参加会议的几点体会

2019年8月21日-23日，我参加了为期三天的北京网络安全大会，议题满满，收获多多，但其实也是蛮累的。

本次大会主题是“聚合应变，内生安全”，三天的会议日程，上午是主题峰会，下午是分论坛。

这里分享一下参加分论坛的几点心得体会：

关于选择的策略

面对这么多分论坛和主题演讲，如何去选择呢？

为此，我和我同事分别采用了两种策略，我同事将所有分论坛的主题内容全都过一遍，筛选出感兴趣的主题内容，按照时间计划排成一个先后顺序，听完一个演讲迅速赶往下一个主题所在的会议室，如此往返。但计划不如变化，因部分分论坛嘉宾没有及时导致延迟开场、部分演讲时间超时等客户因素，并没有如愿进行。

而我，选择了一种比较“笨拙”的方式，根据分论坛主题和演讲嘉宾，找一个感兴趣的分论坛，然后早早去会议室找个好位置，从下午1:00-5:30都在同一间会议室，省去了往返奔波的时间。虽然主题内容并非全部感兴趣，但只要用心倾听，终有所获。我分别选择了如下三个分论坛：

21日下午 《金融科技网络安全论坛》
22日下午 《首届网络空间安全可信技术创新论坛》
23日下午 《CISO高峰论坛》

这种选择，让我可能慢慢地享受这场会议，可能是一张PPT，又或者是演讲嘉宾的一句话，能够有所启发，这就值得了。

关于安全的几点体会

1、做安全，做到最后是一份责任，而不是一份养家糊口的工作。

如果说，白帽子是行走在网络边界的游侠，那么，在甲方安全的童鞋们，就是守护一方疆域的将士，保护企业的信息资产。在《蜘蛛侠》电影中，有这样非常经典的一句话：能力越大，责任越大。作为一个甲方安全工程师，你可以按照你的意愿去设计你的系统，你也可以将你的安全意识辐射到团队的其他成员。安全，对你我来说，更多的是一份责任。

2、倾听甲方的心声，真实的诉求

在平时的工作接触过程中，有些团队拿出的产品或方案并不成熟，甚至有的销售要求内部团队拿出新产品卖钱，你觉得，忽悠客户，这就能卖钱吗？多倾听甲方诉求，为用户提供安全价值，脚踏实地的研究产品和服务，才是正道。

3、基于业务规则梳理安全防护策略

这是一种有效防范APT防御攻击的方式，即使再厉害的安全团队，也很难全部摸清楚内部的业务规则。比如，属于财务部门的IP，访问金融科技部门的服务器远程桌面服务器，这就是属于异常的访问行为。

4、开源软件+API安全

我们经常通过升级版本或打补丁来修复漏洞，但在跑业务的系统，应更谨慎些。漏洞修复前，需全面评估对业务的影响，修复后，做大量的业务测试，才能保证系统的稳定性。

越来越多的系统采用微服务架构来构建自己的业务平台，各种应用使用大量接口API，接口安全问题不容忽视。API金钟罩：接口参数加密+时效性验证+私钥+HTTPS。

5、学习践行

有幸参会，聆听前辈们的演讲，学习行业里在安全方面的做法、产品、服务，重新思考安全的价值，不断践行。

以上，仅我个人粗浅的体会，安全的路还很远。