XieJava's blog

记录最好的自己


  • 首页

  • 分类

  • 标签

  • 归档

  • 关于

CentOS7下安装python3.8

发表于 2021-11-04 | 更新于: 2025-07-11 | 分类于 技术 , 开发 | | 阅读次数:
字数统计: 927 | 阅读时长 ≈ 4

环境的搭建是进行开发的第一步,python因为存在python2和python3两个版本,让在建立python环境时造成不便,并且由于在Linux环境下不像Window环境安装那么友好,存在一些小坑。本教程记录了CentOS7下安装python3.8的过程和注意事项。

一、查看系统版本

1
2
[root@localhost ~]# cat /etc/centos-release
CentOS Linux release 7.2.1511 (Core)
1
2
[root@localhost ~]# uname -a
Linux localhost.localdomain 3.10.0-327.el7.x86_64 #1 SMP Thu Nov 19 22:10:57 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

查看python版本

1
2
[root@localhost ~]# python -V
Python 2.7.5

系统默认安装了Python 2.7.5

二、安装依赖

1
yum install zlib-devel bzip2-devel openssl-devel ncurses-devel sqlite-devel readline-devel tk-devel gcc make

如果有提示一路选择Y就可以

三、下载python源码包

python官网https://www.python.org/ 目前python最新版本是python3.10
下载Python源码包

下载稳定版本3.8版

1
wget https://www.python.org/ftp/python/3.8.12/Python-3.8.12.tgz

四、解压安装python源码包

1、解压

1
tar -zxvf Python-3.8.12.tgz

2、安装

进入解压后的目录进行编译和安装

1
2
cd Python-3.8.12/
[root@localhost Python-3.8.12]#
1
[root@localhost Python-3.8.12]# ./configure
1
[root@localhost Python-3.8.12]# make&&make install

执行完后显示安装成功
pyhont安装成功

3、建立命令软链接

虽然python3.8.12安装成功了,但默认输入python还是显示是2.7版本的。如果要用python3.8.12需要输入python3即可,有时候不太方便。可以通过修改软链接的方式将默认的python指向python3.8.12。
先看一下默认的python及新安装的python3都安装在哪里

1
2
[root@localhost Python-3.8.12]# which python
/usr/bin/python
1
2
[root@localhost Python-3.8.12]# which python3
/usr/local/bin/python3

可以看到默认的python路径为/usr/bin/python,python3的路径为/usr/local/bin/python3
将python3的软链接加到python上

1
2
[root@localhost Python-3.8.12]# mv /usr/bin/python /usr/bin/python.bak
[root@localhost Python-3.8.12]# ln -s /usr/local/bin/python3 /usr/bin/python

通过python -V命令查看python版号,这时python的版本已经是3.8.12了。

1
2
[root@localhost Python-3.8.12]# python -V
Python 3.8.12

pip命令也可以修改,python3.8.12默认的pip是pip3,CentOS7的python2.7默认没有安装pip.
输入pip命令的时候提示命令没有找到

1
2
[root@localhost Python-3.8.12]# pip
bash: pip: command not found...

这时也可以通过建立软链接的方式将pip命令链接到pip3上。首先看pip3命令在哪?

1
2
[root@localhost Python-3.8.12]# which pip3
/usr/local/bin/pip3

然后建立pip到pip3的软链接

1
[root@localhost Python-3.8.12]# ln -s /usr/local/bin/pip3 /usr/bin/pip
1
2
[root@localhost Python-3.8.12]# pip -V
pip 21.1.1 from /usr/local/lib/python3.8/site-packages/pip (python 3.8)

五、配置yum

安装python3改完软链接以后发现yum命令报错了,yum是依赖python2.7的,你把python改成了3.8了,所以报错了。

1
2
3
4
5
[root@localhost Python-3.8.12]# yum
File "/usr/bin/yum", line 30
except KeyboardInterrupt, e:
^
SyntaxError: invalid syntax

可以修改yum里对python2的依赖即可。虽然安装了python3但是系统里python2依旧还在系统里,可以通过python2来指定用python2.7的命令,首先来看下python2的命令在哪里

1
2
[root@localhost ~]# which python2
/usr/bin/python2

可以cd到/usr/bin目录下 通过ls -alh|grep python查看python命令的详细情况。

1
[root@localhost bin]# ls -alh|grep python

python命令软链接
可以看到python软连接是执行的python3命令,python2是执行的python2.7的命令

1
vi /usr/libexec/urlgrabber-ext-down

修改对python的依赖,修改成python2或python2.7都可以。
修改依赖

1
vi /usr/bin/yum

修改依赖

修改完这两个文件后,再敲yum命令就不会报错了。

至此CentOS7环境下python3.8.12已经成功安装!

作者博客:http://xiejava.ishareread.com/


“fullbug”微信公众号

关注:微信公众号,一起学习成长!

认识SOAR-安全事件编排自动化响应

发表于 2021-11-01 | 更新于: 2025-07-11 | 分类于 技术 , 网络安全 | | 阅读次数:
字数统计: 3.5k | 阅读时长 ≈ 11

SOAR是最近几年安全市场上最火热的词汇之一。SOAR究竟是什么,发展历程是什么,能够起什么作用,带着这些问题我们来认识一下SOAR。

一、SOAR是什么

SOAR 一词来自分析机构 Gartner,SOAR-Security Orchestration, Automation and Response 安全编排和自动化响应。在Gartner的报告里,SOAR平台的核心组件为,编排与自动化、工作流引擎、案例与工单管理、威胁情报管理。而SOAR体系则是三个概念的交叉重叠:SOAR=SOA+SIRP+TIP
1)精密编排的联动安全解决方案(SOA);
2)事件应急响应平台(SIRP);
3)威胁情报平台(TIP)。
SOAR

二、SOAR的发展历程

2015年,可以定义为SOAR的1.0时代。Gartner将SOAR(当时被认为是“安全运维分析和报告”)描述成为安全运维团队提供机器可读的安全数据报告和分析管理功能的产品。2017年,SOAR进入2.0时代。Gartner提出了“安全编排、自动化及响应”(SOAR)这个术语,用以描述脱胎于事件响应、安全自动化、场景管理和其他安全工具的一系列新兴平台。Gartner观察到三种以前截然不同的技术:安全编排和自动化(SOA)、安全事件响应平台(SIRPs)和威胁情报平台(TIPs),正在逐步融合到一起。
根据Gartner2019年最新定义,SOAR是指能使企业组织从SIEM等监控系统中收集报警信息,或通过与其它技术的集成和自动化协调,提供包括安全事件响应和威胁情报等功能。SOAR技术市场最终目标是将安全编排和自动化(SOA)、安全事件响应(SIR)和威胁情报平台(TIP)功能融合到单个解决方案中。
SOAR的演进

根据Gartner预测,到2022年,有30%大型企业组织(安全团队超过5人)将在安全和运维的工作中使用SOAR,这一比例远超当下5%。当下SOAR技术的早期拥护者是那些已经拥有成熟安全运维中心,并且能够理解SOAR带来好处的那些成熟的安全组织。

三、SOAR主要解决什么问题

随着网络安全攻防对抗的日趋激烈,网络安全单纯指望防范和阻止的策略已经失效,必须更加注重检测与响应。企业和组织要在网络已经遭受攻击的假定前提下构建集阻止、检测、响应和预防于一体的全新安全防护体系。在国际上,检测和响应类产品受到了极大的关注。放眼国内,更多的注意力集中到了新型检测产品,尤其是未知威胁检测领域。借助这些产品和技术,用户获得了更低的 MTTD(平均检测时间),能够更快更准确地检测出攻击和入侵。但是,这些产品和技术大都没有帮助用户降低 MTTR(平均响应时间)。事实上,对于用户而言,更快地检测出问题仅仅是第一步,如何快速地对问题进行响应更加重要。而在提升安全响应效率的时候,不能仅仅从单点(譬如单纯从端点或者网络)去考虑,还需要从全网整体安全运维的角度去考虑,要将分散的检测与响应机制整合起来。而这,正是 SOAR 要解决的问题。
Gartner指出,SOAR可供公司企业收集不同来源的安全威胁数据和警报,运用人机结合的方法进行事件分析与分类,根据标准流程辅助定义、排序和驱动标准化事件响应行为。SOAR主要为安全团队提供定制化的流程和控制,弥合并加速有效网络威胁的调查与缓解。安全运营团队的大量日常事务性工作也可以借助SOAR加以自动化。而且,案例战术手册还可以帮助分析师在单一平台上响应和缓解威胁,节约事件响应的每一分每一秒宝贵时间。
Gartner 用 OODA 模型,来描绘一个典型的安全运营流程。OODA 即 Observe(观察)、Orient(定位)、Decide(决策)、Act(行动)。

  • 观察:观察事件并确定发生了什么,即通过各种检测、分析工具,比如 SIEM 类工具,找到威胁线索,如告警。
  • 定位:确定观察的方向,并添加上下文来确定观察的含义,即对产生的告警的内容做调查、丰富化。比如查找外网域名的威胁情报,查找此 IP 的历史行为协助研判等等。
  • 决策:根据业务的风险容忍度和能力决定适当的响应行动,即判定是否需要对此告警采取行动,比如是否需要封禁,是否影响业务,是否需要进一步观察。
  • 行动:根据决定采取行动,并应用到观察过程中,然后重复,即执行确定的安全策略,并验证。每一步都对下一步提供了指导,周而复始,构成了一个良性促进的进化循环,不断优化企业的安全运营流程以应对不断变化的安全威胁。
    OODA 模型

OODA 环看起来逻辑清晰,易于操作。但事实上, OODA 环里的丰富化、调查取证、验证、执行安全策略变更等等,都是耗时耗力的工作。加上安全设备一直以来的误报问题产生的噪音,以及安全人员工作负荷重,资深从业人员短缺等原因,难以真正有效的推进 OODA 循环。更不用提在 HW 时段高强度的工作压力下,如何能够有条不紊的保持一贯的处置流程来处理每一个安全线索。SOAR 正是在这个背景下被提出,并被寄予厚望。SOAR 的核心,就是将安全流程或预案,即 OODA 循环的每一个实例,比如蠕虫爆发处理流程、挖矿病毒告警处理流程、疑似钓鱼邮件处理流程等等,数字化管理起来形成 Playbook。用自动化完成其中所有可能自动化的动作,无法自动的仍然交由人来处理,通过可视化编排工具将人、技术和流程有机的结合起来,形成标准统一的、可重复的、更高效的安全运营流程。

四、SOAR的核心功能

从SOAR安全编排自动化响应的字面定义来看SOAR应该具备三大核心能力,编排、自动化、响应

编排

SOAR中的关键词是编排,这是在使用自动化和响应之前必须构建的关键组件。SOAR的编排体现的是一种协调和决策的能力,针对复杂性的安全事件,通过编排将分析过程中各种复杂性分析流程和处理平台进行组合。分析涉及多种数据或平台,如SIEM分析平台、漏洞管理平台、情报数据、资产数据等。处置响应的编排也涉及到很多平台或设备,如EDR管理平台、运维管理平台、工单管理平台、WAF设备、防火墙等。仅仅以技术为中心的安全保障已不再能满足现状,将人员和流程的编排才能保证安全流程真正高效的运行。SOAR的终极目标就是实现技术、流程、人员的无缝编排。

自动化

SOAR的自动化体现在三个方面,面对需要处理的安全事件能够根据策略自动选择编排的剧本、自动执行剧本的操作流程、根据决策结果自动联动设备进行防护阻断等行动策略。它允许剧本(常称为Playbooks)在安全流程的部分或全部内容上执行多个任务,将线性剧本串联起来。虽然线性剧本可能更容易创建,但只适用于处理决策需求较少的工作流。编排和自动化比线性剧本的最大优势就是其灵活性,为支持全自动化和半自动化的决策,需要更加灵活的工作流和执行剧本。SOAR能够识别这些决策模式,并基于以往事件中的执行操作,自动推荐新事件的剧本、执行剧本操作流程,自动化分析决策,根据决策结果自动下发防护阻断的行动策略。

响应

安全事件响应包括告警管理、工单管理、案件管理等功能。告警管理的核心不仅是对告警安全事件的收集、展示和响应,更强调告警分诊和告警调查。只有通过告警分诊和告警调查才能提升告警的质量,减少告警的数量。工单管理适用于中大型的安全运维团队协同化、流程化地进行告警处置与响应,并且确保响应过程可记录、可度量、可考核。案件管理是现代安全事件响应管理的核心能力。案件管理帮助用户对一组相关的告警进行流程化、持续化的调查分析与响应处置,并不断积累该案件相关的痕迹物证 (IOC) 和攻击者的战技过程指标信息 (TTP)。多个案件并行执行,从而持续化地对一系列安全事件进行追踪处置。
SOAR事件响应

事件响应是SOC操作中非常复杂的部分,理想状态下,它将是一个有效的动态过程,涉及数十种相互关联的技术、IT、业务流程和整个组织的人员,将是持续性适应风险和信任评估(Continuous Adaptive Risk and Trust Assessment, CARTA)策略用于在持续监测和可视性方面时,SOC团队可使用SOAR技术执行连续活动,利用SOAR技术通过智能化编排与响应最大程度的将已有安全技术进行整合,提高整个安全事件的解决能力和效率。基于编排和自动化前期对事件的分析,SOAR所提供的响应技术是完善整个事件生命周期,提高解决安全威胁效率的关键一环。本质上,SOAR的最终目标是促进安全团队对事件有全面的、端到端的理解,完成更好、更明智响应。

五、SOAR的价值

1、缩短响应时间
通过自动化技术,尽可能多的自动完成一个安全事件处置流程中相关步骤,从而缩短响应时间即 MTTR。
2、释放人力
让安全专家从繁重的重复劳动中释放出来,将时间放在更有价值的安全分析、威胁猎捕、流程建立等工作上。
3、安全运营流程标准化
将公司的安全运营流程数字化管理起来,每一次安全事件的对应处置过程都在统一标准,统一步骤下执行,有迹可循。避免人员能力的差距导致的处置实际效果不可控。
4、避免能力断层
将安全专家的经验固化成处置预案Playbook,让不同的人都可以遵循同样的方法来完成特定安全事件的处置流程,避免因为个人的离职导致某个领域的安全能力缺失。
5、运营流程指标可度量
因为运营流程都通过 Playbook 数字化管理且每一次的执行过程都记录在案,因此流程的 KPI 如 MTTD、MTTR、TTQ、TTI 等全部可评估、可度量、可追踪。
6、安全运营决策支撑
通过对公司的所有运营流程数字化管理、数字化执行、数字化KPI评估后,管理者可以有效的评估什么流程基本无用,什么流程执行效率不高,什么流程发挥了最大的作用,甚至什么安全设备在所有流程中被使用的价值最大。从而为以后的安全投资决策,安全团队建设决策提供有价值的数值化支撑。

六、SOAR与其他安全产品的关系

SOAR与其他安全产品的关系

SOAR定位于安全运营操作平台,它收集不同来源的安全威胁数据和警报,事件来源于其他的态势感知平台、SIEM、日志分析系统或安全人员人工录入需要处理的事件。通过调用安全设备的能力如:情报平台、资产管理平台、漏洞扫描平台、EDR管理平台、运维管理平台、工单管理平台、WAF设备、防火墙来实现对安全事件的分析、溯源、取证、处置、通知等。一端接安全事件源,一端对接安全设备能力。通过SOAR本身的编排能力将人员、设备、资源、流程协同起来。每个企业部署流程和技术并不相同,SOAR在实际落地应用过程中并不能“即插即用”,需要对接事件源、对接各类联动处置设备,根据企业具体的实际情况定制剧本流程。对接的实际安全设备能力数量以及剧本的积累,是SOAR平台能够很好的支持运营的关键。

作者博客:http://xiejava.ishareread.com/

大脑不是用来思考的,如何让孩子更好的学习?

发表于 2021-08-22 | 更新于: 2025-07-11 | 分类于 读书 | | 阅读次数:
字数统计: 3.6k | 阅读时长 ≈ 11

读书

在这个知识爆炸、学习竞争压力巨大的时代,让父母最焦虑的事情之一,莫过于家里有个厌学的孩子了。为了让孩子好好学习,家长们操碎了心。为了孩子报各种培训辅导班、自己亲自上阵陪同辅导、高价请一对一的家教辅导,就差自己代替孩子去学习了。而孩子依旧是,一写作业就磨蹭、一考试就不会、一上学就无精打彩,一放学就满血复活。为什么学生不喜欢上学?如何让孩子喜欢并更好的学习呢?让我们跟着这本《为什么学生不喜欢上学?》一起来探索学习的秘密。
我的心里只有学习
《为什么学生不喜欢上学?》是一本关于认知心理学的普及读物,也是一本教育心理学的入门书籍。作为美国弗吉尼亚大学心理学教授威林厄姆的重要著作,是一本深受学生和教师欢迎的教育心理学著作。他用认知心理学的原理,详细分析了学生学习的过程和教师在课堂教学中必须注意的一些问题。

作者丹尼尔·T·威林厄姆,哈佛大学心理学博士,美国弗吉尼亚大学心理学教授。主要研究以大脑为基础的学习和记忆及认知心理学的基础教育应用。《美国教育家》杂志《向认知科学家提问》专栏作者。

这本书有着容易被人忽视和低估的名字,实际上它是一本认知心理学和教育心理学的科普著作,长期在美国亚马逊图书榜畅销不衰。在豆瓣评分高达9.3分!

为什么学生不喜欢上学
书中主要提出并回答了这些问题:

  • 为什么学生不喜欢上学?
  • 为什么学生能记住电视里的所有细节,却记不住我们教他的知识?
  • 为什么让学生理解抽象概念这么难?
  • 题海战术有用吗?
  • 科学家是怎样思考的?如何让学生像专家一样思考?
  • 如何因材施教?

这本书刷新了很多人对学习的认知,不仅仅适合学生,同样适合处于终生学习时代的你和我。如果你的小学老师能早一点看到,你也就不会讨厌学习了。当然,现在的你看了也同样不晚。不论是教育孩子还是自己,了解了认知学的原理,按照符合科学原理的方法去做,都会让大家的学习更有效率。特别是,本书有许多震撼人心、不符合我们直觉的认知让我们重新去思考如何去更好的学习。

学生为什么不爱学习?

从认知心理学的角度来看,人是充满好奇心的,愿意探索了解一切;也喜欢思考,因为思考就是解决问题,而解决问题能带来愉悦感。比如当你苦苦思索,终于解出了一道难题或者想通了一件事情,你的大脑可能奖励它自己少量的多巴胺,让你恨不得手舞足蹈,瞬间自信心爆棚,觉得自己是世界上最棒的人。这种快乐,跟吃个甜点是完全不一样。学习应该是件很快乐的事情。

既然解决问题也能带来快乐,那为什么还有这么多人不愿意思考,不愿意学习呢?

因为:大脑不是用来思考的!!!

看到这里估计大家会一脸闷逼,大脑不是用来思考的,哪是用来干啥的呢?是的,大脑能做很多事情,但思考并不是它最拿手的,人类不常思考是因为我们的大脑不是用来思考,而是用来避免思考的。思考很费力,而且它还是缓慢、靠不住的。幸运的是尽管我们并不擅长思考,但我们其实喜欢思考,我们生来就有着好奇心,也寻找可以进行思考的机会。但正是因为思考很难,需要条件合适,这份好奇心才能存活,否则我们很快就会放弃思考的念头。好奇心是与生俱来的,但它很脆弱。思考的愉悦感来自解决问题的过程,在一个要解决的问题上毫无进展是不会有愉悦感的,实际上,还会让你沮丧。同样只是知道问题的答案也不会有多大的愉悦感。如何保持好奇心,激发思考的兴趣呢?答案是思考问题的难易程度。太容易的问题不会带来愉悦感,同样太难的问题不但不会带来愉悦感还会带来挫折感让人渐渐的避免思考。

所以:要确保提供给学生的问题是可以解决的。尊重学生的认知局限和个体间的认知差异,难易适中。

根据资料,认知心理学把人类对于外部世界的认识分成了三个区域:舒适区、学习区、恐慌区。其中,“舒适区”是对自己来说没有学习难度的知识,接触这类知识感觉很舒适,但可学到的东西很少,进展缓慢;“学习区”有一定挑战,接触时会感到不适,但又不至于太难受,保持在这个区间学习,可以得到快速成长;“恐慌区”是超出自己能力范围太多的知识,接触会感到忧虑、恐惧,不堪负重以至放弃学习。学习具有适当挑战的东西,一段时间后,“学习区”会慢慢变为“舒适区”, 而一部分的“恐慌区” 又会变成“学习区”。
舒适区、学习区、恐慌区

在舒适区学习,会因为太容易而觉得枯燥,无法坚持;在恐慌区学习,会因为太难好奇心受挫,很快就放弃。所以学习任务要难易适中。要确保在学习过程中碰到的问题可以被解决。

在学习的过程中死记硬背是否合理?

一般大家都会死记硬背的学习方法嗤之以鼻,认为是读死书。然而你错了!有些东西该背的还得背,该记的还得记。事实性知识要先于技能,也就是说如9*9乘法表,元素周期表、历史年代表、一些常识等等,必须得用心记下,这些都是学习的基石。

毫无疑问,让学生记住枯燥的事实是完全不够的,需要进行关联和分析。但是同样,如果没有事实性知识想要凭空让学生拥有分析能力或者归纳能力是不可能的。

因为:
第一,背景知识对阅读理解来说必不可少。它帮我们在单个的要点之间建立起联系。

第二,背景知识对于我们的认知是必要的。一个人看起来在进行逻辑思考,但其实大部分是在进行记忆检索。它使我们能够将独立的元素合成一个单元,进而增加工作记忆的空间。

第三,事实性知识可以增强记忆。如果你对一方面了解的越多,你就越能更好的理解这方面的新知识。

长期记忆中的事实性记忆使得获取更多的事实性知识更容易,它说明持有的信息量取决于已有的信息量。

所以:
我们必须让学生学习背景知识。学生必须学会反复出现的概念–统一所有学科的思想。

知识体系在先,批判性思维在后。批判性思考并不能够脱离背景知识而单独实践以至完善的。
具有浅显知识都比没有知识强。了解的深固然好,但是我们不可能细致地了解每一件事情,泛泛的知识显然比不懂要强。

加强阅读。大量的数据证实,读“闲书”的人一生都因此受益。

偶然获得知识。学习事实性知识可以随时随地的学习如读闲书、翻杂志、看记录片、新闻或者和朋友聊天都可以获得相应的知识。

尽早开始。家庭环境的培养,如父母使用的语言、书籍资源是否可得、家长是否平时看书。等等还有其他一些因素决定了孩子在上学前拥有的知识。

题海战术到底有没有用?

