三年,不长也不短,却也是一个值得写点什么记录的节点。
虽然是信息安全专业的毕业生,但我始终认为我和网络安全的"故事"不是始于入学,而是从申请FreeBuf账号的那天开始的。至今已三年有余,虽因个人原因,文章更新不是特别勤快,但于我而言,FreeBuf网站仍是一个记录我在网络安全行业成长的地方。
这三年(2018~2021),对于我个人来说,不仅年龄在增长、经验在丰富,网络安全行业同样也在不断发展、成熟,网络安全相关法律法规、相关政策措施不断出台、落地。期间,《网络安全法》从适应到深度落实,《密码法》、《数据安全法》、《个人信息保护法(草案)》浮出水面,并配套《网络安全审查办法(修订草案征求意见稿)》、《网络产品安全漏洞管理规定》、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》等重要法规、规章,以及网络安全等级保护2.0相关国家标准,不仅助推了网络安全产业生态的建立,并且给网络安全领域合规不断加码。
中华人民共和国网络安全法_滚动新闻_中国政府网 (www.gov.cn)
自 2016 年11月7日《网络安全法》公布,2017年6月1日正式实施以来,国家网信办、公安部等部门不断落实相关要求,2018年~2021年期间逐步出台了一系列部门规章、规范性文件,细化网络安全相关制度要求,加快《网络安全法》的落地实施。
密码是保障网络与信息安全的核心技术和基础支撑,是解决网络与信息安全问题最有效、最可靠、最经济的手段,《密码法》的发布规范了我国商用密码的应用,从发布至今,逐渐推动了我国商用密码测评工作,并且极大的促进了网络空间安全治理效能。
中华人民共和国数据安全法--时政--人民网 (people.com.cn)
今年发布的《数据安全法》标志着我国的数据安全工作进入了有法可依的阶段。数据安全法坚持安全与发展并重,聚焦数据安全领域的风险隐患,加强国家数据安全工作的统筹协调,确立了数据分类分级管理,数据安全审查,数据安全风险评估、监测预警和应急处置等基本制度。
2021年4月26日,第十三届全国人大常委会第二十八次会议对《中华人民共和国个人信息保护法(草案二次审议稿)》进行了审议,即将进行三审,相信不久该法律就会出台,《个人信息保护法》规定了个人信息处理应遵循的原则和规则;明确了运营者的个人信息保护义务;并与民法典有关规定相衔接,对于我们个人来说,让我们更加安心的行走在网络空间,保障了我们的基本权益。
《网络安全审查办法(修订草案征求意见稿)》 (cac.gov.cn)
2020年4月13日,十二部门联合发布了《网络安全审查办法》,该办法是落实《网络安全法》第三十五条规定而出台的法规,今年的滴滴事件成为了该办法下的第一起审查案例。网络空间治理的复杂、数据安全的兴起,以及为了更适用于新形势下的安全监管,2021年7月10日,网信办公开对《网络安全审查办法(修订草案征求意见稿)》征求公众意见。
以《网络安全法》为依据出台的《网络产品安全漏洞管理规定》规范了网络安全漏洞发现、报告、修补和发布等行为,明确网络产品提供者、网络运营者、以及从事漏洞发现、收集、发布等活动的组织或个人等各类主体的责任和义务。该规定的发布让网络安全漏洞管理有章可循,对促进整个行业的规范化发挥了很大作用。
2020年9月,公安部公网安[2020]1960号文发布,该指导意见是为了落实《网络安全法》确定的网络安全等级保护制度和关键信息基础设施安全保护制度,保障关键信息基础设施、重要网络和数据安全,用于指导重点行业、部门开展等保、关保工作。
以上我对自己认为重要的部分法律法规做了一个简要的介绍,通过这些法律法规相信大家能感受到国家对网络安全工作的重视,越来越规范的行业让从业者看到希望。近年来,我国不断推进网络强国、数字中国、智慧社会建设,这些发展的背后离不开大数据、人工智能、移动互联网、物联网、云计算等信息技术的支撑,而新技术的引入,难免存在安全隐患,尤其是在如今生产和生活方式逐渐被数字化、网络化、智能化覆盖。智能手机、智能手表、智能家居都已经成为生活必需品,订票、打车、点餐、办银行业务,包括家里水电煤费用缴纳等都已经线上化,这是信息技术带给我们的一片欣欣向荣,而越是这种时候,我们更应该清醒的看到数字化背后的风险——网络安全威胁,假设我们赖以生存的网络基础设施遭到网络攻击,订不了票、出行不方便、支付遇到问题、取不了钱,再加上电力系统也遭到攻击,还停了电,是不是已经感觉快要回到原始社会。“生于忧患、死于安乐“,我们每个人只有具备忧患意识、底线思维,才能安然的享受这一场技术革命带来的科技盛宴,网络空间和物理空间的边界已经不那么清晰,网络空间安全不是某一个行业、某一群人、某一家企业的事,而是我们全社会、每个人都应该承担的责任,我相信未来网络空间会更安全、网络环境会更健康、网络安全行业会更规范发展。
