caoz的心得与分享,只此一家,别无分号.

这门安全课程,真的会让人受用终身。

发布日期:2018-05-21 10:30:00 +0000


友情提示,本文不是软文,是硬广,最硬的那种。


有个别人可能已经看到了,这个月底,我们易灵微课平台将推一场信息安全的网课,这次很惭愧,又是我自己来担纲,讲真,我也不想的。


我其实去年底就在我的知识星球做调研,看大家对企业信息安全培训的认识是怎样的,需求是怎样的。其实我私下也在寻求一些安全专家来准备课程。我开始准备找一名腾讯从事安全相关的T4技术专家(业内人应该知道腾讯T4的分量,猜猜腾讯里有几个安全相关的T4级别以上的技术专家是我老朋友,好像一只手数不过来。)来主持课程,我来做配合,对方也表示非常愿意支持,结果很遗憾,他向上司报备的时候,公司没有同意这个事情。后来我也试图找其他业内大牛来担纲,结果因为事情比较繁忙,给不出排期来准备,我也等不了各位大牛的排期,算了,还是自己来吧。


我的旧文有多篇关于信息安全的文章,以前我在绿盟科技从业过两年,从事研发,我觉得我属于水平不咋地,但基本常识还可以的那种。以前在4399的时候,我们做新员工的信息安全培训,也是我担纲来讲的,反馈似乎还不错。


那这是一门怎样的课程?


首先,我希望更正很多人的一个认识误区,一个企业的信息安全,绝对不是说只有技术运维和研发才需要关心,太多企业出现的安全问题都是一些非技术岗位的疏忽和安全意识薄弱导致的。而因此造成的损失也是触目惊心的。


而很多人对信息安全的认知是非常偏颇的,总觉得我不乱装东西不乱点东西,密码设置的特别复杂,就足够安全了,其实很多安全风险是超出常人认知范围之内的。


另外,安全威胁的影响也会超出很多人认知,前几年APT概念特别火,啥叫APT,高级可持续的威胁,有些企业,政府机构,或个人被别人渗透入侵很多年了,自己都不知道,机密材料和核心数据随时在别人手里,自己也不知道。很多入侵和渗透行为是具有长期性的,和日常我们感知的黑客入侵有很大不同。


说个很现实的案例吧,前段时间有个技术宅分析了关于某某头条的一个安全风险,可能很多人没有关注,如果分析属实,那威胁还是蛮大的。


写的时候我搜了一下相关出处,意外发现某某头条已起诉该作者说文章涉及诽谤,吓得我赶紧删了一段。具体情况我不做判别,毕竟我们这次只做安全科普,并不是技术分析专题,但我必须说,那个安全风险,不负责猜测一下,即便某某头条不存在或者已经修复,但我觉得很多app工具可能都会存在。


符合如下三个条件即可:

1、APP需要手机权限过多。

2、可自行下发可执行脚本并静默执行。(很多工具和游戏都有这个功能,但主要风险在安卓平台,苹果不越狱的话相对风险会小很多)

3、客户端对下发脚本没有做严格的安全和来源检测。


符合以上就很容易通过dns劫持做木马下发的载体,dns劫持可以通过arp欺骗进行,而一些wifi共享工具可以让入侵者很容易穿透到你的网络中,所以这种攻击其实并不会很遥远。(2014年我微博就提过各种wifi共享工具存在这个风险,2018年新闻才提及)


而在这种情况下中招的人其实什么都没做错,稀里糊涂的就会中招。


以上是一种比较新型的安全风险的简单范例,可能有些人觉得涉及太多技术用词不容易理解,我会在课程中对每个概念都做详细的解释。


这个课程我们是主打企业员工培训,加强员工信息安全意识,提升公司的信息安全水平,以常识科普和个人信息安全防范的建议为主,不会深入强调技术细节,不涉及研发,运维安全管理和审计话题。


但对于个人来说,更多掌握信息安全的常识,提升信息安全认知,我相信一定是受益终身的。更不用说试图投资区块链的朋友。(区块链投资,安全挑战是其他领域的十倍以上,这就是我一直不允许我老婆投资任何币的原因。我说我不怕你亏钱,你丢币的风险比亏钱可能大的多。)


最近连续好几个智能合约的安全事故我都不好意思单独提,网上所有热门的各种区块链课程里,只有我这里,是把信息安全强调了又强调的,当时网课里,智能合约安全我说什么来着,是不是又被我说中了。


虽然说信息安全的技术日新月异,新的挑战和攻击手段也会随时出现,但增进认知也有助于我们面临未来的挑战。


课程内容会涉及几乎所有可能遇到的安全攻击手段,原理和个人防范的一些建议。并会对其中涉及到一些真实案例。


那么,为了让课程质量更加有保障,这次课程我还是力邀了一些安全行业的技术大咖参与作为嘉宾参与,帮我优化课程内容,并参与课程中的在线答疑。请容我预先卖个关子,神秘嘉宾现在暂时不公布身份,5月28日晚上开课的时候,我会介绍他们的名字和背景,有的人可能影响力大一些,有的人实力很强但未必有很响亮的名声,不过他们的资历和背景,在行业内都是广受认可的。相信不会让各位学员失望。当然,我不能保证一定是你所期望的那几个人。





企业课程,我们也是第一次尝试,其实课程形式和其他网课没有区别,一样是语音,文字,图片,在线报名和在线答疑。


不同的是报名方式,我们和一些知名企业也沟通过这个问题,其实产品上想要特别好的解决还是有点难度的,因为企业的一些诉求很难完全兼顾。


方案1:独立一个企业邀请码,企业付费后所有这个邀请码的用户均不用付费,但问题是邀请码可能被传播到企业之外。


方案2:独立一个企业邀请码+IP验证,只有特定IP区段内使用该邀请码免费。但不够灵活,企业的员工也不一定都在公司的办公环境里。


方案3:批量生成邀请码,一人一码,但企业给员工通知的时候很繁琐,特别是企业员工很多的时候。


方案4:企业一个邀请码,但注册的时候需要填写职位和名称,统一企业审批。优点是可以更好监控企业员工到课率和交流效率。缺点,这个是最先被否决的,因为有些企业极为担心组织架构被泄露,被转卖,我们必须尊重企业的隐私。说来这也是企业信息安全的一部分。


其实这是个权衡问题


1、如何让企业方便的付费和参与。

2、如何有效的让企业减轻隐私和信息安全顾虑。

3、如何防止企业课程资源被羊毛党滥用。


我们也没有特别好的办法,摸着石头过河,希望能摸索出在线企业课程的有效解决方案,目前我们会兼顾1,2,3的方案,根据企业的实际诉求可以协商。


此外,企业课程的退款机制,我觉得可以变通执行,首先允许学生退款,然后结算的时候我们初期会通过手工数据整理来完成与企业的最终结算。仍然以摸着石头过河的方式进行,后续根据实际运营经验教训产品化。


如果出现一些资源滥用或不合理的情况,还好开课的是我,那么我们自己承担相关损失就好,并在后续产品打磨中继续完善。


面向个人开放,但也欢迎企业集体报名

企业报名请联系微信 boyzcl ,超过10人报名享受企业特别价格。

重复一遍,企业报名请联系微信 boyzcl,超过10人报名享受企业特别价格。