万事开头难，中间也难，最后也难。第一次写博客，内容、排版都不太好，请见谅。文章内容部分来源绿盟的《软件定义下的新型安全架构和实践》、《软件定义安全》以及《软件定义安全：SDN/NFV新型网络的安全揭秘》这本书。

1.SDN/NFV

软件定义网络（SDN），是网络一种新型网络创新架构，是网络虚拟化的一种实现方式，其核心技术OpenFlow通过将网络设备控制面与数据面分离开来，从而实现了网络流量的灵活控制，使网络作为管道变得更加智能。

SDN侧重于将设备层面的控制模块分离出来，简化底层设备，进行集中控制，底层设备仅仅只负责数据的转发。目的在于降低网络管理的复杂度、协议部署的成本以及网络创新

SDN架构具有以下特点：

  1.控制平面与数据平面相互分离；

  2.智能和状态在逻辑上集中；

  3.开放接口；

网络功能虚拟化（NFV），通过软硬件解耦及功能抽象，使网络设备功能不再依赖于专用硬件，资源可以充分灵活共享，实现新业务的快速开发和部署，并基于实际业务需求进行自动部署、弹性伸缩、故障隔离和自愈等。

SDN关注的是网络流量调度，NFV关注的是网络资源管理。SDN和NFV是可以相互独立存在的，据相关研究表明，二者结合起来的效果更优。

2.SDN/NFV环境中的安全问题

NFV、SDN、开源、网络转型，无疑是这两年电信业的热词。不少运营商正进入兴奋的验证阶段。

然而，传统网络设备虽然是“黑匣子”解决方案，但这样的好处是安全。SDN/NFV虽灵活、敏捷、低成本，但这种基于开源软件和白盒硬件的网络构架，伴随而来的还有敞开的漏洞和不可忽视的安全问题。

一旦网络开放，如果安全问题处理不好，我们固若金汤的通信网络可能就会像这次感染勒索病毒一样，漏洞被攻击，且不断传播、感染。

SDN 虽然带来了很多好处，但在安全方面， 也带来了新的特有的安全威胁。

架构安全：

控制层面的安全威胁：管理集中性使得网络配置、网络服务访问控制、网络安全服务部署等都集中在SDN控制器上。攻击者一旦实现对控制器的控制，将造成网络服务的大面积瘫痪，影响控制器覆盖的整个范围。由于SDN网络的可编程性、开放性，SDN控制器安全防护的重要性远大于传统网络中网管系统的安全。所以围绕控制器的攻防是SDN自身体系安全中最关键的节点。

例如，在OpenFlow交换机流表中不存在的初始流信息将通过集中的控制器进行处理，虽然控制器可能并不是某次分布式拒绝服务攻击的直接目标，但大量的初始流量将使控制器的负载急剧上升；攻击者向控制器发送多个服务请求并且所有请求的返回地址都是伪造的直到控制器因过载而拒绝提供服务。

应用层面的安全威胁：可编程性使控制器向应用层提供大量的可编程接口，这个层面上可能会带来很多安全威胁。例如，向应用层的应用中植入蠕虫木马程序等达到窃取网络信息更改网络配置占用网络资源等目的，从而干扰控制面的正常工作进程影响网络的可靠性和可用性；利用某些接口实现拒绝服务攻击、进行网络窃听等。

数据平面的安全威胁：攻击者通过直接侵入交换机，用虚假信息填满流表，导致交换机产生“流表满”错误，增大流结束超时时间，增加恶性攻击成功的几率。这种攻击方法对交换机的输入缓存也是有效的，当前OpenFlow协议对交换机输入缓存设置了最小数率控制，当包到达速率超过控制门限时，也表现出丢包。

开放性也给SDN带来很多安全隐患：安全和网络的应用插件都具备一定的规则写入权限， 随着应用的复杂化，多个应用之间会出现安全规则冲突，从而造成网络管理混乱、安全规则被绕过、服务中断等现象; 第三方应用或插件可能带有恶意功能、未声明功能、安全漏洞等多种风险。

