信息安全之路-传统岗位新挑战 (信息安全路由器那个叫啥)

教程大全 2025-07-14 16:11:32 浏览次

一、背景介绍

就职某保险公司，为信息安全部门负责人，职责归纳起来是负责控制整个公司内外部风险，应对新领域的安全挑战和对抗。

自身的经历：从研发，攻防实验室，业务安全，数据安全，安全架构和开发一路走来，也是一种非常有意思的体验。

二、冲突和挑战

金融行业是一个非常有挑战的行业，基本任何一个行业都跟金融行业多多少少有关系，现实来讲没有一个行业能够离开资金的支持，无论以什么形式，也就决定了金融行业复杂和挑战，它基本可以对接任何行业，各行业的业务模式和技术架构的对接就更增加了它的复杂性，金融行业为了支持业务的发展又会引入各种新技术来增加自身业务优势，使得他们业务系统和技术架构在复杂度上更上一层楼，作为一个安全负责人同时要支持技术线，业务线，数据线等多条线，要面临太多太多的挑战，传统的安全模式和服务已经远不能满足现实的情况，这也是为什么很多互联网公司或甲方公司要建设自己的安全部门或团队的原因，自己的问题自己解决。

1. 各种新技术带来的挑战

(1) 问题和挑战

随着业务线的不断发展以及各种互联网技术的引进，各种新技术占比越来越高，安全部门是否能跟进新技術的演进，并提供这些新技术架构的安全支持，甚至走在其它科技部门前面，这是一个无法回避的问题。

我们本身就在一个不断变化的时代，IT技术因为这几年还联网业务发展更新换代的步伐就更加快，安全又是一个特例，科技线可以分成多个部门，如IT技术(细分：开发，运维，数据)，大数据(数仓，模型，数据治理，AI等等)，风控，终端，合规等，而安全很多时候它要同时面对他们，安全又是一个小部门大责任的部门，用极为有限的人员支撑这些部门的安全工作，对每个人技术业务能力都有很大的挑战(同时你还要不断迭代这些新的技术)，

如果安全人员如果不能了解相关技术栈和业务模式(如：如：容器管理，微服务架构，实时流计算，图数据库，Deep/Machine Learning 等)，很难支持整各个科技和业务线(IT/大数据/风控/业务等)，这也是很多乙方安全公司人员转型到甲方面临的很重大的一个挑战，也是目前很多甲方安全人员要迫切面临的问题。

(2) 解决方案

a. 终身学习

就我个人来讲终身学习是我个人比较喜欢的一件事，不断的学习各种的知识(同时个人要有判断，哪个领域知识技术是你值得投入的)不断的学习可以给技术人员一种满足感或者安全感，这样的你不会被行业淘汰，不会担心自身价值随时间而流失，保持对新鲜事物的一种兴趣，也许你没有办法深入了解所有事，但是保持新事物的兴趣会极大扩展你自身的广度，同时对加强你自身在某个领域的深度也是有极大好处的，触类旁通就是指的如此。

b. 善于团队互补

一个人始终精力有限，不可能兼顾所有方向，要善于发挥团队的力量，安全也分为很多领域，每个人方向不一，自身知识领域也不一样，把每个人用到合适的岗位是很重要的，部门成员之间也能够互相交流，定期对自身领域的成果进行交流复盘，大家也都能了解对方在做什么，价值在哪里，也能弥补各自可能存在的短板。也能够在工作量较大时可以相互支撑对方部分工作。

c. 开阔视野聚焦方向

安全人员除了要了解安全行业各种信息外，也可对各个相关领域多投入时间去关注一下，这些都不会白费，笔者的岗位工作需要接触各个领域的人员，有技术的也有业务的，既有大数据，也有法律合规，所以需要多个领域的知识和积累，多和不同领域的人员交流沟通，除了能够更加了解不同领域的情况，也能加深自身技术积累，行业的资深人员永远是最好的老师，很多行业水非常深，如果自己去了解没有几年没有人带根本摸不清，但如过有资深人员肯带你，短时间内你就能够把握一个行业或领域的脉搏(有点像投行的行研报告，但远比这个深入)，这些知识一方面能够帮助你更加深入发现一个条业务线或一个领域可能存在的风险(这种业务或由人造成的风险你没有足够经验是无法发现的)，更加重要的是拓宽你个人的视野，知道清晰知道未来自己该走的方向。

笔者曾经面试过很多安全从业人员，有很多人对新领域有浓烈兴趣的，也有人持续抱着多年前技术抱残守缺(聊的东西还是6，7年前的)，似乎认为这个可以用一辈子，这个世界上哪有一辈子的事情，更何况还是IT这个更新最快的行业，这样他自己怎能不为将来担心。

d. 敢于挑战，学以致用

安全向后期演进就是数据量的对抗，数据分析能力的对抗，安全人员除了要了解业界的安全风险，也要了解新的知识体系，也要考虑将这些新领域(如：IT/大数据/AI)，引入到自身安全能力中去，如将实时计算框架(如：Flink/Beam 等技术)引入到的安全平台中，通过实时流技术解决大量数据下的实时告警/处理问题。通过不断学习，不断将它们用于实践中，解决现实中的难题(新的技术诞生就是为了解决难题的)，通过解决一个问题或完成一个项目，你能更加充分了解驾驭这些新的技术。

e. 掌握一门或者多门开发语言

笔者很幸运，从一个研发人员转型到安全，直至目前也一直没有离代码，也在职业生涯中经历了多个大型软件的开发，但是我目前看走技术路线的安全人员(一般：渗透，安服)都不太懂或者说没有开发过或参与过真正的项目，有很多安全人员多数了解的是Python(主要用Python 做一些小工具)，更进一步了解Java(Java 体系本身确实也比较复杂)还是比较少的，无论从找漏洞或是分析系统风险，做过开发和没有做过开发发现问题的深度和广度完全不一样，个人以为安全人员最好有过开发的经验，在做安全工作时能力会倍增，在开发的过程中能够真正接触多个方面的技术知识，对加强自身了解整个应用系统环境和架构是非常有好处的。另外安全人员也越来越需要自己动手开发工具或相应安全平台，早晚都避免不了和开发打交道，所以赶早不赶晚，早日学起来吧。

2. 小团队支撑大业务

(1) 问题和挑战

安全部门或团队通常来讲在每个公司规模都不会太大，都是小团队来支撑大业务，多部门，全公司，这个是现状短时间内也没有太好的办法，各种黑客/黑产(金融行业的高价值数据是很多黑色产业垂涎的目标)，监管部门的检查(如这几年的护网行动)，各种监管条例和法规遵循，信息安全部门的工作量和风险可想而知。

另一方面因各业务自身演进较快，业务需求变化频繁，多个业务线每周发版频率较高，安全部门人员有限，无法跟进所有业务变化，也没有足够的人力对上线前的系统进行全覆盖测试(仅仅还只是较大变化的版本和关键性系统)，这些给安全带来全方位的挑战。

(2) 解决方案

a. 自动化，工具化，平台化

其实最快的解决方案就是招人，但是一方面人员编制不是那么好要的，另一方面随着公司业务的发展多少安全人员才够呢?一个人或者一个部门能力再强如果让它支撑其上千台服务器或几百条业务线的安全单纯靠人力也没有任何可能性。笔者自身是研发出身，比较喜欢DevOPS，目前又是软件定义一切的时代(如：SAN，SDN)，将安全能力自动化，工具化，平台化是大势所趋，再复杂的系统，数量再多主机，如果有自动化程度足够高的平台，支撑这一切是很轻松，而安全人员自身也有足够的时间去从事其它重点工作。

b. 规范的流程和体系

笔者将多个涉及安全的多个资源/权限的申请在OA中线上化，通过规范化，标准化的流程能够大大提供工作效率，任何部门无论想申请什么权限，提取什么样的数据，配置什么样的服务，各个部门人员可根据创建的标注流程去申请，避免了人工沟通确认的大量成本和各种重复工作。

3. 业务深入度不够

(1) 问题和挑战

安全人员比较注重漏洞风险，系统底层的研究，很多人最大的关注就是挖各种漏洞，收集各种0Day,当然这些固然很重要，可是对一个甲方的安全人员来讲是远远不够的，有很多严重的漏洞都在来自于业务本身，不是业务流程上的，就是业务模式上的，恶意用户或黑产人员只要觉得攻击目标足够有价值，舍得花时间，吃透了业务，从撸羊毛到各种流量劫持，从数据污染到新媒体欺诈，已经远超单纯的数据脱库，买卖数据那种简单的模式了，现在黑产的复杂度远胜从前，很多攻击手段和获利模式都是一般人很难想到，很多时候整黑色产链条里面有各种利用金融工具结合技术手段来变现和获利的方法，如果你仅仅只是了解安全本身，你很难进行对抗。

