精华内容
下载资源
问答
  • 提高微服务安全性的11方法

    千次阅读 多人点赞 2020-12-21 08:41:47
    1.通过设计确保安全 OWASP 2.扫描依赖 3.随处使用HTTPS 安全的GraphQL API 安全的RSocket端点 4.使用身份令牌 授权服务器:多对一还是一对一? 在JWT上使用PASETO令牌 5.加密和保护密钥 6.通过交付流水线...

    原文发表于kubernetes中文社区,为作者原创翻译 ,原文地址

    更多kubernetes文章,请多关注kubernetes中文社区

    目录

    为什么选择微服务?

    1.通过设计确保安全

    OWASP

    2.扫描依赖

    3.随处使用HTTPS

    安全的GraphQL API

    安全的RSocket端点

    4.使用身份令牌

    授权服务器:多对一还是一对一?

    在JWT上使用PASETO令牌

    5.加密和保护密钥

    6.通过交付流水线验证安全性

    7.降低攻击者的速度

    8.使用Docker Rootless模式

    9.使用基于时间的安全性

    10.扫描Docker和Kubernetes配置中的漏洞

    11.了解云和集群安全性

    总结


    为什么选择微服务?

    如果你正在开发一个大型/复杂的应用,并且你经常需要快速,可靠地升级部署 ,那么微服架构是一个不错的选择。

    但是如何提高微服务架构的安全性呢?

    1.通过设计确保安全

    设计安全,意味着从一开始就应该将安全性纳入软件设计中。关于安全,其中最常见的一个威胁就是恶意字符。

    我问我的朋友罗伯·温奇Rob Winch)他对删除恶意字符的想法。Rob是Spring Security项目的负责人,被广泛认为是安全专家。

    我认为从一开始就将代码设计为安全是有意义的。但是,完全删除恶意字符不可能的。

    什么是恶意字符,实际上取决于它所使用的上下文。只是要找出是否存在其他注入攻击(即JavaScript,SQL等),你就可以确保HTML上下文中没有恶意字符。需要注意的是,HTML文档的编码也是基于上下文的

    限制字符也不总是可行的。在许多情况下,软件认为是恶意的字符,但这在某人的名字中是完全有效的字符。那应该怎么办?

    我觉得,最好在使用字符的上下文中判断,而不是尝试限制字符。

    —罗伯·温奇

    作为工程师,我们很早就明白了–创建精心设计的软件体系结构的重要性。软件开发中常见的安全威胁,促使组织在系统架构时要时刻考虑软件的安全性。系统要能够在受到攻击时,也要有用于执行必要的身份验证,授权,数据加密,数据完整性和可用性的解决方案。

    从InfoQ文章分析中,我们可以看到:

    OWASP Top 10在过去十年中并没有发生太大变化。SQL注入仍然是最常见的攻击。十年来,我们仍在继续重复同样的错误。— Johnny Xmas

    这就是为什么需要将安全预防措施纳入软件架构的原因。

    OWASP

    开源的Web应用程序安全项目(Open Web Application Security Project ,OWASP)是一个非营利性基金会,致力于改善软件的安全性。他们向开发人员和技术人员提供:

    • 工具和资源
    • 社区与网络
    • 教育培训

    我喜欢Dan Bergh Johnsson,Daniel Deogun和Daniel Sawano撰写的《Secure by Design》一书中的示例。它们展示了如何开发一个基本User实体对象,并且该对象需要在web页面上显示用户名。

    public class User {
       private final Long id;
       private final String username;
       public User(final Long id, final String username) {
          this.id = id;
          this.username = username;
       }
       // ...
    }

    如果你接受用户名的任何字符串值,则有人可以使用用户名执行XSS攻击。你可以使用输入校验来解决此问题,如下所示。

    import static com.example.xss.ValidationUtils.validateForXSS;
    import static org.apache.commons.lang3.Validate.notNull;
    public class User {
       private final Long id;
       private final String username;
       public User(final Long id, final String username) {
          notNull(id);
          notNull(username);
          this.id = notNull(id);
          this.username = validateForXSS(username);
       }
    }

    但是,此代码仍然有问题。

    • 开发人员需要考虑安全漏洞
    • 开发人员必须是安全专家并且知道使用 validateForXSS()
    • 它假设编写代码的人可以想到现在或将来可能发生的每一个潜在弱点

    更好的设计是创建一个Username封装所有安全问题的类。

    import static org.apache.commons.lang3.Validate.*;
    public class Username {
       private static final int MINIMUM_LENGTH = 4;
       private static final int MAXIMUM_LENGTH = 40;
       private static final String VALID_CHARACTERS = "[A-Za-z0-9_-]+";
       private final String value;
        
       public Username(final String value) {
          notBlank(value);
          final String trimmed = value.trim();
          inclusiveBetween(MINIMUM_LENGTH,
                           MAXIMUM_LENGTH,
                           trimmed.length());
          matchesPattern(trimmed,
                         VALID_CHARACTERS,
                         "Allowed characters are: %s", VALID_CHARACTERS);
          this.value = trimmed;
       }
       public String value() {
          return value;
       }
    }
    ​
    public class User {
       private final Long id;
       private final Username username;
       public User(final Long id, final Username username) {
          this.id = notNull(id);
          this.username = notNull(username);
    }

    这样,你的设计使开发人员更容易编写安全代码。

    2.扫描依赖

    我们用于开发软件的许多类库,很多都依赖于第三方类库,传递性依赖性有时会产生大量的依赖链,其中一些可能就有安全漏洞。

    你可以在代码存储库上,使用扫描程序来识别易受攻击的依赖项。你也应该在部署的流水线,主要代码行,发布的代码版本和新的代码贡献中扫描漏洞。

    Snyk调查:25%的项目未报告安全问题;多数只添加发行说明;只有10%的人报告CVE。

    如果你是GitHub用户,则可以使用dependabot通过pull请求提供自动更新。GitHub还可以在存储库中启用安全警报

     

    你还可以使用功能更全的解决方案,例如SnykJFrog Xray

     

    3.随处使用HTTPS

    你应该在所有地方都使用HTTPS,即使对于静态站点也要如此。如果你有HTTP连接,请将其更改为HTTPS,确保工作流程的各个方面(从Maven存储库到 XSDs )都使用HTTPS URI。

    HTTPS的正式名称是:传输层安全性(又名TLS)。它旨在确保计算机应用程序之间的隐私和数据完整性。 How HTTPS Works 是一个很好的网站,可用于学习有关HTTPS的更多信息。

     

    要使用HTTPS,你需要一个证书。它具有两个重要的作用, 建立信息安全通道,保障隐私数据安全 ,并且还验证网站的真实性,防止误入钓鱼网站 。

    Let’s Encrypt 提供免费证书,你可以使用其API自动续订它们。

    Let’s Encrypt于2016年4月12日启动,该组织宣布自成立以来已总共发行了10亿张证书,并且据估计,Let’s Encrypt使Internet上安全网站的百分比增加了一倍。

    Let’s Encrypt建议你使用Certbot来获取和更新证书。Certbot是一个免费的开源软件工具,其中Certbot网站可以让你选择你的Web服务器和系统,然后为自动生成证书。例如,Ubuntu使用Nginx的的说明

    要在Spring Boot中使用证书,你只需要在src/main/resources/application.yml进行一些配置。

    server:
      ssl:
        key-store: classpath:keystore.p12
        key-store-password: password
        key-store-type: pkcs12
        key-alias: tomcat
        key-password: password
      port: 8443

    在配置文件中存储密码和密钥,有很大的安全风险。我将在下面显示如何加密密钥。

    你可能还想强制使用HTTPS。你可以在我以前的博客文章“ 保护Spring Boot应用程序的10种出色方法”中看到如何做。通常,强制使用HTTPS,需要使用HTTP Strict-Transport-Security响应头(缩写为HSTS)来告诉浏览器它们只能使用HTTPS访问网站。

    要了解基于Spring的微服务如何使用HTTPS,请参阅使用HTTPS和OAuth 2.0保护Spring微服务

    安全的GraphQL API

    GraphQL 既是一种用于 API 的查询语言也是一个满足你数据查询的运行时。 GraphQL 对你的 API 中的数据提供了一套易于理解的完整描述,使得客户端能够准确地获得它需要的数据,而且没有任何冗余,也让 API 更容易地随着时间推移而演进,还能用于构建强大的开发者工具。

    如果你想请求具备OAuth 2.0和React功能的GraphQL服务器,则只需传递一个Authorization标头即可。

    Apollo是一个用于构建数据图表的平台,Apollo Client具有ReactAngular的功能。

    const clientParam = { uri: '/graphql' };
    const myAuth = this.props && this.props.auth;
    if (myAuth) {
      clientParam.request = async (operation) => {
        const token = await myAuth.getAccessToken();
        operation.setContext({ headers: { authorization: token ? `Bearer ${token}` : '' } });
      }
    }
    const client = new ApolloClient(clientParam);

    Angular配置安全的Apollo Client

    export function createApollo(httpLink: HttpLink, oktaAuth: OktaAuthService) {
      const http = httpLink.create({ uri });
      const auth = setContext((_, { headers }) => {
        return oktaAuth.getAccessToken().then(token => {
          return token ? { headers: { Authorization: `Bearer ${token}` } } : {};
        });
      });
      return {
        link: auth.concat(http),
        cache: new InMemoryCache()
      };
    }

    在服务器上,你可以使用任何用于保护REST API端点的安全来保护GraphQL。

    安全的RSocket端点

    RSocket是用于构建云原生和微服务应用程序的下一代的响应式的第5层应用程序通信协议。

    这是什么意思?这意味着RSocket具有内置的响应式语义,因此它可以与客户端可靠地通信。RSocket网站介绍,它可应用于 Java,JavaScript,Go, .NET, C++, 和Kotlin中。

    Spring Security 5.3.0完全支持RSocket应用程序

    要了解有关RSocket的更多信息,我建议阅读RSocket入门:Spring Boot Server

    4.使用身份令牌

    OAuth 2.0自2012年以来就提供了委托授权。2014年,OpenIDConnect在的OAuth 2.0之上添加了联合身份。它们共同提供了一个标准规范,你可以据此编写代码,并可以在 IdPs (Identity Providers) 中使用。

    该规范,还允许你通过向/userinfo端点发送访问令牌来查找用户的身份。你可以使用OIDC发现来查找此端点的URI,这提供了一种获取用户身份的标准方法。

     

    如果要在微服务之间进行通信,则可以使用OAuth 2.0的客户端凭据流来实现安全的服务器到服务器通信。在下图中,API Client是一台服务器,而API Server另一台服务器。

     

    授权服务器:多对一还是一对一?