题海战术也是比较有争议的学习方法,现在有一种观点认为,题海战术只对提高考试成绩有帮助,扼杀了学生内在的学习动力,是现行教育下的畸形产物,它带来的弊远大于利。但同时也有教育专家跳出来说,学生必须反复地练习才能学会知识和技能。两者孰是孰非?

在认知学看来,练习是最有效的窍门之一,它减少了大脑活动需要的空间。没有充分的练习,你不可能精通任何脑力活。

为什么要练习?因为通过练习能获得最基本的能力,以期精益求精。如果你作为足球运动员在带球的同时还要思考踢球的角度和速度,你不太可能成为一个优秀的足球运动员。你必须得日复一日的练习。像这样的低层次过程必须不假思索,才能给更高层次的过程,比如战术策略提供足够的空间。类似的,你如果不熟记数据要诀也学不好代数。练习的目的是获得能力和提高能力。

因为:

练习是为了日后更好的学习。通过大量的练习会让一些步骤变得自动化,学习者才能将思考能力提高到下一个层次。让思考过程变得省力,这样才能学得更多。

练习使记忆更长久。努力学习显然不能防止遗忘,但持续地练习可以防止遗忘。

练习促进知识的迁移。重复做很多某一类型的题目使你更容易辨识一个新问题的内在结构,即使你以前没有见过这一题目。

但是,不是每件事情都需要无限度地练习的。

所以:

如果练习可以让思考过程变得省力,我们就要去识别哪些过程需要自动化,总的来说需要自动化的过程往往是自动化后效益能达到最大值的技能的基础。

分散练习时间。没有必要把关于一个概念的所有练习集中在很短的一段时间里完成。分散练习后记忆会更持久。持续不断地练习同一项技能是很无聊的事,最好能有点变化。分散练习的另一个好处是学习者有更多的时间思考如何将学到的东西加以应用。

在进阶环境中练习。自动化需要很多练习,聪明的办法是既分散练习的时间,又分散练习的环境。尽量多的设计有创意的方法来练习最关键的技巧,同时让学习者在更高阶的环境中学到基本技能。

有些孩子天生就不是学习的料?

有些人认为,学习能力是受基因影响,如果你的基因优秀,你就聪明;基因不好,就不聪明。你聪明就可以学得很好。另外一种看法就是认为智能是可以塑造的。如果考试考砸了或不理解某个知识点,不是因为笨,而是因为他们还不够努力。哪一种看法是正确的呢?

答案是:两者都有正确的部分。我们的基因遗传确实对智能有影响,但是通常是通过环境影响的。毫无疑问智能是可以改变的!

孩子智能上的差异可以通过持久的努力来改变。

因为:

对于智能,态度很重要
有充分证据证明,相信智能可以通过努力提高的学生比相信智能是改变不了得事情的学生学得更好,得到的分数更高。
孩子必须知道他的能力决定他所作事情时的成功率,他需要发展对于自己能力的自信,而且还要理解,对于不同类型的任务他拥有不同级别的能力。

所以:

要确保孩子相信自己能够进步,要让他们相信为此所作的努力是值得的。

赞扬努力,而非能力。赞扬过程而不是能力,赞扬孩子面对困难时坚持不懈的精神或对作业负责的态度。

告诉他们一份耕耘一份收获。所有的所谓“天才”都是持续努力的结果。

坦然的接受失败。如果你想提高智能,你需要挑战自己,这表示接受了略高过自己能力的任务,你很有可能第一次就会失败,但失败没有什么大不了的。人生中的一次又一次的失败是成功的原因。
学习技能不是天生的。所有的学习者都要学会自觉、时间分配、足智多谋(如遇到难题时该如何做)。

终身学习,做保持好奇心和探索欲的父母和老师,我们需要更多的智慧。而教育就是将智慧薪火相传的过程,尊重孩子的认知规律,谨慎积极的保持努力和践行。教育使人更聪明,聪明的人可以使教育更美好。


关注:“爱分享读书”微信公众号

“爱分享读书”微信公众号

读书我们是认真的

都2021了,我为什么还在用博客这种古老的方式在记录

发表于 2021-08-20 | 更新于: 2025-07-11 | 分类于 人生 | | 阅读次数:
字数统计: 903 | 阅读时长 ≈ 3

BLOG

都2021了,在这个移动互联网异常发达,自媒体泛滥的时代,博客这个古老的在互联网时代记录自己的工具似乎是不合时宜要被大众所遗忘被历史所淘汰。而我却还在用博客这种古老的方式生活在移动互联网时代记录工作,学习,生活。

一、为什么要记录
正如我的博客标题,记录最好的自己。最朴实的想法就是想记录自己的所学、所见、所闻、所思、所想。记录使人进步。吴军老师的《全球科技通史》中提到,促进人类文明发展的是两条主线,一条是能源,一条是信息。文字的发明,信息的记录,让人类的文明得以延续和发展。是一代一代人通过信息的记载和积累促进科技的发展,让信息不管是从记录方式还是传播速度都得到了跨越式的发展,进入到了现在信息爆炸的时代。书中提到,为什么在近代早期西方的科学技术进步的速度要明显的快于中国,一个重要的原因就西方对于科学技术的研究及传播方式。西方的研究方式是通过不断的实验大量的记录进行定量研究,后人可以基于前人记录的信息研究成果进行研究和传播,大大加快的科学技术的进步。而那时候中国可能还是定性方式的研究,口口相传的传播方式,导致原来很多技术到现在都失传了。

对于个人来说,我想应该也是一样的,要想更快进步和发展,将自己生活、学习、工作过程中的所学、所见、所闻、所思、所想记录下来定期的回顾和思考应该会有所促进吧。而且随着时间的推移回头看看自己以前记录的东西应该也是一种乐趣。或许,有人看到我所记录的东西以此为鉴少走一点弯路。

不在乎文笔,不限于内容,仅仅只是记录,希望记录能够成就最好的自己。

二、为什么是博客这种方式
记录信息的手段很多,尤其是自媒体时代,微博、微信、头条、抖音、小红书啥的,平台很多。为什么还要用博客这种古老的方式呢?如果自是记录给自己看映象笔记、网易云笔记都是很好的,私密性太强,不够开放。微博、微信社交属性太强关注的都是些熟人。头条、抖音、小红书,功利性太强,为了收益去强迫自己去写也不是自己的初衷。想来想去还只有博客这种古老的方式比较合适,安安静静的自己想记录什么就记录什么。也不用去担心什么流量,不用去关注什么人关注了你。以前几个大的通用的博客平台都不提供服务了如新浪博客、网易博客等,而CSDN、cnblog主要是技术类的博客,想记录点乱七八糟的事情似乎也不太适合。所以只好自己来搭建博客咯。

自己搭建的博客http://xiejava.ishareread.com 已经快两年了。记录的东西不是太多,说明见识不多,思考太少。



“fullbug”微信公众号

关注:微信公众号,一起学习成长!

安全运维与安全运营

发表于 2021-08-20 | 更新于: 2025-07-11 | 分类于 技术 , 网络安全 | | 阅读次数:
字数统计: 668 | 阅读时长 ≈ 2

安全运维与安全运营是安全人员经常听到的两个名词。到底什么是安全运维,什么是安全运营,两者之间有什么区别和联系呢?

