探讨企业自行研发安全产品的一些事宜

企业安全成熟度模型来看,没有几个企业能达到安全产品自研阶段,更不用说数据安全产品了。能够呼唤的声音也屈指可数。因为我自己只是写了一些小工具,并没有参与到研发企业级安全产品的工作中去,所以仅从观察到的一些经验来阐述。进行数据安全产品自我研究的过程,或进行安全产品自我研究的过程。大部分工作都是在企业内部解决自适应问题。这类产品在商业上有相似的功能,但是可以适应各种情况。例如,对于KMS,外部KMS可能不能很好地集成到现有的基础架构中,从而使得自己拥有的脚手架代码快速生成。又或者HSM,如果没有钱购买HSM,Softhsm将成为与TPM一起集成自己拥有的加密服务的一种选择。也可以是加密即服务,即将HSM和KMS结合起来做根密钥管理,KMS做密钥管理,为应用程序服务提供加密服务,也可以是数据库审计服务,日志分析等。也可以是内部自助服务,如自助证书申请,数据分类分级工具。其中一个关键问题就是工程设计,很多时候,安全工程师可以给出原型代码,但是大部分不是工程设计代码,无法提供性能兼备的产品。虽然这不是绝对的,还是有很多优秀的工程师能够单凭自己的力量完成。但是,彼此合作并不是更好。


很多情况下,在企业自研安全产品时,必须给出足够的说服力,否则老板会认为我花了2kw买了产品,你为什么还要再招聘一个安全研发工程师?并且从对安全价值的阐述、自我认识到现状看来,绝非易事。


与基础安全的Highrisk、应用安全的Highthreat不同,数据安全本身的特性更倾向于HighValue.这也意味着数据安全工程师需要投入更多的精力,但这些工作并不是孤立才能完成的,必须在其他方面与安全工程师合作,使其能够持续运行。当遇到瓶颈时要告诉自己,在瓶颈之外还有更多的技术。坚持学习!

在安全体系结构方面写了三篇文章,分别浅析了应用安全体系结构、基础安全体系结构和数据安全体系结构:2021给自己定的目标是健康,戒急。到2021还不如定一个目标,锻炼,戒骄戒躁。本文也算是写的慢一点,写了一个多月,行吧。现在开始。

分享: