写点什么

ArchSummit 讲师专访:乌云安全平台创始人方小顿谈架构师和互联网安全

2012 年 7 月 02 日

InfoQ:我们熟悉的剑心是安全组织 80sec 和安全平台乌云的创始人。但是很少有人知道剑心还有一个身份是百度的安全架构师。剑心可以向《架构师》的读者介绍一下自己吗?

方小顿:大家好,我是在 08 年底进入百度的,已经大概过了三年多的时间,主要负责百度的安全架构,主要方向有外部产品安全,内部信息安全及业务安全,经历很多之后也形成了一些自己的想法,所以希望这次也能分享给大家。

InfoQ:我们知道乌云目前已经成为国内最具影响力的安全问题反馈平台。通过对乌云平台两年多的运营,剑心可以对国内互联网的安全情况做一个总结吗?我们目前的互联网安全环境是一个什么状态?互联网用户面临的最大安全威胁是什么?

方小顿:国内互联网的安全情况与国外相比还是有很大差距的,这个与整个行业背景关系比较大,用户意识跟不上,厂商自然不重视,厂商不重视自然整体安全水平就上不去,譬如就安全漏洞方面来说,国外很早就形成了漏洞收费 no more free bugs 的观念,但是这个说明人家已经在安全方面投入很多了,对安全足够重视了,这是一个很大的前提。
造成目前互联网用户的威胁的还是来自于黑色 / 灰色产业的利益,各种诈骗,盗号,信息窃取等,但是造成这个的原因还是企业对用户安全不重视,譬如某企业的用户信息泄漏导致各大电子商务网站里的账号被人清洗,这就是一个典型的案例,电子商务网站有责任对用户信息保护,即使在业界安全防护薄弱的前提下。

InfoQ:面对这种状况,从架构师的角度,我们可以做的工作有哪些?

方小顿:从架构师的角度,我们的职责还是通过深入了解行业黑产,了解自己企业的业务特点,了解关键问题在哪里然后借助安全管理和技术设计一套科学的有生命的防护体系,保障企业在产品,信息和业务上的安全,说是有生命是因为我觉得每个企业的安全应该都是不一样的,而且随着企业的发展也会遇到不同的安全挑战,好的安全架构是能够适应企业自身特点和企业发展的。 但是通过最近的案例也知道,光做好自身企业的安全防护对提升互联网整体安全还是不够的,必须同时对各种安全信息进行共享,譬如典型的一个特点是攻击百度的人很可能用同样手法去攻击腾讯,在腾讯进行欺诈钓鱼的在腾讯受到打击之后自然会转移到百度的平台,自扫门前雪是不行的。

InfoQ:根据剑心的经验,架构师需要掌握哪些方面的安全知识,才能够胜任互联网产品的架构工作?

方小顿:我觉得还是根据企业的不同会对要求掌握的知识不同吧,与安全工程师或者黑客需求知识的最大不同我觉得除了基础的安全知识,防御及攻击技术,更主要还是在于对于企业自身产品,信息及业务的理解,这种理解对在平时做各种设计和决策非常重要。

InfoQ:架构师在做设计时的一个很重要的任务就是权衡和取舍。安全 (Security) 作为一个非业务特性,在取舍时和其它特性(比如高可用,可扩展,可维护等)相比,有什么异同点呢?

方小顿:在企业做安全工作,最重要的一点是不要忘记自己是做安全工作的,安全天生很可能就会引起其他做产品等工作的同事的不满,因为安全属性是隐藏的,为了这个隐藏的东西而进行额外的工作会让很多人不理解,甚至很多做安全的同事也忘记这一点而在决策的时候优先会去考虑产品的感受,我觉得这是不恰当的,安全本质上和业务的目标是一致的,特别是敏感的业务如支付、电子商务、云等等,我们需要做的是了解业务上下文环境,明确安全目标,而且以业务能够接受的一种方式去实现我们的安全策略从而保障业务安全,安全有很多切入的点,事前无法解决的我们可以在事后解决,前台无法解决的我们可以在后台解决,在不触及安全底线的时候,问题在于如何优雅的实现安全 :)

InfoQ: 乌云这两年以来随着互联网安全受重视程度的日益提高,也越来越受到业界重视。目前已经与大多数知名互联网厂商建立了长效的沟通机制。那么未来乌云的发展方向和定位是什么呢?非安全方向的技术工作者可以通过乌云得到哪些方面的帮助和提高呢?