OpenFlow协议安全

§1.信息泄露：嗅探出控制器与交换机的信息，特别是流表信息。

§2.非法接入与协议传输安全问题

§3.连接建立的安全问题

§4.action动作处理的安全问题

针对 SDN 引入的新安全威胁，相应的防护建议策略包括但不限于以下几个方面:

§1.在控制器层面，在控制器入口处部署流量清洗设备，防止大规模流量攻击造成拒绝服务；使用分布式多控制器方案，当某一台控制器受到攻击或者发生故障，马上自动选择其他控制器代替其功能，使得网络不会因为控制器故障而产生大面积瘫痪; 部署安全代理，由于控制策略都是应用程序实现的，对应用程序进行漏洞检测和安全加固，可以在一定程度上缓解控制器安全问题；制定一系列严密的授权、访问控制、安全管理等规则赋予使用者一定的管理权限。

§2.在应用层层面，制定一系列安全准入规则，对应用提供的服务以及需要控制器提供的接口等进行鉴定，负责任的应用才允许成为SDN中合法的应用；利用可编程接口针对目前存在的安全威胁，利用已有的技术对安全威胁进行监控和排除；应用软件认证机制，例如自信任管理方法确保交换机的 安全。

§3.其他层面的，设计实现安全服务和网络服务之间、安全服务之间等接口的安全标准；慎重开放 API接口，开放之前做好安全分析；设计精巧的算法及优先级政策，以避免安全策略冲突或被绕过。

同样的，NFV也带来了新的特有的安全威胁：

§1.OpenStack的安全隐患:OpenStack是NFV的标准构建模块，它应用于创建开源的云或数据中心平台。它假定OpenStack控制器和计算节点位于同一网络，且距离甚近。可一旦应用到庞大的电信NFV网络中，计算节点在核心网之外，运营商不得不妥协折中，放宽控制器和计算节点间的安全规则，这就带来了安全风险。

所有的OpenStack控制器需运行专用协议，且必须在防火墙配置规则来管理流。在某些情况下，必须在防火墙打开多个pinholes（针孔）,OpenStack才能工作。英国BT对企业网虚拟化的测试显示，为了使计算节点工作，其不得不在防火墙为控制器打开500多个pinholes。显然，在这种构架下，安全是一个问题。OpenStack目前表面上看起来还安全，不排除有规模化的因素，一旦电信网络大量采用，规模庞大，难保喜欢搞事的攻击者们不认真研究一番。

§2.软件在攻击面前不堪一击：尽管传统电信设备功能单一，但采用专用ASIC，可实现高性能处理且运行稳定，尤其在网络高峰期能经受考验，坚挺而可靠。NFV现在要把传统电信设备的一些物理功能软件化，并将这些软件运行于通用的CPU之上。问题来了。一些物理功能被软件代替，这些软件在网络负载增加时，相对更加脆弱，尤其在受到DoS和DDoS攻击时，网络负荷狂增，难说不会不堪一击。

§3.控制面开放且可远程操作很危险:NFV将控制面从设备分离，并抽取出来，整个主机都可以通过外部控制器来进行编程，这为那些黑客提供了机会。另外，我们说网络转型要以用户为中心，要实现终端用户的自助服务，这一切需用户通过一个公共的外部网站或平台来实现。当用户自助修改功能时，需求通过外部网络传送到NFV编排器，这就意味着，在外网和运营商内网之间为终端用户打开了一条控制网络的通道。可怕的是，这个“用户”也可能是个不怀好意的黑客，他可以通过漏洞或pinhole发起攻击。

§4.恶意软件可以在虚拟机和主机间快速传播：NFV讲的是虚拟化，计算要虚拟化，存储要虚拟化，网络要虚拟化。它利用虚拟化软件Hypervisor将物理服务器和软件功能分开，运行不同操作系统的各种虚拟机运行于物理服务器上。通俗的讲，传统的电信设备的物理功能变成了通用服务器，这些服务器运行于虚拟化环境。每一个主机上运行一个虚拟化网络，并与整个网络连接。这种运行于虚拟环境下的主机遍布网络，从数据中心到基站，到客户驻地。这样，由于虚拟机是经常被实例化的软件（打开和关闭），一旦受到攻击，病毒就可能从一个虚拟机传播到另一个，或从一个主机上的虚拟机传播到其它主机上，最终蔓延整个网络。为此，每个主机运行的虚拟化网络，都必须被单独监视和保护。以前高高的防护围墙，现在要细化到一个个封闭的格子间。

3.传统安全面临巨大的挑战

传统安全面临巨大的挑战：IT系统变革及安全威胁的挑战。

IT环境变化：虚拟化、自动化、软件化、互联网化。

安全威胁的挑战：

网络环境变化所带来的新的安全威胁

安全机制是否适应软件化、虚拟化环境

安全策略是否能够及时、正确地跟随环境迁移

互联网上的安全事件不减反增

Mirai，乌克兰电力门，Ransomeware，Swift系统$8100w盗窃，OpenSSL，Struct 2，……

4.百家论

（1）自适应安全

不再假设防护能实现万无一失的安全

更强调检测和响应的能力

更重要的是将这四个步骤有机的进行编排，实现针对不同攻击的动态防御

（2）应用编排

Phantom： RSAC 2016创新沙盒Winner，从应用层入手，构建自动化、可编排的安全应用体系，支持多种数据源和主流的SIEM平台；同时，可以让安全管理团队编写脚本Playbook，调用相应的安全服务，实现安全运维自动化

Resilient System：被IBM收购，推出弹性的灾难恢复服务

编排引擎可以软件定义安全为支撑体系，利用北向应用编排机制进行安全资源和策略的灵活调配，实现多种防护手段的协同运作

（3）零信任/微分段

Google BeyondCorp

§彻底打破内外网之别，通过统一的访问控制引擎，管理不同用户对不同资源的访问，而不将用户和资源的位置作为决策依据

Skyport Systems

§基于TPM的虚拟化零信任访问控制体系

CSA SDP

§面向企业关键基础设施的集中访问控制体系

VMWare Micro-Segmentation

§虚拟化环境中的东西向内部网络访问控制

5.软件定义安全

软件定义安全理念：

连接协同：有机结合多种安全机制，实现协同防护、检测和响应；

敏捷处置：在出现异常时进行智能化的判断和决策，自动化地产生安全策略，并通过安全平台快速分发到具有安全能力的防护主体；

随需而变：当安全事件爆出后，攻击者的攻击方法更新很快，那么就要求防护者能紧跟甚至超过攻击者，以快制快，在数据泄露的窗口期内阻止攻击者。

软件定义安全是从软件定义网络引申而来，原理是将物理及虚拟的网络安全设备与其接入模式、部署方式、实现功能进行了解耦，底层抽象为安全资源池里的资源，顶层统一通过软件编程的方式进行智能化、自动化的业务编排和管理，以完成相应的安全功能，从而实现一种灵活的安全防护。

安全机制软件化

接口开放、易扩展

架构功能分离

软件定义安全的特点是：开放生态环境、数据平面和控制平面分离、可编程的安全能力、与网络环境解耦。

软件定义架构：

 安全资源层：由各种物理形态或虚拟形态的网络安全设备组成，兼容各厂商的产品。这些安全设备接受统一部署、管理、调度，以实现相应的安全功能。

 转发层：即SDN网络中的网络设施层是一类仅需根据控制器指令进行数据包转发，而无需自主的理解和处理各种网络协议的网络交换设备。将网络安全设备接入转发层，通过将流量导入或绕过安全设备，即可实现安全设备的部署和撤销。

 控制层：能够根据不同业务的安全策略，从全局的视野对转发层、安全资源进行集中管理并下发调度命令。

 管理编排层：由侧重于安全方面的应用组成，将用户配置的或运行中实时产生的安全功能需求转化为具体的安全资源调度策略，并通过控制层予以下发，实现安全防护的智能化、自动化、服务化。

6.软件定义安全应用在云环境的落地困境

实现价值：

§1.纵深防御的安全体系：基于安全域部署相应的防护措施，实现纵深防御，满足云计算平台的安全保障要求。

§2.模块化架构可灵活扩展：根据应用场景和需求的不同，选择和部署相应的安全资源、系统功能模块、安全应用。

§3.横向(东西)流量的防护：通过部署虚拟化的安全资源池和流量引导技术，可以实现牵引东西向流量到安全资源池内做检测和防护。

§4.满足等保合规要求通过构建安全监测、识别、防护、审计和响应的综合安全能力，保障云计算资源和服务的安全，确保符合等级保护的要求。

难点：

§1.安全产品的虚拟化及适配云平台Hypervisor较为困难

§2.安全设备的证书体系在云平台中不能直接适用

§3.安全方案无法控制云平台的内部流量

资源池：打通最后一环

1种逻辑结构=n种物理形态 →资源池化

 多种形态的安全设备通过池化形成一个个安全资源池

 资源池按需提供安全能力

 安全资源池与其他基础设施一起构建SDx

   

 

 

 

 

 

 

 

软件定义一切！

就在5月25日，华为在以“‘依’网打尽，防患未然”为主题的2018华为网络安全中国行系列活动中，带来了全新定义的SDSec（软件定义安全）。

之所以冠以“全新定义”，是因为华为定义的SDSec，与通常意义理解上的SDSec有很大不同，华为的SDSec不仅仅是局限在云环境下的资源调度和策略管理，而是在所有的场景下，用软件定义的方式把网络及安全的网元、安全功能模块系统地的协同起来，并通过定义接口与执行，让所有的安全能力形成真正的联动。华为SDSec安全解决方案依托于该SDSec软件定义安全架构，将智能化的分析器、控制器与执行器三层网元协同起来，形成闭环的主动网络防御体系。首次引入动态行为机器学习和Hypervisor动态行为检测技术的第三代沙箱，做到以99.5%的准确率识别恶意文件；对全网可疑数据进行按需采集，精准定位威胁并自动处置；通过网络与安全深度协同、全局策略自动化管理，实现基于业务的智能安全策略的仿真与调优。

四大本领重新定义SDSec

华为SDSec拥有四大本领，这也保证了华为SDSec能够在所有场景下用软件定义的方式管理企业网络安全。

火眼金睛

火眼金睛，大家肯定不陌生，孙悟空通过这项本领可以轻松的看出化成人形的各种妖魔鬼怪。而华为SDSec火眼金睛的本领同样可以轻松识别出伪装成正常文件的恶意攻击文件，而且识别准确率可高达99.5%。

如此高的恶意文件识别率依赖于华为的第三代沙箱。华为的第三代沙箱具有两个特征，首先，这是一个是基于动态行为的机器学习技术的沙箱，其次，它是基于虚拟化层的监控技术的沙箱。

所谓基于动态行为的机器学习沙箱，是指这个沙箱是通过机器学习、人工智能等技术创建。至于基于虚拟化层的行为监控是指，第三代沙箱的监控是在操作系统之下的虚拟层，之所以这样做，是因为传统的沙箱是基于操作系统层，在操作系统层做监控，虽然攻击被发现的几率很低，但还是有可能被发现。但是在虚拟化层，操作系统之下，攻击者将很难感知被监控。这样，它就无法轻易掩饰自己的攻击本质，因此，基于华为的第三代沙箱技术以及华为安全团队快速的迭代的能力，是高效识别恶意攻击文件的关键。

全民皆兵

华为SDSec可以把网络设备发展成保障网络安全的摄像头和民兵。通过分析网络设备根据需要上传的流量和数据，华为SDSec可以分析出相关的攻击流量。另一方面，华为SDSec可以根据分析器的决策，通过安全控制器与SDN控制器的配合，迅速对相关网络设备进行控制，防止攻击在整个网络蔓延。这实际上就不仅仅是把安全的功能网元，还把网络设备也变成了系统的“民兵”。

而实现这些需要依赖一些技术。首先是SDN的技术，因为需要在网络设备上定义相关行为，要定义设备给系统提供什么样的数据，华为在这方面很擅长。其次，需要网络设备是可编程的。而华为路由器、交换机等网络设备，由于使用了华为自研的ENP芯片，因此具备这种可编程能力。

天罗地网

天罗地网为华为首创，它来自于最近几年特别流行的一个技术——Deception，即“欺骗防御”或者“诱捕陷阱”、“诱捕网络”，它是指在网络里布一个陷阱，黑客进来或者蠕虫扩散的时候就会落到该陷阱中。华为结合网络的优势，特别是网络编程方面的优势，在交换机产品上把诱捕的陷阱内嵌了进去，这就使得整个网络都变成了陷阱，陷阱无处不在，变成了天罗地网。这样就可以很容易的准确识别攻击行为，并结合相关的分析，最终能够捕获攻击。

运筹帷幄

最后一个技能是运筹帷幄。所谓运筹帷幄，是指对全局的策略进行管理和优化，因为系统的每一个动作都不仅仅只是要指挥防火墙，终端的安全，还要指挥网络的网元做相应的联动。因此，随着管理规模的增大，管理难度就会越来越大。而通过华为SecoManager安全控制器，将会有效的指挥网络中各网元之间的联动，大大降低大规模网络的安全管理复杂度。另一方面依托于华为在安全标准上的地位，华为联合众多合作伙伴加入安全联盟，共同加入SDSec大框架，并形成相互之间的联动。

携手用户 共建美好安全未来

华为SDSec正式对外实际上是在去年的华为全联接大会，但当时只是一个雏形。但经过半年多的时间，华为SDSec通过和众多客户的沟通和交流，已经有了非常具体的解决方案架构和众多丰富的应用场景。

华为SDSec安全解决方案是一个三层的架构，上面是分析器，中间是控制器，最下面是执行器。分析器可以理解成是一个大脑，控制器是中枢神经，执行器可以理解成五官和四肢。分析器负责做分析和决策。这三层架构是一个智能化、自动化的闭环体系，能够通过不同的三层网元之间的协同，真正帮助客户构建一个主动防御的体系。

华为网络安全领域总经理宋端智表示，“华为在网络安全上的持续投入会给国内安全行业带来新的变化。华为SDSec安全解决方案在智能化、自动化方面的优势，可以改变当前行业很多人只重视合规却轻视实效，重视事后应急、轻视事前预防和事中处置的这类不合理现状。”

面向未来，华为将继续积极主动构建网络安全能力，并用网络安全为客户和社会创造价值，帮助企业构建智能的主动防御体系，共建美好安全未来！

绿盟科技有专门的内部人员培养机构：绿盟科技大学。所有同事入职后都会成为绿盟科技大学中的一员，在这里你可以获得帮助、学习知识、结交益友。新员工入职后将配备专门的生活导师和专业导师，既帮助新员工尽快融入新团队，更体现了绿盟科技以人为本的一贯理念。[1]2022校招，你还等什么呢？

• 星云实验室：专注于云计算安全相关的前沿领域研究[2]
  • 1、云原生安全落地
  • 2、多云/混合云安全协同研究
  • 3、云化安全能力SDWAN

岗位职责：
1、云计算安全平台设计和开发；
2、基于Docker平台的技术开发；
3、跟踪信息安全各领域的变化趋势，收集信息安全数据，分析威胁情报平台数据；
4、对数据进行处理、关联分析，对信息进行分析和展现；

任职资格：
1、具备Linux平台上的开发技能，熟悉Java/Python等编程语言；
2、熟悉Docker、K8S等PaaS技术；
3、了解SDN和网络虚拟化方面的主流技术；
4、有一定文档撰写能力和交流能力；
5、在信息安全领域的各分支有较广的知识面；
6、了解大规模数据收集分析和处理；

具备以下技能优先考虑：
1、熟悉网络安全，熟悉各类安全产品；
2、了解主流分布式计算、通信和存储工具，威胁情报平台，安全检测、防护和取证技术；
3、熟悉Neutron/Openstack。

• 格物实验室：专注于工业互联网、物联网、车联网三大业务场景的安全研究[3]
  • 1、智能设备漏洞挖掘、研究与安全分析

岗位职责：
1、物联网相关领域的安全研究；
2、物联网安全应用的原型开发验证；

任职资格：
1、信息安全、计算机科学或计算机网络等相关方向; 
2、熟悉C/Python等编程语言；
3、熟悉Linux平台上的开发技能；
4、物联网相关应用主流技术，有树莓派、嵌入式系统开发经验优先；
5、有车联网安全经验者优先考虑；
6、有智能设备破解经验者优先考虑；
7、了解网络安全，熟悉各类安全产品者优先考虑。

• 天机实验室：专注于漏洞挖掘与利用技术研究[4]
  • 1、漏洞挖掘技术研究、漏洞分析技术研究、漏洞利用技术研究
  • 2、安全防御机制及对抗技术研究

岗位职责：
工作方向包括系统内核研究、浏览器漏洞研究、移动端安全研究、虚拟化漏洞研究，安全漏洞挖掘与利用相关技术研究。
1、跟踪国内外的最新安全技术动态；
2、各种网络、系统及应用的安全攻击和防御技术研究；
3、安全漏洞挖掘与分析相关技术研究；
4、负责公司内部安全研究平台开发

任职资格：
1、熟练使用python、GO、C#中至少一门语言作为主要开发语言，能够使用 C 、C++ 进行编码工作，具备安全开发经验；
2、熟悉常见漏洞原理，能够独立完成相关漏洞成因分析，具备漏洞利用相关经验；
3、具备快速学习能力，对网络安全前沿技术、应用实践有浓厚的学习欲望。

加分项：
1、有高并发TCP、分布式，消息队列等相关经验者优先；
2、熟悉 Fuzzing 相关技术，独立发现过安全漏洞者优先；
3、独自分析过相关开源安全工具，向开源安全工具贡献过源码者优先；
4、具备实战漏洞分析挖掘经验、知名CTF战队成员、原创技术文章发表经验者优先

• 伏影实验室：专注于网络威胁监测与对抗技术研究[5]
  • 1、Botnet&APT类系统性、组织性威胁及其对抗技术研究
  • 2、威胁捕获技术、威胁反制技术研究
  • 3、多维数据的威胁线索挖掘，威胁线索推理、威胁还原技术研究

岗位职责：
1、国内外最新漏洞技术跟进和研究；
2、从事网络协议和网络数据安全分析、网络攻防技术研究；
3、对业界前沿攻击和防御手法进行研究跟踪；
4、威胁捕获/网络欺骗前沿领域跟进研究，捕获分析高价值攻击事件；
5、采用多种分析手段进行攻击者情报分析、风险挖掘工作；

任职资格：
1、对网络安全攻防技术对抗有浓厚的兴趣，熟悉各种漏洞的原理、防御、利用方法；
2、熟练掌握一种或多种主流编程语言（如C++/PHP/Python/Java等），具备优秀的代码编写和应用开发能力并自主开发过安全工具；
3、对已知漏洞进行分析，并编写POC和EXP进行漏洞利用验证；
4、熟悉当前主要安全产品、安全技术、安全系统架构及其工作原理；
5、具备良好的英文听说读写能力；

加分项
1、有定期更新的技术博客，或参与安全相关开源项目并贡献部分代码；
2、拥有CVE,CNVD编号者优先。
3、有了解过蜜罐相关知识，有一定的流量数据分析和关联能力

• 天枢实验室：专注于数据安全智能领域的技术研究[6]
  • 1、运用大数据与人工智能技术提升攻击检测和防护能力
  • 2、解决大数据和人工智能发展过程中的安全问题，提升以攻防实战为核心的智能安全能力

岗位职责：
1、密码学、隐私保护技术研究；
2、隐私计算、数据安全技术研究及开发；
3、跟踪国内外数据安全技术发展前沿与趋势；
4、跟踪国内外数据安全相关政策、法规和标准；

任职要求：
1、密码学、信息安全、计算机等相关方向；
2、熟悉密码学和隐私保护技术原理；
3、熟练阅读英文资料的能力；
4、熟悉Java/Python等编程语言；
5、善于沟通和表达，有一定文档撰写能力；

具备以下技能优先考虑：
1、具有数据安全项目开发经验；
2、掌握安全多方计算、联邦学习等隐私计算技术;
3、了解区块链、零知识证明技术；
4、了解抗量子密码、量子计算等技术。

