關(guān)于安全防護的詳細介紹和應(yīng)用

一切得從我六七歲的時候說起，那時候的我喜歡上了在DOS中修改電子游戲，我并沒有意識到這將成為我如今激動人心而又成就感十足的網(wǎng)絡(luò)安全職業(yè)生涯的起點。對于當(dāng)時的我，最開心的就是破解游戲，贏得勝利！

1從那時起，我就對網(wǎng)絡(luò)安全產(chǎn)生了巨大興趣，而且一發(fā)不可收拾。

十幾歲時，我穿梭于各大論壇，尋找和我一樣關(guān)注電腦網(wǎng)絡(luò)安全的黑客和程序員。通過在線交流，我們都意識到網(wǎng)絡(luò)安全正實實在在地影響著我們生活的方方面面，大家都希望能夠投身到這個領(lǐng)域。但對于當(dāng)時的我們而言，網(wǎng)絡(luò)安全所涉及的范圍遠遠超乎我們的理解，即使我們處在這樣一個程序員的圈子。

2大學(xué)成為我了人生的轉(zhuǎn)折點。

2009年秋，我考入了達文波特大學(xué)，主修網(wǎng)絡(luò)安全，輔修電腦網(wǎng)絡(luò)。在這里，我才意識到原來世界上有如此龐大的一群人，在為網(wǎng)絡(luò)安全而孜孜奮斗。受到教授的鼓勵，我積極參加專業(yè)會議，和同學(xué)們創(chuàng)建各種社團，參加編程馬拉松，因而結(jié)識了不少志同道合的朋友。我們個性相似，有著同樣強烈的求知欲，對于計算機和網(wǎng)絡(luò)的工作原理、網(wǎng)絡(luò)破解以及網(wǎng)絡(luò)安全防護，都有著巨大的興趣。

2011年我成為了德爾福的實習(xí)生，這是我生平第一次的實習(xí)。在那里，我與網(wǎng)絡(luò)安全結(jié)下了不解之緣。我進入了德爾福IT團隊，從事網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施工作。那是一個難忘的暑假，公司非常棒，團隊成員都非常優(yōu)秀，最重要的是，我學(xué)到了很多東西。

3每100行代碼中就有4個漏洞。

畢業(yè)之前，我還在醫(yī)藥和制造行業(yè)的技術(shù)部門工作過。我曾在一家制造廠從事IT技術(shù)支持，確保所有系統(tǒng)正常運轉(zhuǎn)。我還擔(dān)任過一家醫(yī)藥公司的安全運行分析師，進行應(yīng)用程序測試，確保其不被破解。此外，我們還負責(zé)安全系統(tǒng)監(jiān)測，以便及時補救可能出現(xiàn)的問題。

然而，不久以后我接到了德爾福的電話。

于是我在2014年重返德爾福，但這次是作為一名正式員工——IT安全分析師。我負責(zé)擔(dān)任“反派”角色，我所在的團隊被稱為“紅隊”，我們的主要工作就是模擬壞人的思維，發(fā)現(xiàn)公司網(wǎng)絡(luò)安全的薄弱環(huán)節(jié)，并幫助IT團隊維護公司基礎(chǔ)網(wǎng)絡(luò)設(shè)施的安全。一年半以后，我遇到了一個千載難逢的機會。德爾福要組建一個網(wǎng)絡(luò)安全團隊，這個團隊將與工程團隊一起為德爾福的產(chǎn)品設(shè)立安全指引、流程和工具，開發(fā)網(wǎng)絡(luò)安全測試程序。在這個工作崗位上，我不僅要破解網(wǎng)絡(luò)，還要確保網(wǎng)絡(luò)的安全，一直到技術(shù)成熟進入市場，確保那些用來挽救生命的產(chǎn)品和程序能夠安全運行。

4那一刻，我恍然大悟，原來我之前的職業(yè)生涯都欠缺一樣?xùn)|西，直到那一刻才完整：以前我總是有意“破壞”東西，再幫助人們修復(fù)，從而設(shè)法確保它的安全。但是，我卻從未“親眼目睹”解決方案投入應(yīng)用。而現(xiàn)在，我明確地知道了自己的工作將產(chǎn)生什么樣的影響，也就能更好地保護網(wǎng)絡(luò)安全。

無論我們做什么，做好防護并確保安全都是十分重要的，這已經(jīng)植根于我們的DNA。我們的任務(wù)就是讓安全流程應(yīng)用到各個平臺乃至產(chǎn)品生產(chǎn)。為此，我們?nèi)硇耐度氲桨踩敢?、流程和工具的整合，以及網(wǎng)絡(luò)安全測試實驗室的開發(fā)，以更好地為工程團隊提供支持。

5回顧以往，我們曾經(jīng)面臨的最大挑戰(zhàn)就是讓公司認可我們的工作，并讓大家充分了解到，在早期開發(fā)到后期生產(chǎn)這整個產(chǎn)品開發(fā)過程中，遵照網(wǎng)絡(luò)安全的流程、指引并進行安全測試是何其重要。開展安全意識教育、落實安全管理，并在公司內(nèi)部推行自上而下的安全措施，正是其中的關(guān)鍵。

我們所創(chuàng)建的網(wǎng)絡(luò)安全模型依托于以下三點：

? 設(shè)立合理的流程以確保產(chǎn)品安全，并運用合適的工具鎖定系統(tǒng)。

? 從產(chǎn)品開發(fā)初期便與工程團隊遵照這一流程進行合作，從樣品到最終產(chǎn)品生產(chǎn)的整個過程中為他們提供支持。

? 進行“紅隊”滲透測試和產(chǎn)品檢驗，幫助減少產(chǎn)品漏洞，確保產(chǎn)品安全。

6公司所屬行業(yè)正在由傳統(tǒng)的思維向現(xiàn)代思維慢慢演進，而我們的團隊也在規(guī)劃進一步的安全防護。入侵系統(tǒng)的企圖從未停歇，系統(tǒng)的不安全性只會有增無減。我們意識到，在公司內(nèi)部建立安全文化，幫助塑造安全環(huán)境（包括現(xiàn)實環(huán)境、數(shù)字以及社會環(huán)境），是一項至關(guān)重要的使命。這一切對于關(guān)鍵的安全技術(shù)（比如自動駕駛技術(shù)）的實現(xiàn)尤為重要。

德爾福內(nèi)部以及外部的協(xié)力合作和主動出擊是成功的關(guān)鍵，這正是我們參加DefCON Car Hacking Village黑客大會的原因。對于確保德爾福網(wǎng)絡(luò)安全，我們滿懷熱情，而DefCON Car Hacking Village給我們提供了前沿工具，這里匯聚了各種新方法、新技術(shù)還有新人才。安全并不是一個新的話題，但它從1992年數(shù)字安全運動才真正起步、直到今天，而只有協(xié)作共進，我們才能在守護網(wǎng)絡(luò)安全的道路上變得更加強大，繼續(xù)向前。

右滑查看DefCON Car Hacking Village現(xiàn)場照片

我要感謝德爾福網(wǎng)絡(luò)安全團隊中的每一個人！感謝你們的努力和奮進，在你們的推動下德爾福才成為了網(wǎng)絡(luò)安全的領(lǐng)跑者。感謝在全球范圍內(nèi)提升安全意識的協(xié)會及舉辦的各種活動：DefCON、Car Hacking Village、GrrCON、BSides Events、SANS Events、Blackhat以及SAE Cyber Auto Challenge。此外，我還要感謝你們——所有致力于實現(xiàn)數(shù)字世界和現(xiàn)實世界安全的人們。安全防護，是過程而非結(jié)果。