专栏首页E=mc²开篇词 别说你没被安全困扰过

开篇词 别说你没被安全困扰过

▌为什么要重视安全?

首先,不知道你是否还记得 2017 年 9 月美国知名征信公司 Equifax 的数据泄露事件,这事导致了 1.45 亿美国居民个人隐私信息被泄露。受事件影响,Equifax 公司市值瞬间就蒸发了 30 亿美元,最后还赔偿给用户 4.25 亿美元,可谓损失惨重。后来,Equifax 公司复盘了安全事故的原因,发现这个事故的罪魁祸首,居然是一个早已被披露出来的安全漏洞,叫作 Apache Struts,真是让人哭笑不得。

你说这事难吗?现在看起来,一点都不难。但问题出现在什么地方呢?我觉得核心点是 Equifax 公司的工程师可能没有安全意识,也没有把安全当成一个优先级很高的事情去做。

同样的事情其实还有很多,我觉得 Equifax 公司的低级安全事件,应该给我们每一个程序员敲响警钟,我们在追求开发效率的同时,一定要把“安全”这俩字“放在心上”。

其次,从公司的角度来说,安全同样是不可或缺的一环。

任何一家公司都会存在安全的刚需问题,肯定需要有人来解决它。但是,公司招人组建安全团队,需要投入较大的成本。而这部分安全的成本,很多时候并不产生直接的收益。因此,对很多公司来说,业务都没成熟,就去考虑安全,是不合算的。这也就产生了一种现状:小公司没有安全,大公司都在“补”安全。

从安全发展角度上来讲,这种前期不重视安全,后期再补安全的做法,是很不利的。一方面,在发展前期留下了极大的安全隐患,公司可能在一次攻击后就彻底垮台了。另一方面,后期补安全,会因为安全去改动已经发展成熟的业务,导致安全和业务产生冲突,从而阻碍安全发展。

于是,矛盾点就产生了:很多规模不大的公司不愿意投入成本去做安全,但从长远考虑又需要安全。那该怎么办呢?我认为,如果业务的开发和管理人员,能够具备基础的安全知识,尽早做好安全规划,就能够以很低的成本满足公司前期的安全诉求。

因此,如果你想要在企业的全面发展中占据一席之地,或者是在管理方向上走得更“远”,那么我建议你,尽早地掌握安全知识,掌握企业安全防护的专业技巧。

▌我们究竟该怎么学习安全呢?

你可能会存在这样的顾虑:安全可能需要花上几年时间学习和实践才能小有所成,时间成本是否有点高呢?确实,想要真正做好安全,时间的磨砺是不可或缺的。但是,这并不意味着你需要几年后再去从事安全相关的工作。正如上面所说的,公司初期的安全需求相对简单。因此,你完全可以快速入门,然后投入到公司的安全需求中去。接下来,你就可以随着公司的发展,边学习边做安全。

那么,学习安全是否门槛很高、难度很深呢?学习安全的过程中,你可能需要懂前端、懂后端、懂操作系统、懂网络。需要懂的知识非常多,但幸运的是,对于安全入门来说,宽度比深度更重要。因此,对于这些基础知识,深刻理解自然更好,但是懂些皮毛也足够了。在专栏中,我也会由浅入深,对安全需要的基础知识进行讲解。

你还可能会问:没有实践的机会,我能不能学好安全呢?确实,实践出真知,个人安全能力的提升,需要经过不断的磨练。跟着专栏进行学习,我相信你可以具备解决安全问题的基本能力。为了帮助你快速实践,我会通过思考题的形式,去引导你分析自己所在公司的现状和未来。你可以将你的所思所想发表出来,共同探讨,进行“沙盘演练”。

总结来说,本次专栏的定位是安全基础课。在专栏的覆盖面上,我会力求全面,让你能够了解安全的方方面面。我希望,通过对安全专栏的学习,你能够具备安全思维,在遇到安全问题的时候,有解决问题的方向和路径。

这里,我为你准备了一张安全攻防知识全景图,包含你需要掌握的所有相关知识。建议你最好保存下来,在之后的学习过程中,有针对性地去训练自己。

在内容设计上,我根据安全方向的不同,把专栏内容划分为五个模块。

在第一模块“安全基础”中,我首先会为你系统地讲解安全基础概念、思考框架,以及解决安全问题的思路,带你从理论层次认知安全,让你能够系统地看待安全问题、评估安全需求,为你的安全学习指明方向。

在第二模块“Web 安全”中,我会为你讲述 Web 安全中一些经典安全问题的成因,结合当下 App 端各类接口中存在的 Web 漏洞,让你了解常见的 Web 攻防手段,帮助你在开发时,从源头切断安全问题。