    如果你使用OAuth 2.0保护服务安全,使用的还是授权服务器。典型的设置是多对一关系,在这种关系中,你有许多微服务与授权服务器通信。

    这种方法的优点:

    • 服务可以使用访问令牌与任何其他内部服务进行对话(因为它们都是连接到同一个授权服务器)
    • 有了一个可以查找所有范围和权限定义的地方
    • 开发人员和安全人员更易于管理
    • 交互更快

    缺点:

    • 如果一项服务的令牌遭到破坏,则所有服务都将面临风险
    • 安全边界模糊

    另一种更安全的替代方法是一对一方法,其中每个微服务都绑定到其自己的授权服务器。如果他们需要相互通信,则需要在信任之前进行注册。

     

    这种体系结构使你可以明确定义安全边界。但是,它比较慢,也难于管理。

    我的建议:使用多对一关系,直到你有计划和文档来支持一对一关系为止。

    在JWT上使用PASETO令牌

    在过去的几年中, JSON Web Tokens (JWT) 变得非常流行,但也遭到了抨击。主要是因为许多开发人员尝试使用JWT,来避免会话的服务器端存储。请参阅为什么不建议使用JWT

    我的同事Randall Degges和Brian Demers在PASETO( platform-agnostic security tokens)上写了一些有益的文章。

    长话短说:使用PASETO令牌并不像听起来那么容易。如果你想编写自己的安全性,则可以使用它。但是,如果你要使用知名的云提供商,则很可能它还不支持PASETO标准。

    5.加密和保护密钥

    当你开发与授权服务器或其他服务通信的微服务时,这些微服务可能会存储用于通信的密钥。这些密钥可能是API密钥,客户密钥或用于基本身份验证的凭据。

    要更安全地使用密钥,第一步是将其存储在环境变量中。但这只是开始,你应该尽力加密你的密钥。

    在Java世界中,我最熟悉HashiCorp VaultSpring Vault

    下图展示的是Amazon KMS是如何工作

     

    简而言之,它的工作方式是:

    • 使用KMS生成主密钥
    • 每次你想要加密数据时,你都要求AWS 为你生成一个新的数据密钥。
    • 然后,你可以使用数据密钥对数据进行加密
    • 然后,Amazon将使用主密钥对你的数据密钥进行加密
    • 然后,你将合并加密的数据密钥和加密的数据以创建加密的消息。该加密的消息是你的最终输出,你就可以将它存储在文件或数据库中。

    这样,你就无需担心保护密钥的安全性-密钥始终是唯一且安全的。你还可以使用Azure KeyVault来存储你的密钥。

    6.通过交付流水线验证安全性

    依赖关系和容器扫描,从源头保障了程序的安全,但是在执行CI(持续集成)和CD(持续部署)流水线时,还应该执行测试。

    Atlassian有篇文章,DevSecOps:将安全性注入CD流水线,建议使用安全性单元测试,静态分析安全性测试(SAST)和动态分析安全性测试(DAST)。

    你的代码交付流水线可以自动执行这些安全检查,但是可能会花费一些时间来设置。

    可以了解一种“ Continuous Hacking ”的软件交付方法,请参阅Zach Arnold和Austin Adams的这篇文章。他们建议以下内容:

    • 创建Docker基本镜像的白名单,以在构建时进行检查
    • 确保你正在拉取的基础镜像有加密签名
    • 对推送的镜像的元数据进行签名,以便稍后进行检查
    • 在你的容器中,请使用软件包完整的Linux发行版
    • 使用HTTPS拉取第三方依赖
    • 不允许在Dockerfile中,将敏感的主机路径指定为镜像中的存储卷

    但是代码呢?

    • 针对已知的代码级安全漏洞在代码库上运行静态代码分析
    • 运行自动的依赖检查程序,以确保你使用的是最新,最安全的依赖版本
    • 启动服务,将自动渗透机器人指向正在运行的容器,然后看看会发生什么

    有关代码扫描器,请参见OWASP的源代码分析工具

    7.降低攻击者的速度

    如果有人尝试使用数百个用户名/密码组合,攻击你的API,那么他们可能需要一段时间才能成功完成身份验证。如果你可以检测到此攻击并降低服务速度,则攻击者很可能会消失。

    你可以在代码中或API网关来实现速率限制。Okta提供了API速率限制和电子邮件速率限制以帮助降低服务攻击。

    8.使用Docker Rootless模式

    Docker 19.03引入了Rootless模式,此功能,允许用户以主机上的非root用户身份运行Docker守护进程(包括容器)。这样做的好处是,即使受到威胁,攻击者也将无法获得对主机的根访问权限。

    如果你正在生产中运行Docker守护程序,那么这绝对是你应该研究的东西。但是,如果你让Kubernetes运行Docker容器,你需要在PodSecurityPolicy中配置runAsUser。

    9.使用基于时间的安全性

    基于时间的安全性背后的思想是,你的系统永远不会完全安全。防止入侵者只是保护系统安全的一部分,异常检测和反应也是必不可少的。

    使用多因素身份验证可以减慢入侵者的速度,还可以帮助检测特权级别较高的人何时通过关键服务器进行身份验证。如果你拥有诸如域控制器之类的组件,来控制网络流量,那么用户只要登录成功,就会向你的网络管理员团队发送警报。

    这只是尝试检测异常,并对异常做出快速反应的一个示例。

    10.扫描Docker和Kubernetes配置中的漏洞

    Docker容器在微服务架构中非常受欢迎。Docker Image Security10个最佳实践建议:

    1. 优先选择基本镜像
    2. 使用USER指令,确保使用了最少特权
    3. 签名和验证镜像,以减少MITM攻击
    4. 查找,修复开源漏洞
    5. 不要将敏感信息泄漏到Docker镜像
    6. 使用固定标签实现不变性
    7. 使用COPY代替ADD
    8. 使用元数据标签,例如maintainer和securitytxt
    9. 使用多阶段构建来获取小而安全的镜像
    10. 使用像hadolint这样的 linter 检查工具

    11.了解云和集群安全性

    如果你正在管理集群和云,那么你可能已经知道4C的Cloud Native Security了

     

    仅在代码级别解决安全问题,几乎不可能防范云,容器和代码中的安全漏洞。但是,当你正确地处理这些问题时,就会为代码增加安全性,并将增强本已强大的基础设施。

    Kubernetes博客上有篇文章,标题为《防止攻击的11种方法》

    1. 随处使用TLS
    2. 启用具有最低权限的RBAC,禁用ABAC并使用审核日志记录
    3. 使用第三方身份验证程序(例如Google,GitHub或Okta)
    4. 分布式部署你的etcd群集,并为其提供防火墙
    5. 旋转加密密钥(Rotate Encryption Keys)
    6. 使用Linux安全功能和受限制的 PodSecurityPolicy
    7. 静态分析YAML
    8. 以非root用户身份运行容器
    9. 使用网络策略(以限制Pod之间的流量)
    10. 扫描镜像并运行IDS(入侵检测系统)
    11. 运行服务网格

    这篇文章虽然发布在2018年7月,但我认为,仍然适用于今天的云原生世界。

    总结

    这些安全模式,前面几点适用于开发人员。

    1. 通过设计确保安全
    2. 扫描依存关系
    3. 使用HTTPS
    4. 使用访问令牌
    5. 加密和保护密钥

    它们的其余部分似乎适用于DevOps人员,或更确切地说适用于DevSecOps。

    1. 使用交付流水线验证安全性
    2. 降低攻击者的速度
    3. 使用Docker Rootless模式
    4. 使用基于时间的安全性
    5. 扫描Docker和Kubernetes配置中的漏洞
    6. 了解云和集群的安全性

    所有这些模式都是重要的考虑因素,因此,组织应该确保开发人员和DevSecOps团队之间保持密切的关系。实际上,如果你选择了微服务架构,那么这些人就不会在单独的团队中!

    译文链接: https://dzone.com/articles/11-patterns-to-secure-microservice-architectures

    展开全文
  • 2020年中国网络安全产业白皮书分析解读

    千次阅读 多人点赞 2020-11-05 07:15:45
    2019年中国网络安全产业较2018年增长17.1%,这是信通院第六次发布中国网络安全产业研究成果,主要从全球网络安全产业规模和进展以及中国安全产业进展、生态建设以及以及前景展望等几个方面展开。在这篇文章中进行...

