參加會議的幾點體會

2019年8月21日-23日，我參加了爲期三天的北京網絡安全大會，議題滿滿，收穫多多，但其實也是蠻累的。

本次大會主題是「聚合應變，內生安全」，三天的會議日程，上午是主題峯會，下午是分論壇。

這裏分享一下參加分論壇的幾點心得體會：

關於選擇的策略

面對這麼多分論壇和主題演講，如何去選擇呢？

爲此，我和我同事分別採用了兩種策略，我同事將全部分論壇的主題內容全都過一遍，篩選出感興趣的主題內容，按照時間計劃排成一個前後順序，聽完一個演講迅速趕往下一個主題所在的會議室，如此往返。但計劃不如變化，因部分分論壇嘉賓沒有及時致使延遲開場、部分演講時間超時等客戶因素，並無如願進行。

而我，選擇了一種比較「笨拙」的方式，根據分論壇主題和演講嘉賓，找一個感興趣的分論壇，而後早早去會議室找個好位置，從下午1:00-5:30都在同一間會議室，省去了往返奔波的時間。雖然主題內容並不是所有感興趣，但只要用心傾聽，終有所獲。我分別選擇了以下三個分論壇：

21日下午 《金融科技網絡安全論壇》
22日下午 《首屆網絡空間安全可信技術創新論壇》
23日下午 《CISO高峯論壇》

這種選擇，讓我可能慢慢地享受這場會議，多是一張PPT，又或者是演講嘉賓的一句話，可以有所啓發，這就值得了。

關於安全的幾點體會

一、作安全，作到最後是一份責任，而不是一份養家餬口的工做。

若是說，白帽子是行走在網絡邊界的遊俠，那麼，在甲方安全的童鞋們，就是守護一方疆域的將士，保護企業的信息資產。在《蜘蛛俠》電影中，有這樣很是經典的一句話：能力越大，責任越大。做爲一個甲方安全工程師，你能夠按照你的意願去設計你的系統，你也能夠將你的安全意識輻射到團隊的其餘成員。安全，對你我來講，更多的是一份責任。

二、傾聽甲方的心聲，真實的訴求

在平時的工做接觸過程當中，有些團隊拿出的產品或方案並不成熟，甚至有的銷售要求內部團隊拿出新產品賣錢，你以爲，忽悠客戶，這就能賣錢嗎？多傾聽甲方訴求，爲用戶提供安全價值，腳踏實地的研究產品和服務，纔是正道。

三、基於業務規則梳理安全防禦策略

這是一種有效防範APT防護攻擊的方式，即便再厲害的安全團隊，也很難所有摸清楚內部的業務規則。好比，屬於財務部門的IP，訪問金融科技部門的服務器遠程桌面服務器，這就是屬於異常的訪問行爲。

四、開源軟件+API安全

咱們常常經過升級版本或打補丁來修復漏洞，但在跑業務的系統，應更謹慎些。漏洞修復前，需全面評估對業務的影響，修復後，作大量的業務測試，才能保證系統的穩定性。

愈來愈多的系統採用微服務架構來構建本身的業務平臺，各類應用使用大量接口API，接口安全問題不容忽視。API金鐘罩：接口參數加密+時效性驗證+私鑰+HTTPS。

五、學習踐行

有幸參會，聆聽前輩們的演講，學習行業裏在安全方面的作法、產品、服務，從新思考安全的價值，不斷踐行。

以上，僅我我的粗淺的體會，安全的路還很遠。