在第三模块“Linux 系统和应用安全”中,我会为你讲解底层攻击的各种手段,以及它们会产生的影响,让你掌握其中的原理,能够在部署底层设施时,遵守安全事项,避免产生运维层面的安全问题。

在第四模块“安全防御工具”中,我会结合真实的安全防护案例,为你介绍六大安全防御工具的使用方法和适用场景。另外,我还会总结一些常见的安全防御手段,引导你建设系统级的安全防御体系。

在第五模块“业务安全”中,我会为你讲解“黑灰产”的常见手段,教你识别查找“黑灰产”的方法及防护策略。另外,我还会联系实际业务场景,手把手教你系统解决业务安全问题。

我希望学完这个专栏之后,你能够既懂“攻”又懂“防”,既懂理论也懂实践。比如,你既能知道怎么发起一个简单的 SQL 注入攻击,也能够知道怎么从代码开发层次进行防御,同时也会了解到怎么通过和代码解耦合的 WAF 去做防御。又比如,你会知道怎么去规划和设计安全体系,以及在不同的阶段应该做什么事。

除了正文之外,我还设计了几篇不定期加餐,来和你聊一聊目前一些热门的安全方向,希望能够加深你对安全的理解。同时,加餐中也包含了我对个人发展的一些思考和建议。目前,安全行业普遍存在人才供给不足的现象,很多岗位招不到合适的人。因此,我希望结合我的个人经验,能够给想往安全专业发展的同学一些指引,教你成为“合适的人”。

最后,我想说,安全是一个特别重实践的领域,如果你有时间,一定要多练习,多总结。在课程设计中,我在每一节课后都留了思考题,希望你能够结合知识点,给出自己的思考。很多事情都没有标准答案,你梳理的过程本身也就是强化思考的过程,所以,千万不要有心理负担,大胆表达就可以了,我一定会尽我所能及时给你反馈。

如一开始所说,我喜欢安全,喜欢侠客精神。正在看这篇文章的你,我相信你也是如此。希望在接下来的“刀光剑影”里,我们能互相切磋,一起成长!

▌下一篇

安全的本质:数据被窃取后,你能意识到问题来源吗?

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 33 | 安全防御工具:如何选择和规划公司的安全防御体系?

    在前面几个模块中,我们重点讲解了常见的安全防御工具和手段。这些工具和手段包括:安全标准和框架、防火墙、WAF、IDS、RASP、SIEM 和 SDL 等。它们分...

    斑马
  • 18 | 安全标准和框架:怎样依“葫芦”画出好“瓢”?

    从这一讲开始,我们讨论安全防御工具。实际上,每个公司都需要进行安全体系建设,业内将这些通用性的建设经验进行总结,形成了各种安全标准和框架。从这些标准和框架中,我...

    斑马
  • 37 | 个人成长:学习安全,哪些资源我必须要知道?

    安全涉及的知识面非常广,更新速度也很快,前辈们很难有足够的时间和精力来言传身教。这个时候就需要我们具备良好的自学能力,通过持续的学习来掌握新的知识,应对新的变化...

    斑马
  • 谈谈开展信息安全工作的四个权力

    很多刚独立开展安全工作的小伙子本身技术都很好,但是初始做一个人的安全部容易莽撞。笔者尤其记得第一次接触甲方安全岗位时,领导面试问到:“为了公司安全建设,...

    糖果
  • 【企业安全】企业安全架构建设

    aerfa
  • 云安全合作生态链正经历一个服务价值重塑的过程

    在全球化互联互通趋势下,统一整合的一体化数据安全成为热点。此潮流正在推动信息安全向应用安全时代转变。中国安全市场将成为除美国以外全球最大的安全市场。 2014年...

    静一
  • 33 | 安全防御工具:如何选择和规划公司的安全防御体系?

    在前面几个模块中,我们重点讲解了常见的安全防御工具和手段。这些工具和手段包括:安全标准和框架、防火墙、WAF、IDS、RASP、SIEM 和 SDL 等。它们分...

    斑马
  • 如何成为一个安全架构师

    如何成为一个安全架构师,安全架构师需要什么样的能力?首先要理解什么是安全架构,安全架构包含哪些组件,如何将这些安全组件合理的组织在一起形成一定的战斗力,这是非常...

    信安之路
  • 来谈一谈你对安全的理解

    在不同的学习阶段以及不同安全岗位对于安全的理解是不一样的,知识星球新推出一个作业功能,我在知识星球提出了一个作业也就是一个问题,问题如下:

    信安之路
  • 从事安全 价值几何 如何体现 你来说说

    安全圈流传着一句话叫“安全是个尴尬的存在,不出事,老板觉得有你没你一个样,出了事,又觉得你安全做的不好!”,这就是安全的价值在甲方企业中无法很好的体现导致的,类...

    信安之路

扫码关注云+社区

领取腾讯云代金券