    在这里插入图片描述

    来源声明:本文诸多信息来源于中国信息通信研究院,相关版权归信通院所有,本文内容仅在此基础之上对于网络安全进行个人理解与分析。

    背景说明

    安全从来都是一个聚焦的话题,根据信通院的提供的数据,2019年中国网络安全产业较2018年增长17.1%,这是信通院第六次发布中国网络安全产业研究成果,主要从全球网络安全产业规模和进展以及中国安全产业进展、生态建设以及以及前景展望等几个方面展开。在这篇文章中进行解读。


    全球网络安全产业规模

    网络安全产业态势1: 受疫情影响整体增速放缓

    根据Gartner的报告,2019 年全球网络安全产业规模达到 1244.01 亿美元,预计 2020 年增长至 1278.27 亿美元。但从增速上看,2019年的增速为9.11%,为近7年最低。
    在这里插入图片描述
    根据信通院的测算,2019 年我国网络安全产业规模达到 1563.59 亿元,较 2018 年增长 17.1%,预计 2020 年产业规模约为 1702 亿元, 增速约为 8.85%。
    在这里插入图片描述

    解读:虽然国内在安全产业方面仍然持续高速增长,但是增速8.85也是近六年最低也是事实,考虑到这是信通院第六次发布类似内容,从增速方面来看,疫情确实照成了较大的影响。整体来说虽然影响较大,但安全产业仍呈现持续增长的态势。


    全球安全产业进展

    各国网络安全政策法规进展

    网络安全产业态势2: 美欧俄韩等各国政策与投入主要聚焦于如何保持新技术领域的领先地位。

    美国:政策投入持续,创新与成果接连

    • 投入:2020 年 2 月,美国白宫 2021 财年预算提案包括约 188 亿美元的网络安全经费。
    • 政策:先后发布《促进美国 5G 国际领导力法案》《促进美国无线领导力法案》《保障 5G 安全及其他法案》《5G 安全国家战略》等
    • 创新:先后形成《零信任架构》《对抗性机器学习的分类和术语》《基于域名解析系统的邮件安全实践指南》等阶段性研究成果,指导构建新一代网络安全防护体系
    • NIST:2020 年 3 月,NIST下属国家网络安全卓越中心(NCCoE)发布名为《供应链安全保障验证计算设备完整性》的报告,旨在协助企业和用户应对供应链安全风险

    欧盟:聚焦5G与人工智能,保持安全领跑地位

    • 政策:2019 年 10 月起,欧盟先后发布《欧盟 5G 网络安全风险评估》《5G 网络的威胁状况》《5G 网络的威胁状况》《5G 网络安全风险缓解措施工具箱》等系列文件和指南,持续推进 5G 安全风险评估,人工智能方面,欧盟发布《人工智能白皮书》。

    俄罗斯:政策法规强化本国网络安全

    • 政策:2019 年 11 月,俄罗斯《主权互联网法》正式生效,从域名自主、定期演练、平台管控、主动断网、技术统筹五方面捍卫“自主可控”国家网络主权,并在 12 月完成了外部“断网”测试演习。
    • 政策:在数据安全风险管理方面,2019 年 12 月, 俄罗斯实施第 405 号联邦法律,要求两年内禁止州和市政府购买外国供应商的数据存储系统,以确保国家关键 IT基础架构的安全

    韩国:聚焦5G与人工智能,提升至国家战略

    • 政策:2019 年11 月,韩国政府出台《国家网络安全基本规划》,以应对 5G 超级互联社会发展所面临的国家网络安全风险,增强民官军联合应对体系
    • 政策:2020 年 1 月,韩国科学与信息通信技术部发布了该国 2020 年推进 5G 发展的政策举措
    • 政策:人工智能方面,2020 年 1 月,韩国科技部公布 2020 年度工作计划,正式启动《人工智能国家战略》

    网络安全产业之市场分析

    网络安全产业态势3: 市场格局美欧亚三足鼎立,稳中有变,市场规模稳步上升

    • 北美地区(美国与加拿大为主):2019年网络安全市场规模为581.75亿美元
    • 西欧地区(英、德、芬兰为主):2019年网络安全市场规模为306.79亿美元
    • 亚太地区(中、日、澳兰为主):2019年网络安全市场规模为268.09亿美元

    在这里插入图片描述

    网络安全产业态势4: 网络安全服务需求不减,安全产品增速更快

    根据Gartner的数据,全球网络安全市场服务与产品各占半壁江山。
    在这里插入图片描述

    解读:安全领域对于服务的需求一直较多,2019 年全球网络安全服务市场规模为 619.22 亿美元,较 2018 年增长 6.30%,虽然比例下降,但是只是说明安全产品增速更快。但是多年的沉淀使得安全产品可用性越发强大,市场规模的快速扩大对于产品的引入也是一个较好的契机,目前阶段虽然占比发生了很快的变化,实际上是安全快速发展的过程中在企业中实际通过安全产品进行落地的体现。

    网络安全产业态势5: 安全咨询持续增长,安全托管服务规模渐成,主要供应商逐渐出现

    安全服务目前两大细分领域分别是安全托管服务(MSS)与安全咨询服务:

    • 安全托管服务(MSS):2019年市场规模达115.96亿美元,占此部分细分市场份额的18.73%,增速7.49%,市场规模最大的五家供应商分别为:IBM、AT&T、Atos、Secureworks和 DXC(前HPE与之合并),市场占有率分别达到了 4.8%、3.9%、3.8%、3.5%和 3.4%。
    • 安全咨询服务:2019年市场规模达228.52亿美元,2019年占此部分细分市场份额的36.9%,较2018年增长6.81%

    网络安全产业态势6: 安全产品市场需求较大,目前阶段仍处于早期防护阶段比如基础设施和身份识别等。

    2019 年全球网络安全产品市场规模达到 624.78 亿美元,较 2018 年增长 12.06%。市场份额最高的三类依次是基础设施保护、网络安全设备、身份管理。
    在这里插入图片描述

    网络安全产业态势7: 安全领域热度持续不减,融资数量与额度齐增。

    2019 年,全球网络安全融资活动为 419 起,较 2018 年的 402 起小幅提高 4.23%;交易额达到 89 亿美元,较 2018 年增长 39%。
    在这里插入图片描述

    中国安全产业政策

    安全政策与法规稳步推进

    网络安全产业态势8: 网络安全已成为为国内产业政策重点关注内容,政策法规持续快速发布。

    • 2019 年 12 月,网络安全等级保护 2.0 相关国家标准正式实施,为网络安全等级保护制度的落地提供了标准支撑。
    • 2020 年 1 月,《中华人民共和国密码法》正式施行,为我国商用密码技术和产业的发展开放平台。
    • 《个人信息保护法》《数据安全法》已纳入 2020 年立法计划, 将推动中国信息安全和数据保护进入全新阶段。
    • 2020 年以来, 工业和信息化部印发了《国家车联网产业标准体系建设指南(车辆智能管理)》《关于推动 5G 加快发展的通知》《关于推动工业互联网加快发展的通知》,以及国家标准化管理委员会等五部门联合发布的《国家新一代人工智能标准体系建设指南》等政策
    • 2019 年 9 月,国家网信办等四部门联合发布的《云计算服务安全评估办法》正式施行, 旨在降低党政机关、关键信息基础设施运营者采购使用云计算服务带来的网络安全风险
    • 2019 年 12 月,工业和信息化部发布《工业互联网企业网络安全分类分级指南(试行)》(征求意见稿),着力提升工业互联网安全保障能力和水平

    产品体系

    国内网络安全产品和服务已覆盖基础安全、基础技术、安全系统、安全服务等多个维度,网络安全产品体系日益完备, 产业活力日益增强。
    在这里插入图片描述
    经过多年发展,也逐渐形成了较为完善的产业链条
    在这里插入图片描述

    新冠疫情下的网络安全

    网络安全产业态势9: 新冠疫情对于网络安全产品的生产与网络安全服务都造成了较大影响,而且影响将会持续。

    来势汹汹的新冠疫情对全球产业造成了极大的影响:

    • 新冠疫情影响了网络安全产业供需格局,在产业供给方面,上游原材料、芯片厂商停工停产,物流运输不畅导致网络安全产品产能下降;同时现场安全服务无法开展,网络安全服务输出能力减弱。另外产业需求方面,制造业等客户受疫情影响较大,客户本身的经营困难也间接影响到安全市场,政府、电信、金融等领域延缓采购计划,也会影响市场。根据工信部软件业经济运行情况监测数据,上半年信息安全产品和服务共实现收入 520 亿元,同比下降 2.6%(上年同期为同比增长 10.8%)。
    • 受到人员聚集管控影响,技术交流也受到受限。2020 年 2 月,仅七家中国企业参展RSAC2020。这些都是新冠带来的不确定性。

    网络安全产业态势9: 政策支持,企业危中求变,整体增长态势不变。

    • 政策持续加码,助推产业回暖。疫情爆发后,中央和地方密集出台 800 项政策,围绕为企业减负、加大金融支持、增加财税补贴、优化政府服务等方面,推动企业发展。疫后政策加码新基建,更为产业发展带来新机遇。
    • 安全服务从线下转向线上,服务模式转型有利于降低成本。受疫情防控影响,远程安全服务业务逐渐增多,如远程安全运维、远程安全测评等,一定程度上也降低了安全企业及其客户的成本。
    • 云化、远程化等需求激增,为产业带来商机。随着云化、远程化办公的增长,疫情防控支撑系统、在线教育、远程办公、远程会议等系统和应用大规模推出,网络安全产品和解决方案需求相应增加,智能化、远程化的安全运维需求也逐步提升。

