感谢您阅读《网络安全之：等保整改大环境与背景》，本篇为您继续介绍等保整改的内容，您可前往信创致远http://www.dengbao110.com/查看完整版内容。

现在的网络安全行业里除了显得有些务虚的网络安全理论之外,要么就是一边倒的攻防,要么就是过于超前、浮在表面没有落地方案的新概念,这些声音对企业安全操都缺乏积极的意义。有些方法论是有实操意义的,并不像攻防研究者声称的是纯务虚的东西,纯粹是位置决定想法的问题。还有些流行的概念在解决实际问题上的效果有待验证,并不像市场鼓吹的那么好。技术很重要,但攻防只解决了一半问题,等保整改的工程化以及体系化的安全架构设计能力是业内普遍的软肋，多数人不擅此道。对市场上的各种观点,我认为可能需要一个相对客观的评价：即某项技术或管理在全生命周期的各个环节中,在不同的行业、不同的场景下有什么样的价值,而不是很随意地贴标签。很多概念10多年前就有了,发明一个新概讲与过去一样的事情,再给自己贴一个发明者的标签对行业没有积极的意义。纵深防御之类的概念在ISS没被IBM收购之前就有了,为什么现在有的人觉得这个词很新?因为过去没重视,或者说缺少实践。

在绿盟最大的便利并不是下班路上随便都能找到能聊exploit技术的大牛,而是视野：从金字塔视角看到网络安全的整体解决方案,囊括组织、管理和技术3方面的东西,覆盖全行业全价值链过程的技术方案,算上第三方的话几乎涵盖市面上所有的安全产品和解决方案。有人看到这些会问：这不是传统网络安全那一套吗?且不急,本书后面讲的都是围绕互联网企业安全的,并不打算在传统安全上花很多篇幅,只是需要区分一下企业安全实际的状况和某些厂商为了兜售自己的产品而宣扬的概念是有所不同的,大多数厂商都会避开自己的弱项而在市场活动及软文上注地强调自己擅长的概念。

离开绿盟后我去了甲方,一家大型网游公司,2008年将近万台的物理服务器布于三十多个IDC的规模似乎比当时搜狐全站的IDC规模还要大一些。跟现在一样,那时候也是普遍缺少网络安全负责人的时代,我也有幸组建了一支属于自己的安全团队,成为当时极少数的安全总监之一。团队中的人现在遍布互联网行业的半壁江山,且都是安全部门独当一面的骨干。在这段时间我亲身经历了从乙方到甲方视角的过渡,从零开始建立网络安全体系,真正把乙方玩的东西在一家甲方公司落了。我的方法思路过程跟某些互联网公司不太一样,因为那时候BAT的安全员大多是毕业后直接去的甲方,一开始就做甲方安全,而我是从乙方到甲方,所以实践上更多是参考了乙方的方法论,再自己摸石头过河,除了攻防之外,多线并行,直接建立较完整的网络安全体系在做等保测评。