方小顿:乌云会作为一个开放的第三方安全平台长期存在,我们希望以一个独立第三方的角色能够长期的监督,影响,和提升中国互联网的安全。 大家可以注意到乌云上所有保密的信息在一个时间周期之后都会公开,由于有鲜明的例子和细节,大家可以对安全有较深的体会并且了解到其他企业发生过的安全问题从而在将来的互联网工作乃至生活中避免同样的问题再次发生,同时为了方便大家的学习和提高,乌云将有一个类似于 wiki 的产品出来,对于所有出现过的安全问题进行整理和总结,而面向的主要对象就是非安全方向的技术工作者。

InfoQ:最后问一个八卦点的问题,李彦宏贴吧里“你愿意嫁给‘方小顿’同学吗?”的帖子走红之后,找到新女友了吗(笑)?

方小顿:…… 你们猜


给 InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ )或者腾讯微博( @InfoQ )关注我们,并与我们的编辑和其他读者朋友交流。

2012 年 7 月 02 日 04:292580

评论

发布
暂无评论
发现更多内容

干货时间:聊聊DevOps下的技术系列之契约测试

华为云开发者社区

DevOps 测试 交互

裸辞在家闭关,啃下这些面试笔记,终,拿到字节跳动4面offer

Crud的程序员

Java java面试 程序员面试

软件测试(功能、接口、性能、自动化)详解

测试人生路

软件测试

量化交易系统开发搭建案例

薇電13242772558

区块链 策略模式

被阿里、腾讯、华为追捧为最牛逼的 Java 框架你知道是什么吗?

Java架构师迁哥

KKR四币连发挖矿系统软件APP开发

开發I852946OIIO

系统开发

阿里技术官亲荐“998页的应届生面试手册”看完才发现,原来求职也没那么难!

比伯

Java 程序员 面试 编程语言 计算机

阿里开发10年,全部心血汇聚成到这份文档里,拿到30W的offer没问题

Java架构之路

Java 程序员 架构 面试 编程语言

LeetCode题解:55. 跳跃游戏,贪心,JavaScript,详细注释

Lee Chen

算法 LeetCode 前端进阶训练营

图解HTTP权威指南(一)| HTTP报文

李先生

运维 HTTP

App性能测试揭秘(Android篇)

应用研发平台EMAS

阿里云 软件测试 测试 性能测试 云性能测试

Redis实战丨阿里架构师耗时三年写出的Redis实战文档PDF

Java成神之路

Java 程序员 架构 面试 编程语言

GitHub上3天1W赞的程序员学习路线!入门进阶都非常实用

Java架构之路

Java 程序员 架构 面试 编程语言

面试大厂通过了技术面试,却因学历被拒发 offer 的悲惨经历

Java成神之路

Java 程序员 架构 面试 编程语言

架构师训练营W10作业

Geek_f06ede

测开之函数进阶· 第2篇《纯函数》

清菡

测试开发

学透这份300页的2020最新java面试题及答案,一线大厂offer随便拿

Java架构之路

Java 程序员 架构 面试 编程语言

云服务的可服务性经典6问

华为云开发者社区

服务 计算

等不到明年金三银四了!五面滴滴之路,爆砍37K+16薪Offer

Java架构追梦

Java 学习 架构 面试 滴滴

13W字!腾讯高工手写“Netty速成手册”,3天能走向实战

周老师

Java 编程 程序员 架构 面试

PostgreSQL:您可能需要增加MAX_LOCKS_PER_TRANSACTION

PostgreSQLChina

数据库 postgresql 开源

OPPO小布助手正在改变普罗米修斯的世界

脑极体

2021年Java程序员请先把这几项硬技能熟悉掌握,再想着跳槽拿高薪。

Java成神之路

Java 程序员 架构 面试 编程语言

一文带你了解传统手工特征的骨龄评估方法的发展历史

华为云开发者社区

方法 骨龄 评估

【Java入门】流

HQ数字卡

Java 七日更

物联网打工人必备:LiteOS Studio图形化调测能力

华为云开发者社区

互联网 LiteOS 打工人

阿里工作6年,熬到P7就剩这份学习笔记了(汇聚六年经验总结),已助朋友拿到7个Offer

Java成神之路

Java 程序员 架构 面试 编程语言

大作业1

追风

架构师一期

倍频程与钢琴调式的距离

阿里云视频云

音频技术 音频

阿里架构师478页Java工程师面试知识解析笔记pdf,一份2021年通往阿里的面试指南

Java架构之路

Java 程序员 架构 面试 编程语言

字节跳动的这份《算法中文手册》火了,完整版PDF开放下载!不少小伙伴靠这份指南成功掌握了算法的核心技能,成功拿到了 BATJ等大厂offer。

Java成神之路

Java 程序员 架构 面试 编程语言

InfoQ 极客传媒开发者生态共创计划线上发布会

InfoQ 极客传媒开发者生态共创计划线上发布会

ArchSummit讲师专访:乌云安全平台创始人方小顿谈架构师和互联网安全-InfoQ