信息安全这一行有很多很多分支,但据我观察,就企业安全基础建设这一方向,工程化和体系化的安全架构设计能力是从业者普遍的软肋,大多数人似乎没有一个很好的建设思路。 我之前的工作都是甲方视角,在我看来,乙方提供的咨询和驻场似乎没有办法解决甲方更细粒度的安全诉求,或者说乙方安全公司对企业安全管理的经验缺失太
信息安全这一行有很多很多分支,但据我观察,就企业安全基础建设这一方向,工程化和体系化的安全架构设计能力是从业者普遍的软肋,大多数人似乎没有一个很好的建设思路。 我之前的工作都是甲方视角,在我看来,乙方提供的咨询和驻场似乎没有办法解决甲方更细粒度的安全诉求,或者说乙方安全公司对企业安全管理的经验缺失太
权当抛砖引玉,毕竟我不是专职的SRE/DevOps,我的工作方向还是以Information Security为主,大家多包涵。 前言:部分概念科普 Helm?Helm3 VS Helm2? Helm是什么? Helm 是 Kubernetes 的一个包管理工具,类似于 Linux 下的 apt 或
RASP - Runtime Application Self Protection RASP 意思是应用运行时自我保护,算是相对"比较"新的安全技术了。顾名思义嘛,RASP 就是在应用运行时检测"并阻止"应用级别的攻击,可以类比成集成在应用程序上的 IPS/IDS。RASP 防御的核心就是在 We
永远要从解决风险的角度出发来思考防御。 纵深防御是通过在系统的各个组件中设置多层安全控制来增强安全性。这种方法确保如果一个安全层防御失败,其他措施仍然可以在后面持续保护系统安全。 这个概念最早来源于军事,在军事中使用纵深防御的目的是延缓敌人进攻,而非完全阻止。 说纵深防御这种很经典的安全理念时候,我
本文不会特别干,毕竟风控可有太多的领域了,无论是内容、交易、营销等场景,都不可避免地要设计好风控才能上。本文主要是说说在业务安全中风控体系的构成,包括事前、事中、事后所需要的一些技术要素,权当为初入本行的人搭建一个理论框架体系。 在互联网企业中 toC 业务安全的环境下,做风控的核心在于利用可信数据
本文主要是讲一讲 toC 的基础业务安全该怎么做,实际上各大厂的做法都是为核心业务量身定做具体的方案,但建设基础业务安全的大思路都是一致的。 基础思路 做基础建设时,生产网被入侵、脱裤或者某个网页被挂马,这是天大的锅。小公司还好,影响范围有限,大公司的话还要和监管知会并放出相应的影响。而业务安全的建
目前大家的"伪共识"是,Web3.0 旨在提供一个去中心化的互联网,用户可以更好地控制他们自己的数据和交互操作,而无需中介或中心化服务器。它理论上比以前版本的 Web 更安全、更透明、更具包容性。在 Web3 中,用户直接拥有自己的数据并能够直接与之交互,而无需任何中介平台。Web3 的去中心化特性
先说结论:No! Web3 & 区块链 Web3 属于更宽泛的概念 Web3(有时称为Web 3.0)是互联网下一代的愿景,它强调去中心化、区块链技术和加密货币的使用,以及用户对自己数据的控制权。为什么呢?这还是要先从"前几代" Web 应用说起。 Web 1.0 Web 1.0 就像
照例还要先说一下区块链的分类吧。 区块链按共识达成范围(或权限)分类 公有链(Public Chain) 任何人都可以参与网络的维护(例如,通过挖矿)和交易,是完全去中心化的网络。比特币和以太坊是两个著名的公有链例子。 私有链(Private Chain)