    网络安全产业的前景与展望

    示范性工程带来的机遇

    国家网络安全产业园区与国家安全产业示范园不断展开,比如合肥高新区整积极谋划建设“中国安全谷”,力争到 2025 年,网络安全总产业规模达到 1500 亿元。另外株洲高新技术产业开发区、长三角安全产业园等也已经形成规模和影响。

    安全问题带来的挑战与机遇

    以疫情访问为例,疫情防控期间个人信息收集与利用问题也显现了出来。疫情防控期间,公共服务行业、运输业以及居民小区等开展的人员信息登记,各类 APP记录的人员导航定位数据、支付数据,在支撑有关部门精准施策发挥了重大作用,但同时授权不清晰、使用不透明、过度及重复采集等数据安全问题也比较突出。据中国信通院统计,涉疫情个人信息遭泄露事件占疫情期间数据安全事件总数的 70%左右。目前《数据安全法》和《个人信息保护法》立法工作在稳步推进,如何平衡数据利用和数据安全的关系问题备受关注,这是一个全球各国普遍碰到的问题,中国的数据规模等级远超其他各国,安全挑战自然更加严重。
    另外,远程协作等场景也进一步催生身份认证、访问控制的安全需求。随着远程办公模式日益普及,IT 边界模糊化的相关安全需求,成为企业升级网络安全防护体系的动力,或将为零信任框架等新型网络安全架构带来更多市场空间。

    安全人才的需求

    根据2019 年(ISC)网络安全劳动力研究报告显示,网络安全人才缺口仍在扩大。全球方面网络安全人才缺口 127 万,需在现有 280 万的基础上增加 45%,才能够满足日益增长的网络安全专业人员需求。

    总结

    安全需求持续增长,人才需求旺盛,安全问题挑战巨大,新冠疫情的影响可能持续存在,安全企业正在危机和变化中需求更好的机遇。

    展开全文
  • 教育系统内技术服务的常规方式

    千次阅读 2007-11-20 14:13:00
    首先,我想先从下面几个方面介绍这个教育系统的大致情况。 地理和城市情况:这个城市位于一条河上,方圆722平方公里,地势多丘陵,道路没有中国平原城市的平坦。人口有100万多一点,交通上主要有从西北经市中心到...

            我还是先介绍我们这里的情况。

            我们这个教育局在北美的教育系统中,在计算机应用和管理方面,是比较先进的一个之一。首先,我想先从下面几个方面介绍这个教育系统的大致情况。

    1. 地理和城市情况:这个城市位于一条河上,方圆722平方公里,地势多丘陵,道路没有中国平原城市的平坦。人口有100万多一点,交通上主要有从西北经市中心到南方和从市中心到东北的一条轻轨贯穿,城市的规划是要开发另外的从市中心到西面和北面的两条新轻轨,但是估计等完成要20年左右。主要道路有:一条横贯东西的限速在50-80Km/h的加拿大一号公路,一条贯穿从北到东南的限速100-110Km/h的高速公路,一条市中心到南边的主要公路,一条西北到市中心,另外一条东西贯穿的主路,组成了城市的交通系统,现在正在施工的是围绕全市的一条环线,该环线在城市的边上。PC Windows XP
    2. 教育概况:大概有10万学生,和1万多名教职员工(包括教师、支持员工和管理人员),220多所学校,包括所有公立的从小学1年级到高中的所有学校。2007-2008年的教育经费是9亿加元。从管理上说,把学校根据地理位置,分为了5个区,每个区有管理用的办公地点,这样便于管理。学校提供住址离学校远的学生校车服务,距离规定根据年级不同而不同,当然乘坐校车要缴费,因为校车司机比较紧张,所以校车很紧张。一般来说,无论大小藏书多少,每个学校都有自己的图书馆。
    3. 学校的计算机配备:这里有一个电脑配备的指标就是1:1, 3:1和6:1,也就是说,每个学校管理人员人手一台,每3个老师配置一台电脑,和每6个学生配置1台电脑的统一比例,但是由于教育局经费和每个学校的经费分配问题,这个目标在一些学校可以被满足甚至是超标,另外的一些学校则是达不到这个比例。现在在一些高中学校正在试行教师1:1的计划,这样每个老师也有一台电脑使用,而这次下发的都是笔记本电脑,便于移动,而且在技术支持上也是采取快速简洁的方式来处理,以防给正常的维护工作带来不便。学校设备的购买,都是由教育局的IT部门审核通过的机型,在统一的部门购买。
    4. 计算机和网络的管理:在教育局内,所有的计算机和网络设备由内部的IT部门管理,从标准的制定、修改、审核,设备的购买、部署和回收,系统的安装、调试、维护等工作,绝大多数工作由IT部门管辖,当然有一些工作是和本地的主要设备供货商有供货、安装以及硬件维护协议的,比如打印机和复印机是HP的代理商,PC机是一个兼容厂商的,PC笔记本选择了Acer的,Mac机都是由WestWorld来处理,交换机是Notel的,路由器当然是Cisco的,无限接入是另外一家的等等。硬件的修理更换都由这些公司来提供。Apple OSX
      当初在审核和实施无线网络的时候,经过了很长一段时间,一是因为无线网络的天生不安全的因素,加上当初WEP可以被轻易破解,等是主要原因,再者就是部署策略的筹划,比如,每个学校的设备接入,是否都使用相同的密钥,怎么管理准入的设备和实用什么技术来保证实施的可行等,在实施前都要考虑。无线网络在我们这里部署实施的这1年当中,给学校带来了不少的方便,比如可以组成笔记本的临时计算机教室,当然也给IT部门带来了不少工作量。
    5. 网络基础设施:每个学校的内部网络,现在都升级到了Gb的交换机,经过省立的供教育、卫生系统、政府机构等部门的高速网络连接到教育局IT中心的网络,再由IT中心经由本地电信的Internet出口,连接到Internet.。在无线网络上,使用802.11g网络,有的学校还在使用802.11b网络设备。
    6. 计算机硬件:一般来说,小学应用Mac机比较多,到初中和高中Apple机就比较少了,多数是PC机;学校管理人员都使用PC机,因为有多个软件使用PC平台。学校使用的Server有的是Mac Server,多数是PC Server. 而教育局核心是使用Windows的AD来管理的,这就决定了Windows在IT部门的核心地位,其实使用Windows主要是AD的应用起到了关键的作用,AD也是这里好多企业采用Windows企业管理平台的主要原因,可以说,有了AD, WIndows就从工作组级别的操作系统升级到了企业级的操作系统,当然了Windows的其它企业系统也起到了关键作用。而对于Mac系统,目前来说,OSX Server由于缺少对企业级的应用的支持--无论是硬件还是软件系统,只适合于工作组级的应用(有关Mac系统的企业应用探讨,我想另起一个篇幅讨论),OSX Server已经可以和Windows的AD集成,但是,目前集成之后,出现了好多用户登陆系统奇慢的问题,我也看到好多关于OSX Server和AD集成出现各种问题的报道。
      学校主要以台式机为主。由于从去年苹果开始采用Intel的CPU以来,有好多学校开始采购Apple的笔记本作为自己的首选,这是一个最新的变化。当然,对于纯PC的学校来说,不会改变初衷,但是好多混用的学校更偏向于购买Mac设备了。Apple机很明显的一个优势是,它既可以运行Mac系统,也可以安装Windows XP. 当被别人问及原因的时候,最常用的回答就是"Why not"了。
    7. 教育局IT部门的基本组成:其中最庞大的部分就是学校技术支持和Help Desk了,还有管理网络和安全的部门,专门对于内部和非学校部分的支持部门,还有设备回收部门,以及信息服务等部门。这可能和好多企业不太一样,原因很简单,教育局的IT部门的最主要的任务是,为第一线的教育服务,为学生的学习服务,为教师的日常教育服务,再一个就是为教育管理服务。而软件的开发只有一小部分,而且这些开发人员都分散在不同的部门,为各个部门的要求做一些实用的小型软件,大型或企业级的软件不是外包就是购买。

            上面对于教育局的IT部门作了初步的介绍。在信息技术日益重要的当今,如何为自己的企业或者教育部门提供最好的、可接受的、安全的和最低费用的服务,是很值得探讨的一个问题。下面我想通过介绍Help Desk和学校支持的主要功能和运作方式,来说明一种可能的运作方式。Help Desk

            Help Desk: 理论上说,他是所有的用户和技术支持的交互窗口,所有的问题通过各种通讯方式,比如电话、email等,把用户和技术支持联系起来。

            学校支持人员:他们分现场和后援两部分,现场人员每天根据自己的时间表,去预先分配给自己的学校,现场解决该学校的问题。因为这部分人员是学校经常接触的,所以比较信任他们,无论是抱怨还是赞许,都会和他们闲聊说起。而在学校里,一般都有一个比较精通电脑或者愿意负责电脑的一个老师,负责起老师和技术人员的沟通桥梁作用,他一般也有着比较高的权限,根据自己的能力和时间,解决部分的现场问题,他的主要任务是,记录所有老师的问题,通告学校有关技术的最新进展等。这个老师,在好多学校有校长助理兼任,有的校长自己来担任,也可能是一个老师。而对于比较大的学校,一般来说会有一个常驻的技术人员在这个学校,而就没有必要再有一个这样的老师了。而后援人员则是随时待命,或者执行时期比较长的现场任务,或者作为应急机动,或者是特殊的任务。

