现为互联网公司安全主管,有5年从业经验,对《网络安全法》、《数据安全法》、《个人信息保护法》以及相关法规、国家标准有一定研究,常年实践等保测评、APP备案。
有相关问题可以发在这里,我看看是不是有能力帮大家解惑。
74 个赞
赞,请问在网上搞一个自动发帖回复的机器人有风险吗
1 个赞
首先不管是不是机器人发帖,都需要有个负责人来为发的内容背责任,如果发的内容违法,负责人就承担法律责任。
其次看发的内容是否侵犯了平台和其他个人的合法权益,比如机器人轰炸导致平台无法正常提供服务,又比如对其他个人造谣和网暴,有侵犯行为的话就可能会产生民事纠纷(被平台或个人起诉)。
主要还是行政、刑事和民事相关的法律问题,跟合规监管关系不大。
平台反而是对这些机器人发帖的行为有相关合规监管的法律义务和责任,比如需要对用户进行实名登记,需要对内容的合法性进行审核,需要配合监管部门调查取证。
6 个赞
想请教一下, 如果未来从事sdl相关岗位的时候, 需要哪些能力或者是思维, 感觉这方面更看重的是经验与思维相关的一些东西
我对SDL了解不多,因为我们公司没有在用,而且我了解到的大多数公司都没有。
我对SDL的理解是偏向于安全管理方面,所以可能确实如你所说,更多的是管理方法和解决管理问题的经验,对安全专业技术的涉及可能并不多。
大的软件公司可能会用SDL,但每个公司可能会有自己独特的岗位规划、流程制度、工具设施,所以有可能需要实际进入一家公司从事相关工作,在工作中学习相关技能。
3 个赞
赞!我在行业内接触的前辈不算少,别人的路我没有办法照抄,但我还是希望获得一些过来人的参考信息。下面是我提出的问题,如有不便之处前辈可以选择不回答。
- 我提出的问题
- 您的职业发展规划是什么样的,是否与当初的规划有所改变?
- 就现在您的工作角色,您对在校本科学生、应届毕业生生、刚入职的新人分别有什么建议?
- 您就目前行业经验可以说一下您对网络信息安全行业发展的看法吗?
- 可以说说您觉得的”如果当初知道去做某事”可能会让自己现在过得更好的情况吗?
- 我的基本情况
我是一名本科大三学生,目前学习网络安全方向的知识,但都是偏技术类的,如Web/移动模糊测试、代码白盒审计、EXE程序等。有软考中级证书,提交过CVE、CNVD、CNNVD,参加过众测、护网、重保、攻防、审计等活动。
- 我对这个行业的一些看法
宏观方面习近平总书记曾说过:”没有网络安全就没有国家安全“,微观层面可以从数说安全、数世咨询提供的统计数据来分析,总的来说,个人对这个行业的发展十分看好。
但我的对个别岗位不看好,如安全运维、安全开发、安全服务这一块。
我曾接触过安全服务、IT审计、IT咨询,在不同岗位上看待安全的角度肯定是不同的,我认为如果不是精通技术达到技术变现的情况下,应当采取策略转换成整合资源,提供整体解决方案的人,如乙方IT咨询、公司售前,甲方的SOC IT治理委员会。
期待您的回复 
1 个赞
本科不是网安相关专业,学的光电,想找个培训之后入行网安,因为个人非常喜欢这行,目前也在自己学一些并试着挖edusrc。想问一下,培训出来的有出路吗? 
