的安全是安全的?這個拗口的問題轉化下就是:什麼樣的安全是有效的。我見過一些企業做安全,部署了各種安全設備,設計了各種安全管理措施和流程,領導也很支持,雷厲風行,安全預算和安全人員也都給足,結果還是出問題,安全有效性出了問題。設備部署了,規則做好了嗎?告警正常嗎?設備依賴的條件,比如鏡像的流量一直正常嗎?了解你保護的業務嗎?更重要一點,能看懂告警日誌的人有嗎?很多安全技術人員,其實就是安全設備運維人員,每天要監控設備正常,處理各種安全流程,寫各種安全報告,填報各種管理系統要求的信息,參加各種培訓教育,還有時間研究究竟怎麼管理好自己的這些設備和落實安全管控措施?以入侵檢測系統管理為例,安全人員要根據後面保護的系統和網站做規則調優,要對所有安全有效性依賴的條件進行監控,對告警進行安全流程化處理,最重要一點,要做穿透性檢測,比如在互聯網上嘗試攻擊系統和業務,看入侵檢測系統報不報警,不做安全穿透性檢測,安全監測有效性就是個概率,靠運氣活著。要將安全性當做可用性來運營,安全才是有效的。在這個前提下,我建議將安全劃分成幾個框架:安全防護框架、安全安全驗證框架、安全反制框架、安全運營框架,安全支撐的人、制度流程都包含在安全運營框架中。四個框架的功能分工看名字就清楚了,四個構成安全體系,這樣的安全才是安全的。
2. 安全團隊和安全人
企業信息安全建設需要什麼樣的團隊和個人?我們從西遊記中尋找答案。
唐僧這個西天取經五人組,先看團隊成員組成:
唐僧,其領導能力有限,業務能力(降妖擒魔)更是等於一個零,但他是師傅,有個「領導位置」,可以拿「權力」制裁不聽話的徒弟,使得三個「下屬」不得不聽,不敢不聽。但他一心向佛,目標明確,任爾千般說萬般阻,向西天取經的決心始終不動搖。
孫悟空,「業務能力」最強,疾惡如仇,敢說敢做,但性情脾氣不好,西天取經不是他的目的,而是他的承諾,為了工作快速開展,儘快完成目標任務,委曲求全,甚至不惜與「領導」和「同事」決裂,貢獻最大,在這個工作團隊里卻差一點無立錐之地,只因工作(擒妖降魔)離不開他,才被留在這個團隊。
八戒,能勝任一般工作;好吃懶做,還有點色。溜須拍馬、見風使舵、善於權謀、忍辱偷生、會溝通懂協調。但整個取天過程中他事情做的最多的,什麼找住的啊、找吃的啊、探路啊、打水啊都是他的事情。這現也體現了他業務能力的全面與多樣性,他雖然不如孫悟空在關鍵領域的能力那麼突出,但他比孫悟空好用,這就是他的優勢。他還有個最大的優點就是知道領導的心思。他是最能讀懂唐僧想法的人,每次附和都是順著唐僧的話音往下走。這極大的滿足了唐總作為領導的優越感,所以他最受唐僧喜愛。不過唐僧畢竟是管理大師,他不是只喜歡聽好話的人。他知道誰能幫助他實現目標,所以每次孫悟空鬧情緒回花果山的時候都是讓豬八戒去把他找回來。當然豬八戒動不動遇到師傅被妖怪抓走鬧散夥的時候,又是孫悟空來穩定軍心。所以這2個業務骨幹起到非常好的相互牽制的作用。
沙僧,業務能力與八戒不相上下,忠厚老實,有自知之明,在團隊里能夠知道自己的位置,老老實實做事,不上竄下跳,不做小動作。白龍馬,背景很硬,低調,不說話,一個踏實堅定的執行者。任勞任怨、不計得失,與唐僧有著同樣的信念,除非死在路上。
這師徒五人,都有明顯的缺點,但是,他們組成一個團隊後,卻爆發出強大的戰鬥力,西天路上九九八十一難,妖魔鬼怪都被他們一一戰勝,最終完成「西天取經」大業。我們從中可以悟出這樣的道理:一個團隊的成功,不能靠單打獨鬥,團隊中每個人都有其長處,必須發揮團隊每個人的作用,才能實現團隊的目標。
唐僧的團隊,實際上是互補型團隊。每個人都有自己的特點,關鍵是領導是否有識人用人的能力。德者—唐僧領導團隊,能者—孫悟空攻克難關,智者—孫悟空出謀劃策,勞者—沙僧、白龍馬執行有力。豬八戒較特殊,但也具備自己的優勢:善於權謀、忍辱偷生、會溝通懂協調。首先是性格互補,大智若愚、信念堅定的唐僧,敢作敢為、剛直不阿的悟空,油頭滑腦、自私自利的八戒,實實在在、立場堅定的沙僧。其次優勢互補,方向明確,掌控悟空的掌門唐僧,本領高強,降妖除魔的先鋒悟空,懂溝通會協調的八戒,踏實肯干、任勞任怨的員工沙僧。,最後技術互補,有人緣,會念咒的唐三藏,會打架,千里眼順風耳的悟空,會算計、耍聰明的八戒,肯吃苦、有力量的沙和尚。這確實是個優勢互補,能力極強的團隊。
安全團隊的構建亦需如此。安全團隊建設目標是所有安全人員均具備攻防兼備的能力。目前存在的問題是攻擊的人員不具備防護思路,防護的人員不具備攻擊的能力和思維,都無法做到知己知彼。安全人員三個發展方向,安全防護、安全運營、安全開發,安全人員均需具備攻防兩端技能以及掌握一門開發語言,CCIE、CISSP、CISA、CEH、Python高級將成為安全人員上崗證。
非互聯網企業頭疼問題之一是安全人才的招聘和培養問題。非互聯網企業CSO頭疼的是即使招了一個綜合能力很好的人才,可由於非互聯網企業的性質決定,安全團隊人數很少,投入有限,如何留住人才?我的實踐和建議通常是適合自己就是最好的,理由參見唐僧師徒五人西天取經團隊的組成。一個良性發展的團隊,不可能個個都是孫悟空,也不可能個個是豬八戒,而是不同特長和特質的成員互補,用人所長,實現團隊和個人的共發展。我從不要求團隊成員在團隊內一直待下去,這不現實也不科學,我只是希望團隊成員從加入團隊那刻起,恪盡職守,為團隊做貢獻,自身又能成長增值,這是我一直追求的團隊和個人共贏目標。作為團隊長,長期以來的實踐告訴我,無論是講情懷還是給予貢獻相匹配的收益都是重要的,留住人才沒有捷徑,走近員工,了解員工,幫助員工,十二字口訣而已。
3. 企業信息安全發展趨勢
(1)安全度量
安全度量一詞太書面,翻譯一下就是如何衡量企業安全的效果。做安全的人,遇到的最大的挑戰,就是講不清楚安全的價值。安全這個東西很微妙,不像業務可以用銷售額和用戶數來衡量,也不像運維可以用可用性指標(比如故障數)來衡量,也不像研發可以用bug數、項目完成率、擴展性、專利等來衡量。安全往往是事件性的,很可能你什麼都不做,但一年都不出問題;也可能你花了很大力氣,花了很多錢,卻還是問題頻出。所以我們很難用單一的事件性指標來衡量數據安全做的好還是不好,到最後就變成了拼運氣。
企業做安全,最終還是要對結果負責,對於安全效果,有兩個指標是最關鍵的核心指標,一個是漏洞數,一個是安全事件數。這兩個關鍵安全指標,卻沒有一個安全廠商願意承諾,他們通常都只願意承諾賣出設備的功能效果,或者是服務的響應時間。由於漏洞數涉及到企業發現能力的問題,每年第三方漏洞報告平台如烏雲上,漏洞數量排前十的大多是互聯網公司,但不能因此而認為互聯網公司安全能力靠後,相反,由於互聯網公司面臨安全威脅和自身發現能力(各種SRC雖然是白帽提交的安全漏洞,但可以理解為是自身發現能力提高導致)較強,所以發現的漏洞數量靠前。很多沒有爆出安全漏洞的企業不是因為做的有多好,而是自身發現能力不夠。在這種情況下,有必要把漏洞數分成兩類,一類是通過眾測與SRC,獲得的外部上報漏洞數量,一類是自身安全防護和檢測發現的安全漏洞數。某些金融機構已引入專業的藍軍團隊進行攻防,檢測紅軍安全防護和安全檢測能力,將是未來安全度量的發展趨勢。
(2)歷史問題免疫
運維管理目前事實上的標準是ISO20000服務管理體系,這套體系也叫ITIL運維流程管理,ITIL眾多流程中有個核心流程:問題管理。問題管理有個有意思的做法,通過問題管理的思維模式,對企業所有曾經出現過的歷史故障進行舉一反三的持續改進,從而實現對歷史故障免疫。既然安全性要當做可用性來運維,那麼安全管理也應該能做到對歷史問題免疫,而這也應該會成為安全未來趨勢之一。我理解為有兩個含義,一是對企業曾經出過的安全漏洞和安全事件做舉一反三的徹底整改,從人、技術、流程、資源四個維度分析問題產生根源,查找差距,並建立機制進行防護,從而根本上解決已出現的安全問題,實現歷史安全問題免疫。二是對已部署的安全措施的有效性做100%確認,比如已經部署了防病毒客戶端,那麼就一定要關注防病毒客戶端安裝率、正常率兩個指標,這兩個指標能做到99.99%的應該算執行力和安全有效性不錯的企業了。類似的指標也同樣應該在已部署的安全措施中得到確認。第二點其實不能算安全趨勢,應該是常識,在各種安全概念層出不窮的今天,希望越來越多的甲乙方能回歸常識。
(3)安全成為屬性
越來越多的企業重視信息安全,這種重視可能是主動的,但仍然被動居多,不管怎樣,今天的安全人員面對的安全環境越來越惡化,但得到的資源和支持卻比任何時候都多,這一點體現在:安全將成為各類系統甚至人才的關鍵屬性之一。舉個例子,十年前,很少看到有系統需求階段就會有安全需求,測試階段有安全測試,開發人員需要接受專業的安全編碼開發規範培訓。十年後,這些都很常見自然了,甚至是標配(Default默認)。對安全知識和技能的掌握也從單純安全人員必備變成了開發人員的必備技能,實際上,安全意識和安全開發能力較強的開發人員薪酬水平和發展空間已高於技能單一的程序員。程序員在用代碼改變世界的同時,也有義務更好的保護世界。安全將成為越來越多的需求品,將是安全發展趨勢之一。
(4)安全人才缺口增大
安全人才缺口越來越大,各位CSO們都深有體會吧。甚至越來越多的企業甲方要求乙方建立自己的專業安全隊伍。從市場經濟的角度,需求增大,必將導致更多的優秀人才投身安全行業,這對原有安全人也必將是個挑戰,安全行業是典型的活到老,學到老。逆水行舟,不進則退,各位安全人也感同身受吧。在信息獲取越來越便利的今天,安全知識和技能通過短期大劑量培訓能夠得到快速提升,很多專業的培訓機構已經能流水線的培養出戰術素養不錯的白帽子,但安全意識和思維模式,權變和平衡的能力,則需要在解決各種實際問題中不斷碰撞,歸納總結提升。
人生最美好的莫過於各種經歷和難忘的體驗,過程比較痛苦的,結果都還比較好。如果大家和我一樣,在企業做安全中遇到各種頗為「痛苦」的體歷,過後你一定會感謝和懷念這份體歷的。
本文部分引用了吳翰清先生《白帽子講Web安全》的內容和觀點,表示感謝。
附註:
聶君,信息安全從業人員,十餘年金融行業信息安全從業經歷,默默無聞。好讀書,不求甚解。性格開朗,愛好足球。
本文章是個人對工作生活的一些體驗和經歷分享,站在不同角度和立場解讀會有偏差,見仁見智,不求正確統一,但求真、善、美。
推薦閱讀: