Information Security

信息收集/扫描探测

社会工程学

Password

软件安全/逆向工程

CVE 漏洞

Database

Firewall

四层防火墙

包过滤技术 (IP Filtering or packet filtering) 的原理在于利用路由器监视并过滤网络上流入流出的 IP 包,拒绝发送可疑的包。由于 Internet 与 Intranet 的连接多数都要使用路由器,所以 Router 成为内外通信的必经端口,Router 的厂商在 Router 上加入 IP 过滤功能,过滤路由器也可以称作包过滤路由器或筛选路由器(Packet FilterRouter)。防火墙常常就是这样一个具备包过滤功能的简单路由器,这种 Firewall 应该是足够安全的,但前提是配置合理。然而一个包过滤规则是否完全严密及必要是很难判定的,因而在安全要求较高的场合,通常还配合使用其它的技术来加强安全性。

状态检测技术是防火墙近几年才应用的新技术。传统的包过滤防火墙只是通过检测 IP 包头的相关信息来决定数据流的通过还是拒绝,而状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别。这里动态连接状态表中的记录可以是以前的通信信息,也可以是其他相关应用程序的信息,因此,与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性。

> 应用代理 (Application Proxy) 技术是指在 Web 服务器上或某一台单独主机上运行代理服务器软件,对网络上的信息进行监听和检测,并对访问内网的数据进行过滤,从而起到隔断内网与外网的直接通信的作用,保护内网不受破坏。在代理方式下,内部网络的数据包不能直接进入外部网络,内网用户对外网的访问变成代理对外网的访问。同样,外部网络的数据也不能直接进入内网,而是要经过代理的处理之后才能到达内部网络。所有通信都必须经应用层代理软件转发,应用层的协议会话过程必须符合代理的安全策略要求,因此在代理上就可以实现访问控制、网络地址转换 (NAT) 等功能。

七层防火墙

WAF

Web 安全

安全工具

编程能力

安全概念

前向安全   cryptography

Forward Security(or Perfect Forward Security): 是密码学中通讯协议的安全属性,值得是长期使用的 主密钥 泄漏不会导致过去的 会话密钥 泄漏。能够保证过去进行的通讯不受密码或密钥在未来暴露的威胁。

雪崩效应   cryptography

指在加密或 HASH 算法中即使只改变 1bit ,也会造成整个输出的巨大改变。

中间人攻击

Man in the Middle Attack

消息摘要

消息摘要(Message Digest),又称数字摘要(Digital Digest)或数字指纹(Finger Print)。消息摘要将消息输入到一个单向的 Hash 函数,输出一个固定长度的 Hash 值,这个 Hash 值即是消息摘要。

新概念

SASE (Safe Access Service Edge)

安全访问服务边缘。是 Gartner 推出的一种架构和实现方式,旨在满足“客户端到云”时代要求的安全解决方案,包含 SD-WAN(Software-Defined Wide Area Network), SWG(Secure Web Gateway), CASB(Cloud Access Security Broker), ZTNA(Zero-Trust Network Access), FWaaS(FireWall as a Service) 。

Product

安全产品产品经理1

安全产品的好不好最本质就体现在一名安全产品经理的安全体系认知、业务需求理解的深度上。需要站在一个工程化、一个企业建设的思路上去考虑如何做安全。 把一次发生的痛点,让下一次来临的时候是有办法处理的,通过这些痛点闭环的解决方案形成工程化、经验堆积的安全产品。

保持激情的能力更多是在过程中对情绪的处理,一名好的产品经理对自己的产品要有激情,同时要在疲惫、丧气过后,能够处理好自己的情绪,然后灌装激情再次起航。

在产品规划时要立好标准,让产品复盘的时候是可以有指标考量的。立方向 -> 立需求 -> 立标准。

换位思考。

软件工程能力(产品技术)。 产品经理是团队中最熟悉产品业务的人,对需求需要自信坚定,在定制化可能会被迫用户引导,但标品上尽量不退步,既然研究过,也最熟悉这个业务的,我的理解应当是最趋势于正确的,自信甚至执念强迫症(坚定自信)。 一个好的产品经理一定是执行力要强的,发现问题、也有想法在这个人人都是产品经理的时代是不难的,难的就是最后这一公里怎么把想法能够落地下来。聚焦和落地执行能力(想法落地)。

虽然一名好的产品经理追求定位的方向是要面面俱到的,不过在工作职责上是要更聚焦一些的,精力聚焦才能做小做精。

行业技术人员瓶颈2

现在软件中间件和工具库太发达。一直满足用傻瓜工具和代码库,挣口饭吃。这种码农和那些工地搬砖的是差不多的人。35 岁之后必然被淘汰。

  • 第1层 理论知识
  • 第2层 基本技能
  • 第3层 解决问题的能力:工程能力,对问题难度极限的感受
  • 第4层 技术管理

Footnotes:

1

https://www.coco413.com/archives/125/

2

https://zhuanlan.zhihu.com/p/498762187

信息安全三要素:

  • Confidentiality 机密性
  • Integrity 完整性
  • Availability 可用性
湘ICP备19014083号-1