关于安全防护的详细介绍和应用

一切得从我六七岁的时候说起，那时候的我喜欢上了在DOS中修改电子游戏，我并没有意识到这将成为我如今激动人心而又成就感十足的网络安全职业生涯的起点。对于当时的我，最开心的就是破解游戏，赢得胜利！

1从那时起，我就对网络安全产生了巨大兴趣，而且一发不可收拾。

十几岁时，我穿梭于各大论坛，寻找和我一样关注电脑网络安全的黑客和程序员。通过在线交流，我们都意识到网络安全正实实在在地影响着我们生活的方方面面，大家都希望能够投身到这个领域。但对于当时的我们而言，网络安全所涉及的范围远远超乎我们的理解，即使我们处在这样一个程序员的圈子。

2大学成为我了人生的转折点。

2009年秋，我考入了达文波特大学，主修网络安全，辅修电脑网络。在这里，我才意识到原来世界上有如此庞大的一群人，在为网络安全而孜孜奋斗。受到教授的鼓励，我积极参加专业会议，和同学们创建各种社团，参加编程马拉松，因而结识了不少志同道合的朋友。我们个性相似，有着同样强烈的求知欲，对于计算机和网络的工作原理、网络破解以及网络安全防护，都有着巨大的兴趣。

2011年我成为了德尔福的实习生，这是我生平第一次的实习。在那里，我与网络安全结下了不解之缘。我进入了德尔福IT团队，从事网络安全基础设施工作。那是一个难忘的暑假，公司非常棒，团队成员都非常优秀，最重要的是，我学到了很多东西。

3每100行代码中就有4个漏洞。

毕业之前，我还在医药和制造行业的技术部门工作过。我曾在一家制造厂从事IT技术支持，确保所有系统正常运转。我还担任过一家医药公司的安全运行分析师，进行应用程序测试，确保其不被破解。此外，我们还负责安全系统监测，以便及时补救可能出现的问题。

然而，不久以后我接到了德尔福的电话。

于是我在2014年重返德尔福，但这次是作为一名正式员工——IT安全分析师。我负责担任“反派”角色，我所在的团队被称为“红队”，我们的主要工作就是模拟坏人的思维，发现公司网络安全的薄弱环节，并帮助IT团队维护公司基础网络设施的安全。一年半以后，我遇到了一个千载难逢的机会。德尔福要组建一个网络安全团队，这个团队将与工程团队一起为德尔福的产品设立安全指引、流程和工具，开发网络安全测试程序。在这个工作岗位上，我不仅要破解网络，还要确保网络的安全，一直到技术成熟进入市场，确保那些用来挽救生命的产品和程序能够安全运行。

4那一刻，我恍然大悟，原来我之前的职业生涯都欠缺一样东西，直到那一刻才完整：以前我总是有意“破坏”东西，再帮助人们修复，从而设法确保它的安全。但是，我却从未“亲眼目睹”解决方案投入应用。而现在，我明确地知道了自己的工作将产生什么样的影响，也就能更好地保护网络安全。

无论我们做什么，做好防护并确保安全都是十分重要的，这已经植根于我们的DNA。我们的任务就是让安全流程应用到各个平台乃至产品生产。为此，我们全身心投入到安全指引、流程和工具的整合，以及网络安全测试实验室的开发，以更好地为工程团队提供支持。

5回顾以往，我们曾经面临的最大挑战就是让公司认可我们的工作，并让大家充分了解到，在早期开发到后期生产这整个产品开发过程中，遵照网络安全的流程、指引并进行安全测试是何其重要。开展安全意识教育、落实安全管理，并在公司内部推行自上而下的安全措施，正是其中的关键。

我们所创建的网络安全模型依托于以下三点：

▸ 设立合理的流程以确保产品安全，并运用合适的工具锁定系统。

▸ 从产品开发初期便与工程团队遵照这一流程进行合作，从样品到最终产品生产的整个过程中为他们提供支持。

▸ 进行“红队”渗透测试和产品检验，帮助减少产品漏洞，确保产品安全。

6公司所属行业正在由传统的思维向现代思维慢慢演进，而我们的团队也在规划进一步的安全防护。入侵系统的企图从未停歇，系统的不安全性只会有增无减。我们意识到，在公司内部建立安全文化，帮助塑造安全环境（包括现实环境、数字以及社会环境），是一项至关重要的使命。这一切对于关键的安全技术（比如自动驾驶技术）的实现尤为重要。

德尔福内部以及外部的协力合作和主动出击是成功的关键，这正是我们参加DefCON Car Hacking Village黑客大会的原因。对于确保德尔福网络安全，我们满怀热情，而DefCON Car Hacking Village给我们提供了前沿工具，这里汇聚了各种新方法、新技术还有新人才。安全并不是一个新的话题，但它从1992年数字安全运动才真正起步、直到今天，而只有协作共进，我们才能在守护网络安全的道路上变得更加强大，继续向前。

右滑查看DefCON Car Hacking Village现场照片

我要感谢德尔福网络安全团队中的每一个人！感谢你们的努力和奋进，在你们的推动下德尔福才成为了网络安全的领跑者。感谢在全球范围内提升安全意识的协会及举办的各种活动：DefCON、Car Hacking Village、GrrCON、BSides Events、SANS Events、Blackhat以及SAE Cyber Auto Challenge。此外，我还要感谢你们——所有致力于实现数字世界和现实世界安全的人们。安全防护，是过程而非结果。