所以扭扭捏捏在文章里写上了以下文字用于“免责”:
……毕竟……从……各方面来说都还是不够资格但……
原文:
http://hi.baidu.com/zyqq/blog/item/2f420cf328ba94cc0a46e0a1.html
做足了姿态的后我就可以放下脸面了参考自身经历写了个甲方信息安全工程师是如何炼成长篇大论(渗透测试人员起步)
说实话上篇文字对于那些可以“用iPhone发出海豚音高级黑客”来说绝对没有参考意义
(iPhone发出海豚音高级黑客是引用4总个blog意为可当作神灵供起来传说级黑客:http://hi.baidu.com/0x557/blog/item/9dd52f86bbcc003666096e65.html))
不过光是会做黑客同学未必过很滋润
所以这些文字给那些烦透了在各个领空跳转覆盖各种寄存器值除了gcc -o chmod u+x ./exploit啥都不会山寨黑客们做个参考可以开拓下视野从个纯粹技术人员角度去理解下那些“技术不精但看起来还蛮专业安全人员” 都在做些什么他们创造价值是什么他们如何创造价值
------------------------分割下-----------------------
我认为在甲方做安全至少要掌握如下3门手艺:安全管理+技术解决方案+职场智慧
1. 安全管理
包括各种安全标准、信息安全管理系统、流程、规范标准、策略
它可以弥补纯技术人员视角不足将技术上不好做事做好还可以帮助自己看到安全全貌
2. 技术解决方案
早期安全从业人员很多都是黑客出身他们对技术执着让人崇敬但现在安全从业人员技术上越来越不像当年那样了
反过来他们对OS、网络、DB未必更精通但是他们确实对能够解决实际问题安全方案更熟悉而这点对于商业公司来说其实是更具有实用价值
3. 职场智慧
有人说现在职场就像古代宫廷这是将事情严重化
职场里利益分配肯定会引起大家明争暗斗但是这个现象并不表示职场就很黑暗
事实上在有人地方要别人遵循自己意志去做些事情就必然要有些窍门技巧和艺术
如果不择手段那叫做厚黑叫做政治斗争
如果双赢了出发点是好那么这些就叫窍门技巧和智慧
说句题外话:
上次写文章时候还没仔细看过论坛上“ 6年如逆旅我亦是行人 ”这个帖子所以对安全理解还是颇为狭隘
虽然说当时我考虑过自己理解可能是狭隘可是没想到这么狭隘top-down down-top这才是科班出身经典安全入门完了人家干了6年还说是行人我就开始指手画脚了汗颜惭愧……
Top-down 是指咨询出身开始就从企业风险全局考虑随后为了控制风险而做了系列安全防范
down-Top 是指安全方案集成出身随后学习安全标准、流程管理、项目管理(project management)、IT治理逐渐将狭隘安全上升到企业风险管理层面
原文链接:
http://bbs.cisps.org/viewtopic.php?t=7234&postdays=0&postorder=asc&start=0
我境界还没有作者那么高因此对于里面罗列各种标准
最新评论