我们先来看一下运维与运营的概念区别。
运维一般来说指的是运行维护,通过一定的技术和管理手段保障平台或系统的正常运行。本质上是对平台、系统或产品所涉及的网络、服务器、服务的生命周期各个阶段的运营与维护,在成本、稳定性、效率上达成一致可接受的状态。

运营从字面上理解更多的是指经营。通过对平台、系统或产品的经营达到预期的业务目标。对运营过程的计划、组织、实施和控制,是与产品生产和服务创造密切相关的各项管理工作的总称。从另一个角度来讲,运营管理也可以指为对生产和提供公司主要的产品和服务的系统进行设计、运行、评价和改进的管理工作。

总体来说运营应该是覆盖运维的,运维是支持运营的。那么安全运维和安全运营,应该也是同样的道理。

网上有人进行了概括:

安全运维简单来说,就是从安全的角度对日常IT信息系统进行运行维护,传统运维工作主要是为了保障信息系统的正常运行,安全运维则是通过安全分析,检测和解决已经产生和即将产生的安全问题,从而建立从防护到监测到解决的闭环安全机制管理系统,实现运维的目的——保障企业整体IT系统运行正常。

安全运营应该来说概念更广,狭义的安全运营是为以资产为核心,以安全事件管理为关键流程,依托于安全运营平台(SOC),建立一套实时的资产风险模型,进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理体系。广义安全运营是一个技术、流程和人有机结合的复杂的系统工程,通过对已有的安全产品、工具、服务产出的数据进行有效的分析,持续输出价值,解决安全风险,从而实现安全的最终目标。

个人认为运维更多的强调流程,运营更多的强调体系。

作者博客:http://xiejava.ishareread.com/

网络信息安全管理之资产、脆弱性、威胁、风险

发表于 2021-08-19 | 更新于: 2025-07-11 | 分类于 技术 , 网络安全 | | 阅读次数:
字数统计: 2.5k | 阅读时长 ≈ 8

​
网络信息安全管理是指对网络资产采取合适的安全措施,以确保网络资产的可用性、完整性、可控制性和抗抵赖性,不致因网络设备、网络通信协议、网络服务、网络管理受到人为和自然因素的危害,而导致网络中断、信息泄露或破坏。网络信息管理对象主要包括网络设备、网络通信协议、网络操作系统、网络服务、安全网络管理等在内的所有支持网络系统运行的软、硬件总和。网络信息安全管理的目标就是通过适当的安全防范措施,保障网络的运行安全和信息安全,满足网上业务开展的安全要求。

网络信息安全管理要素由网络管理对象、网络威胁、网络脆弱性、网络风险、网络保护措施组成。由于网络管理对象自身的脆弱性,使得威胁的发生成为可能,从而造成了不同的影响,形成了风险。网络安全管理实际上就是风险控制,其基本过程是通过网络管理对象的威胁和脆弱性进行分析,确定网络管理对象的价值、网络管理对象威胁发生的可能性、网络管理对象的脆弱程度,从而确定网络管理对象的风险等级,然后据此选取合适的安全保护措施,降低网络管理对象的风险。

安全风险管理的三要素分别是资产、威胁和脆弱性,脆弱性的存在将会导致风险,而威胁主体利用脆弱性产生风险。网络攻击主要利用了系统的脆弱性。由于网络管理对象自身的脆弱性,使得威胁的发生成为可能,从而造成了不同的影响,形成了风险。

网络信息安全管理要素

网络信息安全管理对象是企业、机构直接赋予了价值而需要保护的资产。它的存在形式包括有形的和无形的,如网络设备硬件、软件文档是有形的,而服务质量、网络带宽是无形的。

常见的网络信息安全管理对象信息安全资产分类如下:

分类 示例
数据 保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划报告、用户手册、各类纸质的文档等
软件 系统软件:操作系统、数据库管理系统、语句包、开发系统
应用软件:办公软件、数据库软件、各类工具软件等
源程序:各种共享源代码、自行或合作开发的各种代码等
硬件 网络设备:路由器、网关、交换机等
计算机设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等
存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等
传输线路:光纤、双绞线等
保障设备:UPS、变电设备、空调、保险柜、文件柜、门禁、消防设施等
安全设备:防火墙、入侵检测系统、身份鉴别等
其他:打印机、复印机、扫描仪、传真机等
服务 信息服务:对外依赖该系统开展的各类服务
网络服务:各种网络设备、设施提供的网络连接服务
办公服务:为提高效率而开发的管理信息系统,包括各种内部配置管理、文件流转管理等服务
人员 掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理等
其他 企业形象、客户关系等

脆弱性:脆弱性也可称为弱点或漏洞,是资产或资产组中存在的可能被威胁利用造成损害的薄弱环节。脆弱性一旦被威胁成功利用就可能对资产造成损害。脆弱性可能存在于物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各个方面。

脆弱性是与资产紧密相连的,是其固有的属性,客观存在是绝对的,但存在脆弱性不一定就绝对造成安全事件。如果没有被相应的威胁利用,单纯的脆弱性本身不会对资产造成伤害。

类型识别对象脆弱性子类
技术脆弱性 物理环境 机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通讯线路的保护、机房区域防护、机房设备管理等
网络结构 网络结构设计、网络传输加密、网络设备安全漏洞、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等
服务器/系统软件 补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置(初始化)、注册表加固、网络安全、系统软件安全漏洞、软件安全功能管理等
数据库 补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制、审计机制等
应用系统 审计机制、审计存储、访问控制策略、数据完整性、通讯、鉴别机制、密码保护等
应用中间件 协议安全、交易完整性、数据完整性等
管理脆弱性 技术管理 物理和环境安全、通讯和操作管理、访问控制、系统开发与维护、业务连续性等
组织管理 安全策略、组织安全、信息资产分类与控制、人员安全、符合性等
威胁:对资产或组织可能导致负面结果的一个事件的潜在源。威胁利用管理对象自身的脆弱性,采用一定的途径和方式,对评估对象造成损害或损失,从而形成风险。

威胁源分三类:自然威胁、人为威胁和环境威胁。

种类 描述 威胁子类
软硬件故障 对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺陷等问题 设备硬件故障、传输设备故障、存储媒体故障、 系统软件故障、应用软件故障、数据库软件故障、开发环境故障等
物理环境影响 对信息系统正常运行造成影响的物理环境问题和自然灾害 断电、静电、灰尘、潮湿、温度、洪灾、火灾、地震、暴风雨、潮汐、污染、空调设备故障、鼠蚁虫害、电磁干扰等
操作失误 应该执行而没有执行相应的操作,或无意执行了错误的操作 维护错误、操作失误、提供错误的指南或操作信息等
管理不到位 安全管理无法落实或不到位,从而破坏信息系统正常有序运行 管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全等
恶意代码 故意在计算机系统上执行恶意任务的程序代码 病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件、携带恶意软件的垃圾邮件、流氓安全软件、即时消息垃圾邮件等
越权或滥用 通过采用一些措施,超越自己的权限访问了本来无权访问的资源,或者滥用自己的权限,做出破坏信息系统的行为 非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息、非授权使用存储介质等
网络攻击 利用工具和技术通过网络对信息系统进行攻击和入侵 网络探测和信息采集、漏洞探测、嗅探(账号、口令、权限等)、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏、拒绝服务攻击、僵尸网络、隐蔽式下载、名誉劫持、网络黑客的入侵等
物理攻击 通过物理的接触造成对软件、硬件、数据的破坏 物理接触、物理破坏、盗窃、勒索、罢工、内部员工蓄意破坏等
泄密 信息泄露给不应了解的他人 内部信息泄露、外部信息泄露等
篡改 非法修改信息,破坏信息的完整性使系统的安全性降低或信息不可用 篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息等
抵赖 不承认收到的信息和所作的操作和交易 原发抵赖、接受抵赖、第三方抵赖等

在这里可以看出威胁与攻击的区别和关系。攻击是威胁的一种类型,攻击是人为的蓄意的有计划采取的恶意破坏的行动。一般来说攻击比较容易检测到。

网络信息安全风险是指特定的威胁利用网络管理对象所存在的脆弱性,导致网络管理对象的价值受到损害或丢失的可能性。简单的说,网络安全风险就是网络威胁发生的概率和所造成影响的乘积。

网络安全风险分析

本文整理自《信息安全工程师教程第2版》

作者博客:http://xiejava.ishareread.com/

​

初识威胁情报

发表于 2021-06-25 | 更新于: 2025-07-11 | 分类于 技术 , 网络安全 | | 阅读次数:
字数统计: 3.2k | 阅读时长 ≈ 10

初识威胁情报

随着网络空间的广度和深度不断拓展,当今网络攻击的多样化、复杂化、专业化,安全对抗日趋激烈,传统的安全思维模式和安全技术已经无法有效满足政企客户安全防护的需要,新的安全理念、新的安全技术不断涌现。业界普遍认同:仅仅防御是不够的,更加需要持续地检测与响应。而要做到更有效的检测与更快速的响应,安全情报必不可少。有效的威胁情报可以提高安全产品的对恶意攻击识别能力,提高溯源效率,并及时采取应对措施,减少甚至消除攻击的危害。

本文收集了互联网上的威胁情报的相关知识信息,试图从威胁情报的定义、分类、应用三个方面对威胁情报进行初步的认识。

一、什么是威胁情报

安全情报包含漏洞、资产、威胁、风险、运行和事件等多维度安全知识在内的知识集合。安全情报是一个宽泛的概念,主要包括了威胁情报、漏洞情报、事件情报以及基础数据情报。

根据Gartner对威胁情报的定义,威胁情报是一种基于证据的知识,包括了情境、机制、指标、影响和操作建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。简单来说威胁情报是可以针对相关威胁采取行动的知识,可以帮助企业和组织快速了解到敌对方对自己的威胁信息,从而帮助他们提前做好威胁防范、更快速地进行攻击检测与响应、更高效地进行事后攻击溯源。

从严格意义上来讲,威胁情报和漏洞情报是不同的两种安全情报,不应该将它们混淆。从防御者的角度来看,获取漏洞情报是为了知己,而获取威胁情报是为了知彼。

二、威胁情报分类

根据使用方法不同,威胁情报可分为三类

战略情报
包括安全调查报告、趋势分析、行业状况等战略层面的情报,可供企业CISO或安全负责人制定安全规划和投资策略,将有限的资源投入到最需要的地方。

技术情报
包括各种威胁的丰富化情报,以及相关信息。通过攻击事件相关的IP和域名的详细信息,以及攻击者相关的攻击事件及样本,安全分析师可以对重要安全事件做准确的分析,包括报警确认、攻击影响范围、攻击链以及攻击目的、技战方法等,并进行相应的安全预测和防范。

战术情报
包括各种面向安全设备或系统的,易于执行的高可信度威胁IOC (Indicator of Compromise)。安全运营团队利用高质量的威胁IOC可帮忙安全系统自动检测未知威胁,及早产生预警和通知,快速响应恶意攻击,提高企业安全防护能力。

根据数据本身威胁情报可以分为HASH值、IP地址、域名、网络或主机特征、TTPs(Tactics、Techniques & Procedures,工具、技术、过程)等
威胁情报

HASH值:一般指样本、文件的HASH值,比如MD5和SHA系列。由于HASH函数的雪崩效应,文件任何微弱地改变,都会导致产生一个完全不同也不相关的哈希值。这使得在很多情况下,它变得不值得跟踪,所以它带来的防御效果也是最低的。

​​IP地址:常见的指标之一,通过IP的访问控制可以抵御很多常见的攻击,但是又因为IP数量太大,任何攻击者均可以尝试更改IP地址,以绕过访问控制。

​​域名:有些攻击类型或攻击手法也或者出于隐藏的目的,攻击者会通过域名连接外部服务器进行间接通信,由于域名需要购买、注册、与服务器绑定等操作使得它的成本相对IP是比较高的,对域名的把控产生的防御效果也是较好的。但是对于高级APT攻击或大规模的团伙攻击,往往会准备大量备用域名,所以它的限制作用也是有限。

​​网络或主机特征:这里指的特征可以是很多方面,比如攻击者浏览器的User-Agent、登录的用户名、访问的频率等,这些特征就是一种对攻击者的描述,这些情报数据可以很好的将攻击流量从其他的流量中提取出来,就会产生一种较好的防御效果。

​​攻击工具:这里是指获取或检测到了攻击者使用的工具,这种基于工具的情报数据能够使得一批攻击失效,攻击者不得不进行免杀或重写工具,这就达到了增加攻击成本的目的。

​​TTPs:Tactics、Techniques & Procedures的缩写,指攻击者所使用的攻击策略、手法等,掌握了些信息就能明白攻击者所利用的具体漏洞,就能够针对性的布防,使得攻击者不得不寻找新的漏洞,所以这也是价值最高的情报数据。

从应用领域分类可以分为,机读情报(MRTI)、人读情报(PRTI)、画像情报和知识情报四类

机读情报:可供机器理解和使用的情报,侧重于高频次、高准确性、强实效的应用场景。
人读情报:信息量更大,需要更多的上下文、背景信息支持人工分析研判和应急响应。
画像情报:针对单一的威胁、资产、漏洞、事件进行分析,形成相应的知识集,概念上类似于用户画像。
知识情报:基于先验知识的规则模型和算法。这些模型和算法与平台之间高度匹配,可以快速导入平台,结合平台获得的各类数据、信息和情报,实现对某类特定类别的威胁、风险或特定事件的感知、分析、决策和处置。消费对象和应用场景集中于态势感知、SOC/SIEM类分析平台。

其中机读情报应用最广,基本已经被各大安全厂商在设备中集成,多以IoC或者Yara的形式存储。人读情报的格式比较宽泛,包括安全公告、漏洞预警、病毒/APT分析文章都属于这个类别。画像情报则是介于机读和人读情报中的一种,通常用结构化的标签和非结构化的备注来描述,针对单一的威胁、资产、漏洞、事件进行分析形成的知识集,也可以加入场景标注。而知识情报的提法主要是针对态势感知、SOC、SIEM类平台产品的,平台内置的先验规则如关联规则和知识图谱都属于这一类。

从情报市场来源来分可分为开源情报(OSINT)、商用情报

开源情报:Open Source Threat Intelligence 开源情报,免费从公开信息来源进行数据采集和分析后形成的情报。
商用情报:Commercial Threat Intelligence 商业情报,在威胁情报领域,根据用户需求提供的付费情报。一般来说付费的准确度要稍高。

三、威胁情报有什么用

溯源分析
威胁情报记录了外部攻击的大量信息,可以让安全分析师了解攻击方的情报,解决攻防战中信息不对称的困境。特别是在分析告警、进行溯源分析时,往往会在威胁情报系统中查询相关攻击 IP、Domain 等的具体信息,看看有没有攻击线索和方式,可以用作告警确认和进一步处理的依据。