1 个赞
这个我可以给你提供一些思路,下线培训一群人学习,可以讨论,天天在一起,四五个月,学习强度高,网上培训也可以,得自律。我是下线培训,然后又网上买的小迪的课
2 个赞
佬现在工作咋样
1 个赞
我个人发展不行,但我身边人发展挺好,得看自己的机遇,比如 简历写好点,一开始干渗透的话,干一年后面跳槽就比较好,比我一直看监控的强。
1 个赞
好的,感谢佬
现在开始学,过完年,差不多,春招,可以
okok,这两天研究研究,家里这边同意就开干
1 个赞
做一个擦边的网站,目标是海外用户,域名服务器这些都用海外的有风险吗
学什么可以看看小迪的公众号,进甲方,进乙方,都会被吊。甲方是出什么事情,领导问责,乙方是被自己公司和甲方指挥来指挥去
1 个赞
好好,记下了 
1 个赞
黑盒:主要是看渗透测试能力,需要熟悉主流的漏扫工具,如果有SRC排名或者高质量CVE算是不错的加分项
白盒:主要是代码审计能力,在黑盒基础上增加对当下主流语言的了解和漏洞修复方式,还有一些主流的代码扫描工具
我说的比较简单,贴几个岗位要求你就明白了
乙方SDL的要求
甲方SDL的要求
2 个赞
我认为如果你是强调就业 career guidance,那么这些岗位要求你大概符合其中3条即可。我强调的是职业规划,乙方如果仅干技术是没前途的。
我认为如果已经参与工作,可以两手抓。一手抓个人价值增长(薪资),通过跳槽(20%-30% increase)或者上司谈判 negotiation;一手抓考证,国内目前认证的证书报名考取都是有工作年限要求的,建议规划工作年限一旦足够立马考取CISP、CISSP、CISA、PMP等证书以求进一步角色的转变。
注意!:
1、学生时期时间多钱多可以考虑考取OSCP系列证书,实操性很大,比培训机构强很多。
2、有闲钱也可以先考取CISP-PTE(仅对没有进入职场的人有用,进入职场后无用)、NISP(仅做预备转CISP,转费需要花费4000)。
3、CISP仅作招投标使用,对个人提升无用。
驻场是最容易以较低的学习成本撬动薪资的岗位了,我身边有个驻场了6年的前同事,理论知识非常丰富但实战经验为零,人沟通起来都费劲,研究了很多技术但无法运用,我知道他基本止步于此了。
我只能说如果你不需要更进一步的职业规划,可以选择暂时稳定。
我其实不算是过来人,因为我本身不是从安全专业发展过来的,而是从其他专业和岗位转过来的,所以我的经验可能不具备普适的参考价值。
回答您的问题:
- 我在企业内属于开荒的角色;在2019年国内开始进行网络空间安全建设的前提下,监管部门要求各单位要有专门的安全部门和人员,以承担安全政策的落地实施工作;我就是受公司的任命来开这个荒的,组建安全部门,并建立企业安全管理体系。目前的规划没有变化,随着三部网络空间安全的法律的出台,以及若干法律法规、国家标准的实施,安全管理变成了一个目标在持续更新细化且越发复杂的体系,目前来说互联网行业内安全管理的建设进度普遍处于前期或中期阶段,还有大量工作需要推进。比如以数据安全管理体系为例,大体分为数据分类分级、数据安全管控、数据安全监控和主动防御三个阶段,而绝大部分企业都还是刚做完或是还在做第一个分类分级的阶段。
- 我目前所从事的是企业安全管理工作,工作内容也仅涉及到管理的部分,不涉及深入的安全技术方面,所以可能无法为泛安全相关专业的人员提供职业方面的建议。
- 我个人认为:首先第一方面是企业对安全资产的规划;绝大部分企业都是中小型企业,没有足够的财力去养活一个全能力的安全部门,基本都是委托安全公司或者采购安全产品的模式,来实现轻资产的基础上还能获得不错的安全能力。另一方面就是公司安全工作的重点;目前驱动企业进行安全建设的核心动力是合规压力,所以安全市场可能最大的盘子(市场最广泛的)是与安全合规相关的安全咨询、测评、认证,其次是(可能利润最高的)与合规相关的安全产品如防火墙、堡垒机、审计系统等,然后才是企业内的安全管理、安全技术等方面。当然我的观点也只能代表我自己工作的角度,可能并不全面。
- 不来北京去杭州可能会比现在过得更好
。
我个人认为大学学习的东西不一定在未来工作中直接用得到,工作的时候也是需要学习大量的工作相关的知识和技能;但也不是说大学学习就没有用,大学阶段比较有价值的是打基础,基础打得牢能显著提升你日后学习新知识和技术的速度,你的理解也会更加透彻和全面,这一点参加工作时间越长可能就越明显。
目前安全建设和发展是国策,在我们制度特点来看未来肯定还会继续推进,且只要国际对抗不停止,就会变得越来越重要。而在国内,只要你自己的规划是顺应政策趋势的,都肯定能吃到政策的红利,这一点也在我们公司的主营业务(与安全无关)上得到了印证。至于岗位方面,受限于我个人的职业特点,我其实给不了什么评估和建议,其他大佬了解的话可以回复一下。