参加会议的几点体会

2019年8月21日-23日，我参加了为期三天的北京网络安全大会，议题满满，收获多多，但其实也是蛮累的。

本次大会主题是“聚合应变，内生安全”，三天的会议日程，上午是主题峰会，下午是分论坛。

这里分享一下参加分论坛的几点心得体会：

关于选择的策略

面对这么多分论坛和主题演讲，如何去选择呢？

为此，我和我同事分别采用了两种策略，我同事将全部分论坛的主题内容全都过一遍，筛选出感兴趣的主题内容，按照时间计划排成一个前后顺序，听完一个演讲迅速赶往下一个主题所在的会议室，如此往返。但计划不如变化，因部分分论坛嘉宾没有及时致使延迟开场、部分演讲时间超时等客户因素，并无如愿进行。

而我，选择了一种比较“笨拙”的方式，根据分论坛主题和演讲嘉宾，找一个感兴趣的分论坛，而后早早去会议室找个好位置，从下午1:00-5:30都在同一间会议室，省去了往返奔波的时间。虽然主题内容并不是所有感兴趣，但只要用心倾听，终有所获。我分别选择了以下三个分论坛：

21日下午 《金融科技网络安全论坛》
22日下午 《首届网络空间安全可信技术创新论坛》
23日下午 《CISO高峰论坛》

这种选择，让我可能慢慢地享受这场会议，多是一张PPT，又或者是演讲嘉宾的一句话，可以有所启发，这就值得了。

关于安全的几点体会

一、作安全，作到最后是一份责任，而不是一份养家糊口的工做。

若是说，白帽子是行走在网络边界的游侠，那么，在甲方安全的童鞋们，就是守护一方疆域的将士，保护企业的信息资产。在《蜘蛛侠》电影中，有这样很是经典的一句话：能力越大，责任越大。做为一个甲方安全工程师，你能够按照你的意愿去设计你的系统，你也能够将你的安全意识辐射到团队的其余成员。安全，对你我来讲，更多的是一份责任。

二、倾听甲方的心声，真实的诉求

在平时的工做接触过程当中，有些团队拿出的产品或方案并不成熟，甚至有的销售要求内部团队拿出新产品卖钱，你以为，忽悠客户，这就能卖钱吗？多倾听甲方诉求，为用户提供安全价值，脚踏实地的研究产品和服务，才是正道。

三、基于业务规则梳理安全防御策略

这是一种有效防范APT防护攻击的方式，即便再厉害的安全团队，也很难所有摸清楚内部的业务规则。好比，属于财务部门的IP，访问金融科技部门的服务器远程桌面服务器，这就是属于异常的访问行为。

四、开源软件+API安全

咱们常常经过升级版本或打补丁来修复漏洞，但在跑业务的系统，应更谨慎些。漏洞修复前，需全面评估对业务的影响，修复后，作大量的业务测试，才能保证系统的稳定性。

愈来愈多的系统采用微服务架构来构建本身的业务平台，各类应用使用大量接口API，接口安全问题不容忽视。API金钟罩：接口参数加密+时效性验证+私钥+HTTPS。

五、学习践行

有幸参会，聆听前辈们的演讲，学习行业里在安全方面的作法、产品、服务，从新思考安全的价值，不断践行。

以上，仅我我的粗浅的体会，安全的路还很远。