1. 国家安全与网络安全
安全的概念:
安全是一种状态。最简单的定义是没有危险,较详细的定义是受到保护。——维基百科
安全的三方:白帽子、黑帽子、普通网民
安全的意义:
没有网络安全就没有国家安全——习
网络安全为人民,网络安全靠人民——2019国家网络安全宣传周主题
行业特点:
- 朝阳产业。国内外安全产业规模都在增长(《中国网络安全白皮书(2019)》)
- 安全人才缺口严重
- 高薪专业
- 一半以上的白帽子来自科班
- 国家政策利好
- 从业者集中在企业中
2. 企业安全与安全工程师
安全工程师负责企业的虚拟安全
随着互联网的发展,企业的虚拟安全越来越需要得到保护
- 甲方企业:一般是出资方或投资方。非主营安全业务的公司,只对自己主营的安全业务负责。一般将自己的需求外包出去
- 乙方企业:一般是劳务方。主营业务就是安全,会承接甲方的各种业务需求
- 目前很多概念都在模糊化。很多有研发能力的甲方大厂,安全系统都是自营,甚至对外输出,抢乙方饭碗
- 每种安全都是攻防一体,谈“谁主攻谁主防”不现实
安全不分甲乙,不分攻防,只求全栈
甲方安全主业务:三分业务七分管理(课程将以甲方安全的视角讨论问题)
乙方安全主技术:专注某一领域的技术
企业安全的建设离不开团队的输出
企业需要安全团队的原因:
外在:竞争力、三方合作需求
内在:企业内鬼
法律:《网络安全法》、安全合规需求
技术:安全事件爆发
最终保证企业利益不受损
对应的安全团队个人能力要求:
攻防对抗
安全感知
研发能力
体系建设能力
企业安全建设步骤:
救火阶段 >> 基础安全阶段 >> 覆盖核心业务系统 >> 覆盖全部业务线 >> 全面自动化、平台化 >> 对外输出
3. 安全工程师能干什么
- 漏洞挖掘能力(白帽子的基本属性)
- 攻防对抗能力(安全工程师是白帽子的进化版,能力也在漏洞的基础上进阶)
- 产品研发能力(所有IT岗位的终极形态都要与代码打交道,开发能力必不可少)
- 应急处理能力、态势感知能力、沟通表达能力、团队协作能力、生态建设能力
技术方向(相当于是知识结构模型):
安全工程师涉及各方面的工作,有的有关技术,有的无关技术。目的都是为了企业安全
全栈安全工程师是个伪命题。现实中只能成为某一领域的专家
个人成长路线:
安全工程师涉及到的工作内容
4.微专业课程设计
大学课程内容与计算机专业雷同,与业务需求脱节,不重视实操
大纲内容:
“网络——应用——业务——研发”
网络与系统安全、web安全、移动安全、业务安全;安全运维、安全合规、安全竞赛;
贴近安全公司工作日常;
安全运维与安全合规有因果关系。运维安全系统是安全工程师的日常,系统的运维是合规测评通过的保障;
安全竞赛的题目起到总价归纳作用。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。