            这些人是如何互相交流沟通的呢,我想通过一个例子说明。比如说,一个老师遇到了一个问题,她可以采取两种方式得到问题的解决,询问学校的技术教师,反映自己的要求,如果该老师可以帮助她最好,但是因为一般来说,没有时间和经验来做,所以会等待技术人员下一次访问的时候解决;另外一个选择就是询问Help Desk以得到快速的帮助,有些时候,Help Desk可以很容易的给与帮助解决问题,但是有好多时候并不那么简单,这样Help Desk根据问题的种类,把这个问题分发到相关部门来现场或者远程遥控解决。一般的原则是,有关桌面的Problem!应用问题,让学校的技术支持人员现场解决;如果是关于服务器的,由服务器管理员组负责;如果是网络问题,由网络安全部门负责;如果是企业内部软件问题,则是内部支持部门。如果是紧急情况,则是由后援人员立即现场解决。不难看出,Help Desk起到了关键的作用,他既可以解决问题,也要转发无法解决的问题,从而让问题得以解决。而这其中有一个关键的技术问题,就是分发、跟踪、报告问题的发生、分转、解决、统计的全过程的软件系统。通过这个软件,各个部门彼此之间建立有机的联系,来为一线工作提供技术保障。

            Help Desk作为技术服务的门户,有着重要的作用,要想发挥这个作用,这个部门的人员组织和培训就尤其的重要。而建立一个知识系统是一个有效的方法,这个知识系统,一方面集中一线人员的经验,一方面集中系统人员的操作使用说明,还有就是流程性质的说明,而目前来说一个分级管理的Wiki系统是一个比较好的管理知识系统的方式。有了这个知识系统,Help Desk人员就可以在尽量少的培训下得以提供最快的服务。人员的培训之所以重要,因为,在实际工作中,Help Desk是工作比较枯燥、收入较低、很容易遭到埋怨的工作,所以人员流动比较大,这也是上面说的人员组织的一方面问题。

            上面所说的Help Desk的工作,其实是目前典型的老的工作方式,也就是通过电话和email的交流。而用online forum也是一种方式,还有就是online的Knowledg Base系统,也是一种方式。

            使用什么方法来给自己的企业或者教育系统提供可接受的、安全的和实用的技术支持,以及那种方式适合自己,一方面要考虑技术支持在内部的重要性,既要考虑实时要求,也不要过多使用技术资源;一方面要考虑要达到的效果,还要考虑有多少资金可供持续使用。而上面提供的是其中一种典型的方式,在这种典型方式的后面还有好多用于支持的技术和软件系统支持它的运作,这样这个方式才能得以顺利的实现。

            抛砖引玉,希望大家交流。

    展开全文
  • 和上次采访赵海平时不同,图书馆里出人意料的热闹,但在这有点嘈杂的环境下,见到陈树华后我瞬间平静了下来,因为我知道面前这位看起来不起眼,但言谈举止很沉稳的人值得深挖。陈树华是阿里巴巴移动安全部负责人,...

    在杭州阿里巴巴西溪园区的图书馆里,我见到了陈树华。和上次采访赵海平时不同,图书馆里出人意料的热闹,但在这个有点嘈杂的环境下,见到陈树华后我瞬间平静了下来,因为我知道面前这位看起来不起眼,但言谈举止很沉稳的人值得深挖。

    陈树华是阿里巴巴移动安全部负责人,阿里聚安全、阿里钱盾等产品创始人,移动互联网安全体系建设开拓者,也是国内最早的一批移动安全专家。10年前,他加入趋势科技,发现了诸多系统安全漏洞,并主导了业界第一代Android平台自动化病毒分析系统、第一代Android沙箱系统、国内第一版Mac OS杀毒引擎等研发项目。2012年加入腾讯,任职腾讯T4级安全技术专家,建设并完善了手机管家的杀毒引擎、分析系统及漏洞处理机制。2014年加入阿里巴巴安全部负责组建移动安全团队,以行业内革命性的速度完成了面向个人和面向企业两个方向的移动安全产品体系搭建。

    陈树华

    阿里巴巴移动安全部负责人 陈树华

    “这是行中(陈树华的花名)和移动安全部门第一次公开接受采访。”阿里的朋友事前这么介绍。之前还担心陈树华不太善于表达,但事实证明担心是多余的,采访进行得非常顺利,表达清晰、小幽默、平易近人以及技术人那种特有的书生气质,是我对这位阿里移动安全部门老大的印象。

    “任何一个创新,一定是创新者反复思考、不断锤炼,最后才能有创新。”“内部培养三个明星,对团队的贡献,一定是远远大于引进一个明星。”“培训机构培养的小黑客,一定程度上误导了大家对安全的认识,以为安全只有攻防”“安全的最高境界是无感知。”……两个多小时的专访中,陈树华聊了个人发展历程、开发项目的往事、阿里移动安全部门、技术管理心得以及对当下移动安全现状的看法。

    和《三体》作者刘慈欣同一个专业

    陈树华毕业于东南大学电气工程系,这是和《三体》作者刘慈欣一样的专业,毕业之后,一般都会被分配到电厂、供电局或者国家电网这样的铁饭碗单位。原本应该在强电、配网领域发挥才能的陈树华,为什么最终会“跑”到计算机安全领域?在笔者看来,是兴趣、爱钻研以及他开明的父母使然。

    高一下学期开始学Basic,这是陈树华第一次接触当时还被叫作“微机”的电脑,他觉得这东西很神奇——“太有意思了!”但是每次上机都要排队,过程太过于煎熬,他渴望有一台属于自己的电脑。而在那个寒假,陈树华便拥有了一台微机。这台微机是5000元,在当时(1994年)这样的价格可以买好几平方的房子,“但在我父亲眼中,这东西未来肯定会流行,并且会发挥重要作用。”陈树华透露。海阔凭鱼跃,天高任鸟飞,在那段时间,陈树华还写了一个小游戏,不过由于高考的原因,后来便没接触。但正是源于他父亲的先见之明,“计算机”开始在这位对世界充满求知欲的少年心中埋下了种子。

    大学毕业之后,陈树华并没有选择去国网这种铁饭碗企业,而是选择去了中兴通讯。在那里,他开始深度接触到Linux:先是通读Linux源代码,接着慢慢切入到整个Linux内核;由于对系统非常清楚,陈树华同时也开始尝试着将Linux运用到程控交换机上。

    完全钻研系统底层,对于他人可能显得比较枯燥、也很艰难,但对这位爱钻研的年轻人而言,那是如鱼得水。当时的同事说:“经常看到陈树华抱着一本很厚的书慢慢看,像一些大型操作系统源码,都能看完。”

    移动安全之路:每一步都能赶上 诺基亚对他开放源码

    带着对系统底层的兴趣和执着,陈树华后来去了趋势科技,在那里他正式踏上移动安全之路。

    移动端当时流行的操作系统是Windows CE和诺基亚的塞班,一开始很好做,但后来陈树华就头大了。因为移动端系统越来越多,光一个诺基亚就出来若干个操作系统,每出一个系统他都要通读一遍。

    “而且这些都没有源码。”陈树华说,这是最具挑战性的地方,不仅需要将代码还原出来,而且每个月都要评估一个操作系统——能不能做?能做就要给安全解决方案。这种非常具有挑战性的工作,激发了陈树华的斗志,他全力以赴进行研究,而这也练就了他特殊的本领——看操作系统源码的时间,比谁都快。似乎正是这种本领,让趋势科技当时在国内独领风骚——第一个做Android安全、开发出第一代Android沙箱系统、第一个做Mac OS杀毒引擎。

    尽管没有诺基亚塞班系统的源码,但后来陈树华也能凭着感觉,知道在哪深挖。虽然很吃力,但诺基亚每出一个系统,他们都能紧随其后推出安全解决方案。诺基亚看他们每次都能跟得上,于是签了保密协议,将源码“开放”给他们,趋势科技因此也成了为数不多能拿到近似完整代码的公司之一。

    对于源码的开放,陈树华还特别解释了下,“最核心的代码,还是需要我们去诺基亚公司。他们会把我们关在一个屋子里,在那里只能读,不能做任何笔记,读完就回去。”

    “这么多年,终于看到一个国内的兄弟了”

    回顾主导开发业界第一代Android平台自动化病毒分析系统、第一代Android沙箱系统、国内第一版Mac OS杀毒引擎等研发项目时,陈树华还提到了一些有趣的细节。

    开发Mac OS杀毒引擎时,由于苹果的系统不开源,因此进行一些研究就显得很困难。做Mac OS内核驱动时,国内没有人能问,甚至能看的书也不多,国外也不知道找谁请教,陈树华只好用自己的名字在苹果社区提问。突然有一天,社区里的一个哥们高兴坏了,其原因不是陈树华的问题给了他什么灵感,而是这么多年终于看到一个中国人,一个来自国内的兄弟。陈树华解释说:“在当时,国内苹果电脑还没流行起来,开发者很少,而且大多是在应用层上做开发。”

    尽管那位高兴坏了的朋友最终并没有解决陈树华的问题,但通过各种曲折、摸索,他们还是慢慢的把Mac OS杀毒引擎做了起来,成为国内第一个Mac OS杀毒软件。

    Mac OS开发过程尽管很艰难,但对于这位国内最早一批的移动安全专家而言,最难的并不是Mac OS,而是iOS。“iOS比Mac OS还封闭。”陈树华指出,Mac OS的Mach和BSD体系还对外开放,但iOS就完全封闭,你只能一点一点地去做研究。