• 天元实验室：专注于新型实战化攻防对抗技术研究[7]
  • 1、漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等红队技术；
  • 2、攻击技战术、攻击框架的研究；
  • 3、Web安全、终端安全、AD安全、云安全等技术领域的攻击技术研究，及工业互联网、车联网等业务场景的攻击技术。

岗位职责
1. 负责自动化平台建设。
2. 踪国内外安全动态，对安全事件中的漏洞进行分析、研究、挖掘，并进行预警。
3. 主动跟踪挖掘国内外主流软件系统漏洞，形成漏洞利用工具。

岗位要求
1. 对网络安全有浓厚的兴趣及热情，有主观研究和学习的动力。
2. 熟练使用 Python、Java、C/C++、Go 等至少一门语言。
3. 有一定的代码编写能力，独立开发过小工具。
4. 具有一定的漏洞挖掘能力。

加分项
1.英文水平良好，能够阅读英文文档
2.性格沉稳
3.学校学科成绩优异
4.独立运维过个人博客，持续更新研究成果

• 威胁情报实验室：专注于威胁情报领域安全研究[8]
  • 1、互联网空间测绘、全球恶意资产挖掘、黑客威胁动态跟踪等方向
  • 2、为绿盟威胁情报解决方案及产品提供关键技术支撑

岗位职责：
1.  负责公司安全产品与服务的安全能力研发，对网络安全事件进行快速响应；
2.  参与安全事件的分析和检测/跟踪/防护等研究的研究；
3.  参与威胁情报相关系统的研发或安全日志的分析处理，跟踪动态研发工作；
4.  针对业界领先的技术进行研究并应用在工作中。

任职资格：
1. 熟练使用C++、Python、GO中至少一门语言作为主要开发语言，能够使用 C 、C++ 进行编码工作，具备安全开发经验；
2. 熟悉Linux操作系统和shell编程；
3. 熟悉TCP/IP协议、HTTP协议、DNS协议等网络协议，熟练掌握Socket编程
4. 掌握多线程，多进程等技术；

加分项：
1. 了解Snort、Suricata、Bro等任一开源IDS系统及其检测技术；
2. 了解常见的安全漏洞原理，危害及其检测方式；
3.  熟悉常见的爬虫技术；
4.  对漏洞利用有一定理解和分析能力；
5.  有过使用AI技术进行安全检测/防护技术项目经验。

• 平行实验室：专注于网络空间安全战略、政策、框架方面研究[9]
  • 1、研究网络空间战略、技术和管理框架的知识表述和知识学习
  • 2、结合AI人工智能、靶场和数字孪生来实现平行化智能，实现网络空间可视化指挥治理

岗位职责：
1 安全行业发展趋势研究。跟踪行业发展的最新技术，预测行业发展趋势；跟踪政府相关部门的最新政策法规、行业信息、重大事件，研判相关的技术趋势。
2 解决方案的架构及整合。负责重点行业网络安全解决方案的前瞻性研究及材料编写；有能力整合与合作伙伴的解决方案。
3 对公司的重大项目进行规划和布局。能够将国家政策与企业规划相结合，推动公司内的重大项目落地实施。

任职资格：
1. 在网络安全领域的各分支有较广的知识面，能够从行业发展角度结合前瞻性技术整合解决方案。
2.对行业发展具有高度敏感性，具备快速的学习和反应能力。
3.良好的语言表达能力及沟通协作能力，具备出色的演讲技巧和能力。
4.有基金项目申报材料编写经历优先

参考

1. ^绿盟人才成长计划 NSFOCUS 2022校园招聘
2. ^星云实验室 星云实验室 - 绿盟科技-巨人背后的专家
3. ^格物实验室 格物实验室 - 绿盟科技-巨人背后的专家
4. ^天机实验室 天机实验室 - 绿盟科技-巨人背后的专家
5. ^伏影实验室 伏影实验室 - 绿盟科技-巨人背后的专家
6. ^天枢实验室 天枢实验室 - 绿盟科技-巨人背后的专家
7. ^天元实验室 天元实验室 - 绿盟科技-巨人背后的专家
8. ^威胁情报实验室 威胁情报实验室 - 绿盟科技-巨人背后的专家
9. ^平行实验室 平行实验室 - 绿盟科技-巨人背后的专家