企業(yè)安全成熟度模型來看,沒有幾個(gè)企業(yè)能達(dá)到安全產(chǎn)品自研階段,更不用說數(shù)據(jù)安全產(chǎn)品了。能夠呼喚的聲音也**。因?yàn)槲易约褐皇菍懥艘恍┬」ぞ撸]有參與到研發(fā)企業(yè)級安全產(chǎn)品的工作中去,所以僅從觀察到的一些經(jīng)驗(yàn)來闡述。進(jìn)行數(shù)據(jù)安全產(chǎn)品自我研究的過程,或進(jìn)行安全產(chǎn)品自我研究的過程。大部分工作都是在企業(yè)內(nèi)部解決自適應(yīng)問題。這類產(chǎn)品在商業(yè)上有相似的功能,但是可以適應(yīng)各種情況。例如,對于KMS,外部KMS可能不能很好地集成到現(xiàn)有的基礎(chǔ)架構(gòu)中,從而使得自己擁有的腳手架代碼快速生成。又或者HSM,如果沒有錢購買HSM,Softhsm將成為與TPM一起集成自己擁有的加密服務(wù)的一種選擇。也可以是加密即服務(wù),即將HSM和KMS結(jié)合起來做根密鑰管理,KMS做密鑰管理,為應(yīng)用程序服務(wù)提供加密服務(wù),也可以是數(shù)據(jù)庫審計(jì)服務(wù),日志分析等。也可以是內(nèi)部自助服務(wù),如自助證書申請,數(shù)據(jù)分類分級工具。其中一個(gè)關(guān)鍵問題就是工程設(shè)計(jì),很多時(shí)候,安全工程師可以給出原型代碼,但是大部分不是工程設(shè)計(jì)代碼,無法提供性能兼?zhèn)涞漠a(chǎn)品。雖然這不是絕對的,還是有很多優(yōu)秀的工程師能夠單憑自己的力量完成。但是,彼此合作并不是更好。
很多情況下,在企業(yè)自研安全產(chǎn)品時(shí),必須給出足夠的說服力,否則老板會(huì)認(rèn)為我花了2kw買了產(chǎn)品,你為什么還要再招聘一個(gè)安全研發(fā)工程師?并且從對安全價(jià)值的闡述、自我認(rèn)識(shí)到現(xiàn)狀看來,絕非易事。
與基礎(chǔ)安全的Highrisk、應(yīng)用安全的Highthreat不同,數(shù)據(jù)安全本身的特性更傾向于HighValue.這也意味著數(shù)據(jù)安全工程師需要投入更多的精力,但這些工作并不是孤立才能完成的,必須在其他方面與安全工程師合作,使其能夠持續(xù)運(yùn)行。當(dāng)遇到瓶頸時(shí)要告訴自己,在瓶頸之外還有更多的技術(shù)。堅(jiān)持學(xué)習(xí)!
在安全體系結(jié)構(gòu)方面寫了三篇文章,分別淺析了應(yīng)用安全體系結(jié)構(gòu)、基礎(chǔ)安全體系結(jié)構(gòu)和數(shù)據(jù)安全體系結(jié)構(gòu):2021給自己定的目標(biāo)是健康,戒急。到2021還不如定一個(gè)目標(biāo),鍛煉,戒驕戒躁。本文也算是寫的慢一點(diǎn),寫了一個(gè)多月,行吧?,F(xiàn)在開始。
產(chǎn)品推薦