    从腾讯到阿里,是因为这里有做真正安全的土壤

    2012年,陈树华加入腾讯,在腾讯任职T4级别的安全技术专家,建设并完善了手机管家的杀毒引擎、分析系统和漏洞处理机制。

    在腾讯的那两年,陈树华坦言,最大的收获来自产品思维和文化。陈树华之前一直在传统的IT企业,对互联网的玩法了解不多。但在腾讯,陈树华学会了如何做产品、如何经营用户、以及如何去挖掘需求……

    对产品上的认知、用户的认识,这种和技术本身无关的东西,给陈树华带来的帮助甚大。在内功原本深厚的前提下, “招式”上的进步,将陈树华带到另外一个更高的境界,仿如打通任督二脉一般。

    2014年,陈树华选择离开腾讯,来到阿里。对于为什么离开腾讯,他表示阿里有做真正安全产品的好土壤。

    陈树华坦言,在腾讯的工作很愉快,“一个是手机管家用户量已经上来,另外一个是安全体系也基本建设好了。”他选择离开更多的是专业角度的考虑。腾讯擅长打造C端的用户产品,而阿里长于做平台和生态。陈树华认为,阿里存在着做真正安全体系的好土壤,能够把安全和业务深度融合,捍卫用户的价值。

    一个人撑起所有,阿里移动安全的艰难起步

    陈树华进入阿里的时间是2014年1月份,那个时候阿里移动安全团队一共就不到10个人。这些人是从各个部门抽调过来,其中只有两个人具有移动安全背景。

    这对陈树华而言,是一个莫大的挑战。这种挑战和困难存在于两方面:一个是,人员缺口非常大,要想方设法招人,而且招来就要能做事;另外一个是他要在短时间内做出成果,因为大家的期望都很大。

    为了解决人员上的挑战,陈树华每周都要到处飞。有一次赛门铁克裁员,“当时高兴坏了,兴冲冲地跑过去。”但结果不理想,没有找到合适的人才。“的确是裁员,但裁下来的优秀员工都直接给了去美国的机会。”现在说起这事,陈树华也觉得没抢到人才是个遗憾。笔者当天在图书馆洗手间都看到了阿里安全内部招聘的海报,他们招人的努力可见一斑。

    一边招人,一边打磨产品。2014年的上半年,几乎每个月都会有人问“事情顺利吗?”,虽然明知道是关心,但也带来无形的压力。陈树华没有急着和大家说明进展,“你不可能只拿一个PPT和别人沟通思路,当务之急是拿出成型的产品。

    6月底的时候,阿里移动安全的三个项目:漏洞扫描、保镖、杀毒引擎对内发布,奠定了阿里移动安全的基本方向。

    阿里钱盾和聚安全的成功得益于:团队、放手和创业心态

    在这三个项目中,最让陈树华自豪的是杀毒引擎。因为正常的一款杀毒引擎没有两三年的积累很难出来,而他们的只用了不到半年就完成研发——创下了行业记录。对于杀毒引擎的能力,陈树华介绍说,“在2014年9月份AV-TEST国际测试中,我们拿了满分,跟360、安天持平。”陈树华还介绍,和其他安全厂商相比,阿里移动安全的杀毒引擎更加专注于电商和支付安全,比如发现和拦截针对支付宝、淘宝的各种风险,以及识别仿冒App等。

    后来,他们又在三个项目的基础上继续完善,在2014年10月底正式对外推出了面向企业用户的整合方案阿里聚安全,和面向个人用户的手机安全防护产品阿里业务钱盾。目前,阿里移动安全产品已经覆盖近4亿终端。

    这么短的时间就打造出两款成功的安全产品,主要是得益于哪些因素?

    “第一个是团队,这群人非常能吃苦,有创造力,这是能够一炮打响的最核心因素。”陈树华首先肯定到;其次,是整个阿里的高管非常智慧,给了足够的耐心——我不懂,你比我懂,那我就不应该插手。“如果你不懂,但插手了,这件事可能真的会黄掉。”他说,“过程中间大家虽有不断的疑问,但没有人插手业务。”这在整个过程中贯彻的很好。

    这也跟产品一开始确定的策略有关:在所有产品上,内部和外部都一致,服务好阿里巴巴的同时,也要服务好整个生态。把阿里巴巴当作一个重要客户而不是唯一的客户来服务,正是这种创业者心态激发了团队为了实现自己的梦想,而更加拼搏。

    和陈树华共事多年的资深安全专家丁健生则认为,陈树华的人脉和领导组织能力是其中最关键的因素。“依靠他的人脉,移动安全部门在一年里就拉起一百多人能打‘硬仗’、有产出的队伍。他也很有领导力,该发狠的地方发狠,该放手的地方放手。做事给方向后,过程基本不干预,方向苗头、形势不对时,又会帮一下。”

    技术团队管理上:不想引进太多牛人,更多想培养自己的明星

    一个团队要想能征善战,做出成绩,除了需要领导做出正确决策之外,也需要优秀的团队成员配合和良好的内部氛围,那么陈树华在人员招聘、内部培养机制以及团队技术上是怎么做的?

    “你要说好,我也不知道有多好。”在回答这个问题时,陈树华有点谦虚。但又很快给出他们的做法,“我们欢迎业界的牛人,但更希望培养自己的明星。如果能在内部培养出三个‘明星’,对团队的贡献一定是远远大于引进一个‘明星’。”

    陈树华说,当然招“星”计划也一直在做,但更多地努力是通过各种途径培养“本土明星”。具体做法,一个是通过各个点进行磨炼,另外个是做背景知识的大量补充。

    各个点进行磨炼,就是让团队成员在不同领域切入。“对于每个切入领域,我们又有要求——必须在那个行业里进入前三名。”他强调,这非常关键,“因为只有切入不同领域,才能保证我们每一个人都有巨大的成长机会。”另外一个,是通过各种沙龙、内部定期的技术分享、安全峰会等为团队补充养分。此外,陈树华也鼓励大家走出去,因为技术只有不断探讨才能进步,而且跟踪行业发展情况,也能反馈给整个团队。

    “我们做的事很多都具有挑战性,走在行业前面。”陈树华认为,从某种程度上来说,这是最大的一个培养机制,“我们会把行业里非常多的方向放进来,只要你想去做,随时都可以做,并得到完全的支持。”

    在团队技术文化上,陈树华提倡四点:吃苦耐劳的精神、追求极致的产品观、认同感和团队合作。

    “没有谁一定比谁聪明,凭什么你能做出来,别人就做不出来?”因此,陈树华一开始就跟团队强调,“我们不拿出比别人更吃苦耐劳的精神,就无法赶上别人,赶上了也不可能领先太久。”所以他一直在打造彪悍的团队文化。

    打造彪悍的团队有两点:极致的产品观和认同感。“这是从腾讯带过来的。对产品一定要精益求精,一件事不能做两遍,因为它是对时间最大的浪费。”陈树华对产品上这么要求。在认同感上,他延伸出两个要素:激情和执行能力。“如果对于要做的事不认可,或者说内心没有非常强烈的认可,你没有动力坚持。”

    陈树华认为创新非常重要,而创新则需要认可和激情做基础:“任何一个创新,一定是创新者反复思考、不断锤炼,最后才能有创新。”阿里移动安全开始阶段,也是通过激情不断突破,他说。光有认同还不行,陈树华还强调执行能力,任何一件事,在规定的时间内必须要一次完成,这个没有任何妥协的地方。这位花名取自于易经,意为中间态、调和态做事的行中称:“定目标的时候你可以商量,但是定下来之后,没有任何商量余地。”

    最后是团队精神,一定是团队作战,而不是个体。“在个人能力上你可能是明星,但是不依靠团队绝对成不了事清。任何一个好产品一定不是一个人做出来的。”

    至于团队的新鲜血液补充上,他们看重三个要素:对行业的热爱、学习能力和正确的价值观。尤其是正确的价值观,因为今天的阿里安全人员掌握了公司命脉——所有的业务数据。陈树华称,“面试人的从业经验、背景等都不重要。学历也没有必然的关系,哪怕是高中生,只要上面三要素符合,我们也要。”

    “那吸引人才加入,你们有什么特别好的方法?”