安全从来不止是单纯的技术，对业务了解的深度某种程度上也决定了你安全的深度，安全从未离开业务，。

(2) 解决方案

a. 贴近业务

可以多和业务部门，风控部门多多沟通，了解一手的业务模式和流程，一线业务人员他们一般是整个公司最了解某条业务线的人，另外公司在都有业务评审，这个时候业务部门和IT部门也会提交详细的需求文档，安全部门通过评审详细了解业务系统的细节以及和业务部门进行沟通。

b. 轮岗

这种方式不具有普遍性，如果你能在业务的岗位上工作一段时间这个将是你最快也是最好了解业务的方式，但是很多公司不具备这个模式，所以还得看具体情况。

c. 了解行业动态

安全人员不要只埋头苦干，也要了解行业趋势，安全技术能力固然重要，但是很也要把握行业趋势，老话说的好“不要只埋头拉车，也要抬头看路”，很多时候方向错了，也就离目标越来越远了。知道该向那个方向努力其实很重要，业务和IT的发展方向永远是你要关注的，了解行业趋势能让你更清晰的知道大家都在关注什么，也能使你站的更高看的更清楚，更容易找到你自己的道路和方向。

笔者见过很多这样的场景，安全技术本身演示的时候很炫酷，大家会上都说好，但是事后一直没什么结果呢，关键是你不能创造价值，不能够解决关键问题，这个是目前安全从业人很多都会面临的问题，自身的价值点在哪?(不单单是传统安全所做的工作)笔者也在一直在思考，也在寻找，了解业务趋势和发展方向对你找到自己的价值点肯定是非常有帮助的，也欢迎大家一起多多交流，能够碰撞出火花。

三、结束语

我大概简述了一个安全人的烦恼和忧虑，因为限于时间和篇幅的关系，很多问题也没有展开讲或者还没来得急讲(如：数据安全和客户隐私保护，传统安全问题的刨析，编码/架构设计能力等问题)，很多答案也仅仅基于我自己实践和思考，肯定也也有很多局限性，我挑了几个有代表性的问题，也许这不仅仅是安全从业人员的挑战，可能是很多IT人面临的挑战，面临挑战怎么办?只要还在行业中，躲是躲不了的，那就只能迎难而上，直面挑战，引用一句老话这个时代唯一不变的就是变化本身。

超市各项操作流程？怎么样管理好超市！~？

由于本系统设计针对该超市的具体情况，因此用户需求的目的是通过该企业的需求调查，从中总结出企业对管理信息系统的需求，然后根据这些需求设计出系统的方案。需求收集和分析是数据库设计的第一阶段。需求分析定义了软件产品的各种用户需求如功能、性能等，需求分析是否透彻、完整、正确是软件项目成败的关键。这一阶段收集到的基础数据是下一步设计概念结构的基础。从数据库设计的角度考虑，需求分析阶段的目标是:对现实世界要处理的对象(组织、部门、企业等)进行详细调查，在了解原系统的概况，确定新系统功的过程中，收集支持系统目标的基础数据及其处理，最重要的就是建立用户数据模型。无论是采取哪种开发策略，都需要访问用户、记录需求，并根据这些需求建立数据模型的原型，这样的模型标识了需要在数据库中存储的内容和它们的结构及相互关系。进行数据建模要求既要有一定的行业知识，又要精通建模的方法和技巧[4]。需求分析阶段的任务是:（1）了解组织机构情况，调查这个组织由哪些部门组成。各部的职责是什么，为分析信息流程准备。（2）了解各部门的业务活动情况。调查各部门输入和使用什么数据，如何加工处理这些数据，输出什么信息，输出到什么部门，输出结果的格式是什么。（3）确定新系统的边界。确定哪些功能由计算机完成或将来准让计算机完成，哪些活动由人工完成。由计算机完成的功能就是系统应该实现的功能。 2.3.2 系统功能我们把收集到的数据整理组合在总控模块、基本资料模块、销售管理模块、进货管理模块四个主要的功能模块。每个功能模块的功能是：总控模块包括操作员管理、权限管理、系统数据管理、系统设置管理等。它为整个系统提供安全保障。基本资料模块有客户资料包括客户资料的管理和存储，员工资料包括员工资料录入和维护，商品资料包括商品资料的存储和编辑，供应商资料的存储和编辑。销售管理模块包括货单的录入和维护；对销售情况进行统计；对商品的零售和批发进行管理和付款的计算机操作等进货管理模块包括进货资料录入和维护;采购订单的录入和维护和付款的计算机的操作等