检测告警
数字化时代的黑客的攻击也逐渐自动化、智能化,每天企业都会受到大量的外部攻击,依靠人去一个个分辨是不现实的,企业往往部署了可以对外部流量或外部日志进行自动化分辨的安全设备和系统,比如 FW 、 IDPS 、 SIEM 或大数据安全分析平台。如果将最新的威胁情报传输到这些 安全设备和系统中,就可以极大的提高这些设备系统对新型攻击的检测能力。
情报厂商往往将这些有价值的情报以IOC 的形式发布出来,用户可以将这些 IOC 导入到部署的安全设备系统中,从而可以快速实现对新型威胁攻击的识别、告警和处理。

安全预防
防守不是最好的策略,在如今企业每日都面对各式各样的网络攻击,单纯的被动防守已经无法阻挡黑客的攻击。如果能预知攻击并提前预防就可以减小不少攻击的损失。
通过漏洞情报可以在攻击到来之前获悉攻击的信息,事先做好准备,修复相关漏洞,加强安全防护,避免威胁攻击带来的危害。

安全规划
安全工作是一个系统性的工程,需要方方面面的知识和信息。为了做好安全规则,需要了解威胁攻击的总体现状和未来发展趋势,同时还要提供相关信息用以说明管理层提供相关投资。高级威胁情报信息可以帮助安全团队领导了解威胁攻击的状况以及预测,方便企业制定好相应安全规划和投资。

实用的情报才是最好的情报
情报的“ART”原则,符合“ART”原则的才是对企业有用的情报。
Accuracy(准确性):情报是否足够详细和可靠
威胁情报的作用是为安全团队提供相关信息并指导决策,如果情报不准确,不但没有产生价值,反而会对组织的安全决策会造成负面影响。
Relevance(相关性):情报是否可适用于你的业务或行业
不是所有的信息都是适用的,相关性较弱的情报会导致分析人员的繁重任务,并且会导致其他有效情报的时效性失效。
Timeliness(时效性):在你利用些情报前,情报是否已经失效
威胁情报是信息的集合,凡是信息,都具有时效性。往往情报的有效时间会很短,攻击者会为了隐藏自己的踪迹不断的更换一些特征信息,比如说IP地址、手法等等。

威胁情报要发挥价值,核心在于情报信息的共享。只有建立起一套威胁情报共享的机制,让有价值的威胁情报流动起来,才能真正加速安全防御的效率、效能,取得切实的防御效果。
威胁情报的生态系统包括两个方面:威胁情报的生产和威胁情报的消费。
威胁情报的生产就是通过对原始数据/样本的采集、交换、分析、追踪,产生和共享有价值的威胁情报信息的过程。
威胁情报的消费是指将企业和客户网络中的安全数据与威胁情报进行比对、验证,以及企业和客户方的安全分析师利用威胁情报进行分析的过程。
威胁情报的生产和消费构成了一个情报生态系统的闭环。只有生产没有消费,威胁情报的价值无法实现;而只有消费没有生产,威胁情报就成了无源之水。

对于政企客户而言,威胁情报的应用/消费是实现情报价值的关键。各类安全设备都应该能够消费威胁情报,但最关键的是安全管理平台/SOC对威胁情报的应用


博客地址:http://xiejava.ishareread.com/


“fullbug”微信公众号

关注:微信公众号,一起学习成长!

如何理解企业安全能力框架(IPDRR)

发表于 2021-06-17 | 更新于: 2025-07-11 | 分类于 技术 , 网络安全 | | 阅读次数:
字数统计: 1.6k | 阅读时长 ≈ 5

企业安全能力框架(IPDRR)是美国国家标准与技术研究所(National Institute of Standards and Technology)的网络安全框架(简称NISTCSF )。第一个版本于2014年发布,旨在为寻求加强网咯安全防御的组织提供指导。企业可以根据自身需求加强网络安全防御。
企业网络安全系统框架
企业网络安全系统框架(参考IPDRR)

随着社会数字化转型的深入,网络攻击事件日益增多、破坏力逐步增强。安全方法论也正逐步从”针对威胁的安全防御”向“面向业务的安全治理”(IPDRR)等演进。

IPDRR能力框架模型包括风险识别(Identify)、安全防御(Protect)、安全检测(Detect)、安全响应(Response)和安全恢复(Recovery)五大能力,从以防护为核心的模型,转向以检测和业务连续性管理的模型,变被动为主动,最终达成自适应的安全能力。

IPDRR模型体现了安全保障系统化的思想,管理与技术结合来有效保障系统核心业务的安全。通过持续的安全检测来实现IPDRR的闭环安全,为用户提供完善的安全能力框架和支撑体系。

具体来说IPDRR主要包含了五个部分:
识别(Identify):识别网络资产及风险,是指对系统、资产、数据和网络所面临的安全风险的认识及确认
保护(Protect):保护网络,是指制定和实施合适的安全措施,确保能够提供关键基础设施服务。
检测(Detect):发现攻击,在攻击产生时即时监测,同时监控业务和保护措施是否正常运行,制定和实施恰当的行动以发现网络安全事件
响应(Respond):响应和处理事件,指对已经发现的网络安全事件采取合适的行动。具体程序依据事件的影响程度来进行抉择,主要包括:事件调查、评估损害、收集证据、报告事件和恢复系统
恢复(Recover):恢复系统和修复漏洞,将系统恢复至正常状态,同时找到事件的根本原因,并进行预防和修复

可以参考大家对实体财物是怎么保护的就很容易理解了。举个例子,大家如何对自己的私有财产是怎么保护的呢?
第一步识别(Identify)肯定是识别出有哪些资产分别都有什么风险吧,比如家里的现金、金银珠宝、贵重电器、房产证、82年的拉菲、92年的茅台等等对于我们来说都是属于我们要保护的资产,这些都有被小偷偷走,被破坏等风险。所以我们需要采取一定的措施将这些资产给保护起来。
比如现金、金银珠宝、房产证等放在保险柜里,82年的拉菲、92年的茅台等搞个酒窖上好锁,家里的房子装好防护门、防盗窗等,这些就是第二步保护(Protect),对需要保护的资产做好基本的防护。做到了这些够不够呢?显然是不够的,这只是做好被动防御,我们还要做好主动防御,也就是第三步检测(Detect),这时候我们可以装一些监控设备摄像头、传感器等等,看时时刻刻监控我们所要保护的资产看有没有什么情况,还可以雇佣一批保安7*24小时巡逻实时监测。响应(Respond)也就是发现了什么风吹草动,就采取响应的措施,比如如果是有人破门而入就及时的告警,制止,报警。恢复(Recover)就是对易发生的损失进行恢复,如有人破门而入把门给搞坏了,就得把门重新修好或换一个新的级别更高更安全的门。

企业的网络安全也是一样的。首先要识别自己企业的网络安全资产如重要系统、服务器等都部署在哪里,有没有漏洞,基线配置有没有合规。然后需要做好基本的防护,比如在出入口部署防火墙、主机装EDR、Web服务器要在WAF的保护下、做好访问控制、部署IPS设备等等。有了基础的防护设备以后要做好检测响应比如部署NTA做好流量检测分析、部署SIEM或日志分析系统将这些基础防护设备的告警精心接入做好安全告警的检测分析。通过检测设备发现网络安全事件以后要采取响应的响应措施,比如发现漏洞要进行补洞加固等、发现攻击封堵IP等,可以通过SOAR安全编排与自动化响应平台对人、工具、流程进行协同提高对于安全事件的响应能力。最后是恢复,也就是对已经造成的破坏进行恢复至正常状态,对于失陷的主机进行离网、杀毒、重装、恢复等。

本文试图对市面上常见的安全产品进行分类来映射到IPDRR的五大能力
识别(Identify)提供识别能力的产品包括资产管理平台、资产测绘平台、基线管理平台、漏洞扫描工具等。
保护(Protect)提供保护能力的产品包括主机防御类EDR、VPN、4A、防火墙、IPS、WAF、抗DOS等
检测(Detect) 提供威胁检测能力的产品包括IDS、NTA、蜜罐、恶意代码检测、用户异常行为检测等。
响应(Respond):提供响应能力的产品包括SIEM、安全审计、态势感知、SOAR等
恢复(Recover):提供恢复能力的产品包括NG-SOC,NG-SOC理论上应该是覆盖了IPDRR所有的能力。
IPDRR产品能力映射

当然企业安全能力不能够仅仅的依靠工具,是人、策略、流程、工具综合能力的体现。企业可以根据自身需求参考IPDRR能力框架模型加强网络安全能力建设,哪里欠缺补哪里,通过管理与技术结合来有效保障系统核心业务的安全。


博客地址:http://xiejava.ishareread.com/


“fullbug”微信公众号

关注:微信公众号,一起学习成长!

再见2020,2021我来了!

发表于 2021-01-01 | 更新于: 2025-07-11 | 分类于 人生 | | 阅读次数:
字数统计: 936 | 阅读时长 ≈ 3

今天是2021年1月1日,按照惯例应该是回忆过去展望未来的一天。

回忆过去:

在过去的一年里,曾今在2020年立下的flag是否都实现了呢?

2020的flag:

  • 看完10本英文原著。
  • 爱分享网站运营PV要达5W,UV达5千
  • 每周至少发一篇微信公众号文章
  • 开通自己的博客
  • 每周至少跑步3次

2020年完成得最好的是看完了10本英文原著,因为2020过春节到第一季度受疫情影响,老老实实待在家里。在5月份就看完了10本英文原著。但是后来却没有坚持下来。看英文原著的热情慢慢的消退下来。一是看了这么多本原著似乎英文还是那么的菜打击了自己的信心,二是看英文原著比较耗时间4、5月份开始正常上班后时间就显得比较紧张了。后来7月份的时候准备考通信工程师的考试,时间更加紧张。所以继续看英文原著的事情就放下来了。英文很重要,学习英文2020年还是要继续坚持。

爱分享网站因为各种原因在7月份的时候基本上已经停了,但是服务器还在续费。其实在5,6月份以前网站的访问量等各方面指标都一直在上升,因为疫情大家可能待在家里看书的需求量大增,网站的访问量一直都在持续的上升。如果网站不停基本上运营的flag还是可以达到的。现在的环境对于个人网站来说很艰难了。网站还会继续下去主要内容会以自己的博客为主了。

因为网站基本停了,一直在想网站生存的方向。微信公众号的文章也比较少更新了。还是自己肚子里的货太少了,写了一段时间以后发现没啥东西写了,坚持不下去了。真佩服那些现在还在每天更新的微信公众号。

经过多方比较决定用hexo来搭建自己的博客。写博客已经被认为是很古老的方式了,一直以来都很羡慕那些一直坚持下来的优质博主。想通过博客的方式记录自己的学习、生活、工作。2020年共写了24篇博客,产量不是很高,说明思考和积累还是不够。

跑步锻炼,在夏天天气好的时候还是坚持得不错,每周基本上坚持了一次。天气渐渐冷了起来以后懒筋发作很少出去跑步了。看着自己日益发胖的体重,要深刻的检讨一下。

2020年全年阅读量有所减少在豆瓣上标记只读了29本书。因为2020年中旬的时候决定考通信工程师和信息安全工程师,所以其他书看得比较少了。经过几个月的努力,顺利通过了通信工程师和信息安全工程师的考试。虽然2020年年初立的flag很多都没有完成,完成了的效果也不是特别好,但是过了通信工程师和信息安全工程师心里稍微有点宽慰。毕竟2020年努力过。

展望未来:

不管怎么样,2020年已经成为过去式了。崭新的2021已经来到,先立下2021年的flag。

2021年flag:

  • 考CISP
  • 考一建
  • 发两篇论文
  • 至少写30篇博客文章
  • 完成12本英文原著
  • 完成50本书籍的阅读量

2021加油!

工作这么多年了,我为什么还在考证

发表于 2020-12-21 | 更新于: 2025-07-11 | 分类于 人生 | | 阅读次数:
字数统计: 1.1k | 阅读时长 ≈ 3

学习学习

工作这么多年了,我为什么还在考证?

因为以前一直没有考过啊!

毕业以来参加工作后,一直以来认为考证没有啥用处。一方面,因为找工作太过顺利,那会儿找工作也没有看到别人拿什么证去找工作,也没有看到那家公司的招聘广告上写需要什么什么证书。另一方面,由于才从学校出来对于学习考试有种天然的排斥。想想这么多年以来一直都是在学习考试。好不容易毕业了那还不好好放松一下。现在回想起来真是too young,too simple。

工作这么多年,都是在从事研发相关的工作。一开始写代码,要学的东西挺多的,从毕业时候的ASP到Java。能够完成工作任务,能够做出东西来才是硬道理。后来做项目经理,产品经理也是没有经过系统的培训和学习,在项目中磨练在项目中成长。在公司也带了几个重点大项目,项目也交付得令公司和客户比较满意。想想这研发和项目管理就那么回事。貌似所有的公司都是一样,不管你用什么办法,能够搞定项目的就是好的项目经理。至于有没有证没人关注。甚至公司过CMMI5的时候,我带的项目被抽为参审项目,我还没有系统的学过项目管理。虽然CMMI5已经过了,但是总感觉过得挺虚的。基本上就是在咨询公司的指导下,要你干什么就干什么,要你准备什么就准备什么。至于为啥是这样完全是懵逼。

人过中年,似乎不管到哪里都充满着危机感。以前自以为自己技术很牛逼,项目管理方面也是相当的OK。随着时间的推移这种自信心慢慢的越来越消退。大家都说搞IT的就是吃青春饭。就像随着年龄的增长,身体越来虚一样,心里也是越来越虚。心里虚了以后就想自己应该多学习提高自己。但是一段时间发现要学的东西实在是太多了,技术的、管理的。东一下西一下的,也没有什么效果。后来自己总结了一下,没有目标的学习都是假装在学习,只不过是安慰自己罢了。一定要给自己定个目标要学哪个方向,而检验学习效果的办法非常简单粗暴–考证。以考促学。能够考证通过不能说明你学得有多么的精深,至少也说明你达到了基本的平均水平。没有考试就没有压力,一本书拖拖拉拉看了一年还在看。而考试时间临近的压力对于深度拖延症患者也是一个很好的治愈方式。

就这样,我给自己制定的第一个学习目标就是系统的学习项目管理的理论体系,所以报了软考的信息系统项目管理师。经过半年多的学习顺利的拿到了信息系统项目管理师的证。学习的时候还是有一些感触,原来自己在平时的项目管理工作中还是有理论支撑的,人家在书中就已经写了。一些平时没有注意考虑到的点书上也有总结。回想起自己带的项目过CMMI5和过ISO认证等,以及公司的项目管理体系和质量管理体系结合书中的知识点,至少把我零散的一些项目管理知识和经验给系统化、体系化的联系起来了,让我对项目管理有了更深切的理解。尤其是在后来信息系统项目管理师考试写论文的时候,就能够可以很好的理论联系实践。

嗯,工作这么多年,我终于可以持证上岗了!


作者博客:http://xiejava.ishareread.com/


“fullbug”微信公众号

关注微信公众号,一起学习、成长!

<1…171819…21>
XieJava

XieJava

203 日志
11 分类
26 标签
RSS
GitHub
友情链接
  • 爱分享读书
  • CSDN
  • 豆瓣
© 2025 XieJava | Site words total count: 419.2k

主题 — NexT.Muse
0%