    “特别好的方法没有,其实吸引人才更多的是靠你要做的事情。薪水什么的,BAT等大公司都给得起,所以绝对不是吸引人才的主要原因。”对于安全从业人员来说,使命感和成就感似乎是吸引人才非常重要的因素。

    安全就是业务

    对于很多企业来说,安全可有可无,但是对于阿里而言,集团的共识是:安全就是业务。

    “阿里的业务需要安全贴身护航,”陈树华举例说明,“比如包裹险,这个保险没有进行风险防护之前亏损,但进行保护之后不再亏损,最重要的是,打击了靠炒空包裹赚钱的那群人。”

    有些企业可能还觉得安全只是附属品,要先考虑业务生存才有资格考虑安全,但实际上现在如果不从一开始就把安全融入业务,很有可能直接影响生存。“你总以为安全的事儿等长大了再做也来得及,实际是没有安全体系,你很可能等不到长大那一天,”陈树华举了一个很有说服力的例子,“比如说某行业排名靠前的旅游产品App,他们做活动从来不敢超过24小时,原因就是怕黑产来把红包全刷走。”如果它有了全面的安全策略,业务运营完全不需要做这样的妥协。”

    在一切高速互联发展的今天,整个业务形态都发生了大变化,安全已经从传统的安全向业务安全转变。过去的安全——数据中心安全等仍然存在,但业务安全却到了非常重要的地位,“从个人认知角度来看,不论是市场规模,还是问题的严重性,都远远超过传统的企业安全。因为黑灰产的本质是逐利的,围绕业务下手的非法获利更大,所以挑战也更严峻。”

    虽然安全如此必要,但对于一些公司,养一支专业齐全建制完备的安全团队的确有些奢侈。“阿里有全面的安全能力,而且我们的能力都是多年实战出来的。安全无法独善其身,需要全社会共同提高防范,所以我们通过易用的安全产品把这种能力分享出去。”陈树华道出为什么推出阿里聚安全的原因。

    阿里聚安全是阿里安全所有能力的输出口,是我们通过多年互联网安全的经验积累。我们发现传统企业安全是以系统为中心的方案,通过保护企业的各类物理或者逻辑的系统,来保障企业的信息安全。但在互联网时代,企业安全的需求有了较大的改变,面对开放的边界,海量的账号,无法控制的外部终端,传统安全已经无法满足。

    阿里聚安全是针对传统安全无法防护的互联网风险推出的一整套安全解决方案,包括以保护企业App为基础的移动安全服务,以实人认证为代表的下一代认证服务,针对违规星系的内容识别服务,以及互联网业务风险的检测与控制服务。它拥有一整套的安全流程规范,涵盖设计、开发、测试、发布、上线、运营等互联网业务的各个流程中,对于安全需求较小的互联网业务,可以直接使用成熟的产品;对于安全特别关注的企业,例如说金融行业,也提供了全程的安全咨询服务。

    在设计阶段,阿里聚安全可以从App以及业务等多个纬度提供指导,例如整个通讯协议的选择、业务逻辑的关系等;到了代码开发阶段,会提供安全编码规范指导,成熟的各种安全控件以及各类业务安全的调用接口供开发者使用;在上线前,进行自动扫描或者人工审计,发现潜在的问题。上线后不是结束,而是一个开始,企业可以监控APP是否被恶意攻击、破解或者仿冒,可以监控垃圾注册、活动作弊、账号盗用等各类业务风险,可以监控用户提交的内容是否违规,也可以通过实人认证提升用户可信度。总之互联网业务中常见的各类问题,都能够在聚安全找到解决方案。

    移动安全的机会不在小公司,而在腾讯、阿里这样的公司

    在移动安全To B领域有很多公司,比如说爱加密、梆梆、同盾、通付盾…,大公司则有腾讯、360、百度。对于这些技术解决方案,陈树华有什么看法?

    他认为,尽管有一些小公司也提供移动安全解决方案,但像聚安全这种主流的技术解决方案只此一家。不论是百度、360,还是腾讯,他们很大的一部分收入都是来自终端,移动安全发展滞后严重。腾讯也只是刚提出一个云安全概念;而360没有真正的移动互联网产业在手上,它暂时还看不清楚,所以360重点还是在企业内部安全。

    陈树华很诚恳也很担忧地说:“行业里到现在没有更好的方案出来,这是可怕的一件事情。我们希望行业有成长,但就今天来看,移动业务已经远远超前于当下的安全,移动轻量化已经非常明显。”“这不是说有360手机卫士、腾讯手机管家,就能解决问题的,这只是泛安全。”陈树华觉得,这只能解决一部分问题,解决不了深层次的问题。

    陈树华还指出移动安全一定是基于对业务的理解非常清楚的情况下,才能做出好产品。因此像传统的安全公司赛门铁克、趋势科技等无法进入这个产业,“连互联网化都没达到的一个公司,很难理解移动互联网业务。”

    传统安全公司转型存在巨大难度,小公司实力又不足以承担这样的角色,“小公司估值会有10倍20倍成长,但是跟行业发展相比,速度太慢。”所以移动安全只能由腾讯、阿里这样的先行者把这件事承担起来。

    移动安全上的挑战:掌握在坏人手中的手机、IoT繁荣是安全“灾难”

    谈到当下移动安全最难以解决的问题,陈树华认为有两点:掌握在坏人手中的手机以及IoT。

    有些手机不可控,特别是黑产手上的手机。“他们不仅仅是有几部手机,而是一排墙上全部挂满手机。不是一个人做事,而是一个团队,还形成了一个产业。他们甚至连硬件、Rom都可以定制,上面的App自己能篡改……”在黑灰产几乎能定制所有环节的现状下,陈树华表示:“要知道他在干坏事,还要能防住他,这是一个非常大的挑战。”

    陈树华还忧心忡忡地说,移动安全面临的更大的挑战是IoT繁荣起来之后,一切更加不可控。“Apple Watch可以支付,但SmartWatch上那么多东西,那么多途径,都要去防,这对安全团队是个挑战。”这种挑战一个是知识储备,一个人能懂多少,不可能所有方面都很牛逼,总有一个瓶颈。另外一个是未来IoT那么多设备,究竟要成立多大的团队才能尽在掌握?“这是另外一个维度的挑战,我们的体系越来越庞大。”

    那如何解决这些挑战?陈树华表示,他们的做法一个是提前在人员上补强,另外一个是能力和意识上进行加强,但这还远远不够。他称,“仅凭阿里显然不足以解决所有问题,我们只是一个安全能力输出,还需要所有安全人朝一个方向努力。”以一个无序的状态去做效果并不大,所以陈树华的团队也在做标准化的工作,“通过推动一些标准,建立起更规范的动作,让大家一起去朝好的方向努力,这样才有希望。”否则,很难解决当下的挑战。

    中国安全行业现状:培训机构的那群“小黑客”坏了很多事儿

    采访中,陈树华还提到一事——对去年移动安全挑战赛的结果比较失望。这是一个旨在让大家认识阿里的安全技术,同时也促进行业成长而举办的赛事。比赛除出了五道题,冠军参赛团队也只做出两道,

    “为了能把奖发出去,我们放宽了要求,只要参赛队伍给出解题思路就算通过,在这种情况下,冠军也才做出了两题。”这让陈树华非常失望,黑灰产越来越猖獗,但移动安全行业的从业人员素质没成长。这位颇有危机感的移动安全行业领军人物认为,如果站在国家层面,我们国家的移动安全领域在今天仍然落后。

    他也思考,认为主要是培养机制的问题。具体体现在,一个是高校里面,从事安全方向的教育者很少;第二个是,老一代的安全人员里,非计算机专业的人特别多,这说明培养机制是肯定存在问题。

    另外,很多人对安全的认识存在很大误解,强调安全就是两个方面:进攻和防守。并且,社会化培养会选择从最容易的方面进行着手——就是进攻。陈树华谈到,外面的培训班,都在培养类似黑客这种性质的人,但这些人对于安全整个体系的搭建,帮助可能非常小。

    “从当下来看,整个安全行业,绝对不是外面办几个培训班,就能把素质拉起来的。”培养攻防人才,能够帮助做渗透测试,有其存在价值,但不能以偏概全,以为这就是安全的全部。安全更重要的是体系建设,而安全建设是一个比较难的过程,需要时间沉淀。“培训班这种模式没办法培养建设者,培养了一批小黑客。”

    而且这群“小黑客”也让所有人误认为安全就是破坏,“现在很多拿出来讲的都是破坏的事迹,而不是建设的例子。”大家经常看到很多人在走传奇人物路线——XX破了XX操作系统,就会有认识误区。另外,“小黑客”的可替代性太强,“我随便叫一个人过来,教两个小时,也可以去进攻,只是过程长短,能找到多少问题的事。”所以薪资很低,导致大家都形成一个错误的认知——安全行业没前途。

    尽管社会上对安全有诸多误解的地方,但陈树华还是很看好安全的未来。原
    因是,安全已经成为业务,并且决定着很多公司能否走远,所以安全人员的路只会越走越宽。

    谈支付宝取消手势解锁:安全的最高境界是无感知

    去年7月份,支付宝做了一件比较有争议的事情——将手势解锁取消。当时很多网友批评这一做法,表示没有安全感。对于取消手势解锁,陈树华举双手赞成,因为这是一种安全和用户体验的平衡 ,只有自信的产品才敢这么做。

    “我们比任何一个用户都担心安全,钱丢了是要赔偿的,做决策的背后一定是经过深思熟虑。”陈树华接着解释取消的原因,当安全水平已经达到一定高度时,去掉验证不会引起资损上升,这时手势解锁已经是一种累赘。通过取消多余的操作来提升用户体验,降低用户的打扰度。“安全产品最高境界就应该在无感知的情况下保护到用户,这是我们一直的追求。”他说道。

    被问到2015年印象最深刻的安全事件时,陈树华提到了影响数亿用户的XcodeGhost事件。这是一个新的攻击方式,通过开发工具编译器本身感染应用,然后再去感染其他,对于手机安全威胁来说是一个全新的模式,意义重大。

    XcodeGhost事件,从无人关注到民间爆炒,再到国家力量开始介入后,才有了警醒:今天的编译器是不是被人插入一段什么代码,无从知晓。这件事让国家的认知发生了一个巨大的变化,“用着别人的开发工具、操作系统,就没有资格谈国家安全。”陈树华说,这确确实实让国家产生了触动。

    专注才能有好效率

    这位平时偶尔也看《陈二狗的妖孽人生》、《二号首长》等网络小说的技术牛人,在工作效率上是否也有什么好的方法和我们分享?