手机jar是什么

JAR（Java Archive，Java 归档文件）是与平台无关的文件格式，它允许将许多文件组合成一个压缩文件。为 J2EE 应用程序创建的 JAR 文件是 EAR 文件（企业 JAR 文件）。 JAR 文件格式以流行的 ZIP 文件格式为基础。与 ZIP 文件不同的是，JAR 文件不仅用于压缩和发布，而且还用于部署和封装库、组件和插件程序，并可被像编译器和 JVM 这样的工具直接使用。在 JAR 中包含特殊的文件，如 manifests 和部署描述符，用来指示工具如何处理特定的 JAR。一个 JAR 文件可以用于1. 用于发布和使用类库2.作为应用程序和扩展的构建单元3.作为组件、applet 或者插件程序的部署单位4.用于打包与组件相关联的辅助资源JAR 文件格式提供了许多优势和功能，其中很多是传统的压缩格式如 ZIP 或者 TAR 所没有提供的。它们包括：·安全性。可以对 JAR 文件内容加上数字化签名。这样，能够识别签名的工具就可以有选择地为您授予软件安全特权，这是其他文件做不到的，它还可以检测代码是否被篡改过。 ·减少下载时间。如果一个 applet 捆绑到一个 JAR 文件中，那么浏览器就可以在一个 HTTP 事务中下载这个 applet 的类文件和相关的资源，而不是对每一个文件打开一个新连接。 ·压缩。 JAR 格式允许您压缩文件以提高存储效率。 ·传输平台扩展。 Java 扩展框架（Java Extensions Framework）提供了向 Java 核心平台添加功能的方法，这些扩展是用 JAR 文件打包的（Java 3D 和 JavaMail 就是由 Sun 开发的扩展例子）。 ·包密封。存储在 JAR 文件中的包可以选择进行密封，以增强版本一致性和安全性。密封一个包意味着包中的所有类都必须在同一 JAR 文件中找到。 ·包版本控制。一个 JAR 文件可以包含有关它所包含的文件的数据，如厂商和版本信息。 ·可移植性。处理 JAR 文件的机制是 Java 平台核心 API 的标准部分。 [编辑本段]JAR在手机电子书的应用JAVA手机电子书的格式一般为JAR和JAD，其中JAD文件是一个说明文件，描述jar文件的信息。部分手机不支持直接读取JAR（这是手机安全策略引起的），这时则需要JAD文件。这样的手机只在少数。 java运行在java虚拟机之上，也就是JVM，而很多低端机型也可以支持java，因此就注定了java格式的适用范围相当广泛。由于java可以提供丰富的交互行为，因此在支持图文，多媒体方面做的最为优秀，另外，阅读器和文本被打包在一起（jar），因此只需安装即可阅读，无需另外安装阅读器或者下载电子书。手机和以前的电子书阅读设备相比，其最大优势就是方便，能随身携带。而其不足之处就是屏幕阅读限制，以及可阅读资源少。目前的手机设计，呈现大小两极分化的局面，一种趋势是越来越小，走灵巧、精致之路，另一种趋势则是越来越大，走功能丰富与完善之路，向PDA靠拢，无疑只有这种趋势才适合手机电子书的发展。而对目前大部分用户而言，以每屏显示几行的手机来阅读上万字的电子书，仍然有很大的不便。目前能制作电子书的软件有掌上书院开发的mBookMaker等，想将自己的文字转换为电子书的朋友不妨一试。由于不同品牌的手机硬软件不同，并非所有的手机都能支持手机电子书。相对而言，诺基亚，摩托罗拉等品牌手机，只要能支持ＪＡＶＡ，那就一定有适合的电子书。但也有一些已经非常优秀的JAR读书软件，可以直接读取等格式的小说。例如Anyview3.0就是非常不错的手机电子书软件