这三年,我的职责重心发生了变化,生活城市也刚从上海到了北京;FreeBuf上留下了十余篇参差不齐的作品。下面是我和网络安全相关的故事。
(1)职责重心的变化
一开始是以战略规划部门信息安全咨询顾问的角色入了安全行业的门,学校的理论和工程实践知识并不能让我一下子适应工作场景及角色的转变,所幸的是遇到了一个亦师亦友的Leader,初入职场的我在她的指导下,逐渐的有了定期总结、文件分类的认知和习惯,虽然文件分类这个习惯还没有完全养成(有时还是会找不到文件);也是她给了我很多时间和机会去了解网络安全行业的深度和广度,对我寄予厚望,一直跟我强调要从项目实践中汲取营养,从客户现场去获取实际需求,帮助我更快成长,让我对网络安全有了更深入的理解,一有合适的项目(包括咨询项目、标准项目、规划项目、课题等)就会安排我去跟,甚至还企图让我尝试以咨询项目经理的角色去学习管理项目,给予我信任和支持,关于一些项目,在我之前的一篇回顾文章(回首两年信安路)中有涉及到部分。所以当我今年快要年中的时候由于个人原因换城市而提出离职时,心里真的很不是滋味,充满了歉意,后来反而是她和同事们安慰我不要有心理压力,欢迎我常回“家“看看。正是因为遇到了这些人情味十足的领导和同事,让我一路走来感觉到了温暖,感觉到了网络安全行业的温度和力量,让我能够坚定的继续走下去。
现在的岗位职责与之前相比发生了些变化,主要重心从咨询更聚焦到类似合规方面了,幸运的是,又遇到了一个友好的团队。回首来看,在FreeBuf写的第一篇文章(小师妹聊安全标准)似乎有点预言的味道。
(2)参差不齐的作品
看了一下个人中心,从2018年至今,在FreeBuf上留下了12篇足迹,分别是:
主要根据《GB/T 31509 信息安全技术 信息安全风险评估实施指南》做了一个梳理,并从使用者的角度分享了应该怎么做风险评估项目。
小师妹聊安全标准(二);
主要介绍了《GB/T 31496-2015 信息技术 安全技术信息安全管理体系实施指南》的框架和主要内容,并用通俗和易于理解的描述对标准进行了总结。
小师妹聊如何部署IDPS;
主要介绍了入侵检测和防御系统的类型,以及在网络中的部署方式和部署过程的阶段性工作任务。
小师妹浅谈NIST SP 800-35《信息技术安全服务》;
翻译了NIST(美国国家标准与技术研究院)发布的出版物SP 800-35《信息技术安全服务》,结合自己理解,对主要内容做了介绍。
小师妹对IT服务安全的思考;
作为标准编制组成员,将自己对于编制GB/T 39770-2021《信息技术服务 服务安全要求》的一些过程收获和思考记录了下来。
工业互联网安全研究笔记;
主要是当时接触工业互联网项目时,在对工业互联网安全进行学习和探索过程中,把自己了解到的内容进行了总结和记录。
总结了自己入行两年的收获和成长。
翻译了NIST(美国国家标准与技术研究院)发布的出版物SP 800-210《云系统通用访问控制指南》,结合自己理解,对指南进行了梳理和介绍。
通过NIST(美国国家标准与技术研究院)官方公布的数据以及公开的研究领域,梳理了其近三年的发布成果以及各领域的研究进展和重点方向。
文章对比了我国新冠病毒的应对与网络安全应对的相似点和区别,并从新冠病毒的应对措施中分析了应该如何采取措施积极应对网络安全威胁。
文章是篇资讯,主要数据来源于我国信息安全标准化委员会(TC260)官方公布的网络安全领域已发布标准数量。
翻译了NIST(美国国家标准与技术研究院)发布的出版物SP 800-47《信息交换安全管理》,结合自己对数据安全的理解,对主要内容做了介绍。
之所以说这些文章质量是参差不齐的,因为每篇文章都是我在当时的阶段、当时的背景下所写,这些材料都是我的养分,而FreeBuf也是我觉得挺温暖的一个安全社区,文章下面正向鼓励留言以及原创奖励机制,都会时不时的提醒我去留下点、记录点什么,万一对别人有帮助呢。
2020年~2021年很多专家和学者都在谈论“未来是不确定的,我们要拥抱不确定性“,道理是对的,但作为普通人的我们,应该怎么去拥抱不确定性呢,我想,我们应该通过”认真做好该做的每一件事(包括工作和生活上)“去拥抱未来的不确定性。
如果看到这篇文章的您:
是应届生,那么希望你能够坚定自己的从业选择,相信自己,对行业保持敬畏与热枕;
是有工作经验的从业者,那么恭喜您,成为了网络安全行业发展的见证者和添砖加瓦者。(虽然从一些前辈口中听到过不少工作吐槽,但至今却没有任何一个人说过真心后悔从事了这个行业)。
最后,写下这篇文章的目的,一是希望当自己遇到困难或迷茫时,能够找到初心,继续前进;二是希望我以上的废话能够让各位网安从业者感受到积极向上的力量,对网络安全行业继续保持希望和热情,大家一起共同守护网络空间安全。
乘风破浪会有时,持续每年写一篇(回顾)。
未完待续。。。。。。
如有侵权请联系:admin#unsafe.sh