    陈树华称,做产品,极致才能出好产品,对于个人,专注力才能有好效率。回到今天,各种会议太多,真正有效解决问题的时间太短。这就要求一个人要对事情有深刻的认识和学会取舍,“如果自己的事情更重要,老板的会都可以不去。”但很多人就没有取舍,只要有会就参加,并且老板越大就越愿意。“他唯一的权衡是谁职位高,没有去权衡事情是该做,还是不该做。”陈树华强调,大家应更多从事情角度出发,而不是从人的角度出发,从人的角度出发,他认为不会有多少专注,效率也就不高。因此要想提高效率,要学会辨别事情和取舍。

    结束语:期盼阿里移动安全部门能对行业有巨大贡献

    在采访最后,笔者询问陈树华,移动安全部门从14年到今年1月份,差不多有两年,你有没有什么不满意的地方?他回答,有两个地方不满意,一个是部门发展速度慢了下来,另外一个是阿里移动安全部门还没能象阿里带动生态那样,对安全行业产生巨大的贡献。

    这位话不多,但句句实在的阿里人非常诚恳地称,在阿里做安全有很多优势的地方——因为阿里对安全投入不设上限,只要是用户关心的,就是安全要做的。但今天整个行业安全形势非常严重,且愈演愈烈,阿里安全还没能发挥应用的作用和影响力,推动整个行业发展。 “这不仅对阿里很重要,在国家层面也很需要,但我们做得还远远不够。”

    “那你们接下来怎么做?”

    “三个点。一,服务好阿里巴巴;二,布局好IoT产业;三,一定要做到对行业有贡献。”对于第三点,这位外表平实、语速平稳的安全大牛又强调了下:“生态安全,我们会持续做下去。”

    本次专访由张勇(@我是你的主题曲哥哥)主笔,个人微信公众号:lookdute。

    第一时间掌握最新移动开发相关信息和技术,请关注mobilehub公众微信号(ID: mobilehub)。

    mobilehub

    展开全文
  • 推荐几个很实用的编程网站

    万次阅读 多人点赞 2019-01-06 20:19:03
    推荐几个很实用的编程网站 国内: (1)萌码 适合初学者的学习的在线编程学习网站 1、在线开发环境 在萌码学习,用户无需配置编程环境,所有学习和操作在网页中均能实现。 2、互动式学习 “互动式”的教学...
  • 本文来自作者 嘉糖 在 GitChat 上分享 「STEM 教育课程如何设计?」,「阅读原文」查看交流实录。 「文末高能」 编辑 | 哈比 从 90 年代开始实行的 ‘学生减负’ 以及 21 世纪开始推崇的素质教育,其实...
  • 这是作者的网络安全自学教程系列,主要是关于安全工具和...本文将分享另一主题——Cracer教程,第一篇文章将详细讲解安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
  • 信息安全

    千次阅读 2011-10-24 20:14:22
    网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、信息认证、数据加密等),直至安全系统,其中任何一个安全漏洞便可以威胁全局安全。信息安全服务至少...
  • 推荐几个比较容易中的EI源刊

    万次阅读 多人点赞 2018-12-04 15:13:37
    选择期刊要根据自己论文的内容,是否和期刊的作者指南相符,此时你最好选者几个不同档次的期刊,从高到低排列,预备被退稿。选择好期刊后,严格按照期刊的投稿要求对论文进行排版,否则你的论文会被编辑退回(这样的...
  • 人工智能的几个概念

    千次阅读 2014-07-14 12:21:05
    人工智能是计算机科学的一分支,它企图了解智能的实质,并生产出一种新的能以人类智能相似的方式做出反应的智能机器,该领域的研究包括机器人、语言识别、图像识别、自然语言处理和专家系统等。   简介 ...
  • 教育大数据

    万次阅读 2017-09-25 08:32:43
    编者按:教育大数据是指整个教育活动过程中所产生的以及根据教育需要采集到的,一切用于教育发展并可创造巨大潜在价值的数据集合。在当前国际形势下,教育大数据从战略高度应定位为推动教育变革的新型战略资产、推进...
  • 关键信息基础设施安全控制措施

    千次阅读 2020-02-27 09:22:15
    《信息安全技术关键信息基础设施安全控制措施》解读 首先什么是关键信息基础设施? 关键信息基础设施critical information infrastructure 公共通信和信息服务、能源...关键信息基础设施安全控制包括几方面? 1...
  • 这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WannaCry蠕虫的传播机制,带领大家详细阅读源代码。这篇文章将分享APT攻击检测...
  • 这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。本篇文章,作者将分享两篇论文,机器学习是如何运用到恶意代码攻击中的,并谈谈自己的...
  • 几个好中的计算机类EI源刊

    万次阅读 多人点赞 2018-05-23 20:30:45
    选择期刊要根据自己论文的内容,是否和期刊的作者指南相符,此时你最好选者几个不同档次的期刊,从高到低排列,预备被退稿。选择好期刊后,严格按照期刊的投稿要求对论文进行排版,否则你的论文会被编辑退回(这样的...
  • IT:银行类金融科技岗笔试习题集合—四模块包括【综合知识+EPI+英语+个性测评】 导读:行测、综合知识、英语和性格测试。综合知识,包括货币学、金融、会计、计算机等内容。  行政能力测试,内容大家可以参考...
  • 网络空间安全——总结

    千次阅读 2020-03-12 17:41:36
    系统而全面的了解网络空间安全方面的基础知识、认识安全隐患、掌握相应的防范方法、提高大家的安全意识。 课程重点: 勾勒网络空间安全的框架。 课程内容安排: 安全法律法规 物理设备安全 网络攻防技术 恶意...
  • http://bdonline.sqe.com/一关于网站测试方面的网页,对这方面感兴趣的人可以参考http://citeseer.nj.nec.com/一丰富的电子书库,内容很多,而且提供著作的相关文档参考和下载,是作者非常推荐的一资料参考网站...
  • 几个容易中的计算机EI源刊(转)

    万次阅读 多人点赞 2017-08-27 09:47:36
    自从国内某杂志告诉我他们之所以收我很高的版面费是为了他们的生存时,我发誓包括以后我的学生就不再投中文杂志了(如果要投,对做材料的人,个人认为金属学报不错,目前收费低); 7.  坚持就是胜利, 按照审稿人...
  • AI与安全

    千次阅读 2018-03-01 23:42:13
    对于AI与安全,有种理解。 第一种分开看待,AI和安全。 近两年,深度学习带动AI大火,现在无处不在谈AI。一概念有它的炒作周期,AI也会从期望膨胀期到幻灭期,复苏期。这就是一选择落...
  • 天收到《CSDN开 发高手》杂志社编辑的约稿邮件,主题是关于中外计算机教育对比。笔者因学习和工作的关系对美国大学计算机教育体系有较深刻的了解和认识。同时与国内计算机 系的教授也有一定的联系,比较了解国内...
  • 企业安全文化与建筑工程安全生产管理实践 来源:中国论文下载中心 [ 06-10-06 10:36:00 ] 作者:未知 编辑:studa2摘要:企业安全生产事故的发生原因是多方面的,主要有违反操作规程或劳动纪律;教育培训不够,...
  • 物联网教育现状和前景

    千次阅读 多人点赞 2021-05-17 14:13:05
    不看这篇好文,就别说自己了解物联网 1、物联网行业现状 1.1 高速发展的物联网行业 物联网(The Internet of Things,简称IoT)是指通过各种传感器技术、射频识别技术(RFID)、全球定位系统(GPS)、激光...
  • 目录1 大数据面临的机遇1.1大数据技术促进国家和社会发展1.2大数据成为企业竞争的新焦点1.3 大数据技术为大数据安全技术的...阶段3.2 数据安全是什么3.3 大数据安全包括哪些方面4 hadoop 平台的数据安全技术的现状4.1
  • 解析P2P金融的业务安全

    千次阅读 2015-10-19 15:28:28
    在同一问题上,解决的思路也有很大区别。我们拿P2P小额贷款来说业务安全。大体上P2P小额贷款的流程是帐户注册、提交借款资料审核、提现使用,还款。还款阶段主要是催收的问题,不在本文讨论范围之内。所对应的业务...
  • 教育学热点

    千次阅读 2020-06-16 08:33:47
    STEM 教育并不是科学、技术、工程和数学教育的简单叠加,而是要将四门学科内容组合形成有机整体,以更好地培养学生的创新精神与实践能力。 2.特点 融合的 STEM 教育具备新的核心特征:跨学科、趣味性、体验性、情境...
  • 计算机网络学习笔记(七):网络安全

    万次阅读 多人点赞 2018-03-04 11:44:26
    此外还有网络安全、物理安全、用户安全教育。 本章重点介绍网络安全,即数据在传输过程中的安全。 计算机在网络上的通信面临以下的四种威胁: (1) 截获——从网络上窃听他人的通信内容。 (2) 中断——有意中断...
  • 最近年,信息安全方面的问题日益严重,许多同学深受其害(比如网络钓鱼、盗用银行卡、蠕虫木马泛滥、僵尸网络盛行等等)。俺窃以为,很大一部分原因在于相应的扫盲教育没有跟上。且不说普通的电脑菜鸟对信息安全...
  • 转自:展鸿职业考试网... 未来十年里哪几个行业最有潜力呢?人力资源管理师为您解答。   今年以来,国家相继制定出台了纺织、轻工、汽车、钢铁、装备制造、船

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 34,021
精华内容 13,608
关键字:

安全教育包括几个方面