网络安全源于攻防战,系统生命周期面临多种安全风险。安全工程师分黑客、乙方和甲方等角色,黑客门槛降低但高手深入研究攻击技术,乙方制作防护产品,甲方规划公司安全。企业信息资产需防护,ISO27001标准可助力建设安全体系。
网络安全从哪里说起
网络安全起因就是攻防战,在一个系统的生命周期里,面临着各种各样、各个方面的安全风险。所以安全建设就像建一个长城,要从头到脚的防护。安全的需求是在甲方,乙方要根据具体的某一需求深入的研发防护产品,提供服务。黑客(攻方)也是一种安全工程师,只是所在的角度不同。所以安全工程师分好多种,他们在这条安全的长城上发挥着不同的作用。
角色
黑客的门槛越来越低,脚本和工具的使用使得一个人可以在瞬间变成初级黑客。但真正的黑客往往在某一领域的安全技术研究的很深入,可以写出攻击脚本或者病毒,利用漏洞进行攻击。
乙方的安全工程师要根据黑客的入侵行为,制作相应的防护产品。略略显得被动一些,但事实是这样的,所以在安全领域记住一句话:道高一尺,魔高一丈。要防护的层面太多,漏洞的出现在所难免,警钟长鸣才是关键。
有人说甲方的安全工程师是文职工程师,甲方要写各种文案汇报给公司,甲方工程师需要关注很多的安全方面,从物理安全、网络安全、主机安全到应用安全、数据安全,从整体上规划整个公司的安全规划。虽然整个工作过程不用编写代码,但是读懂各个层面的安全分析数据是必须的,有时也需要用脚本和工具来测试系统的安全性。类如cissp,知识的广度是必须的,正如一句话说的:安全管理有一千里长,但是只有一英寸深。
我们要保护什么
我们做安全工作,是因为有人要攻击我们。有人攻击我们,是因为我们有有价值的信息资产。这在黑客眼里就像一块肥肉。我们的信息资产价值越高,越需要安全防护,如何才能筑起安全防护的长城呢?
对于企业来讲,ISO27001标准给出了一个很好的方案,它从14个领域帮我们把安全体系建设出来,而且很全面地在各个领域告诉我们要做哪些控制。那么我要实施ISO27001了,怎么办?不妨聘请一个信息安全专家(cisp、cissp)吧!
扫一扫
2069
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
