感谢老师！对系统安全有了个宏观的了解，让人从某个点剥离出来，可能学一遍没法全部掌握，但是会给自己一个整体的视野，遇到问题，就知道从哪些方面去考虑，通过这些天学习，也逐渐认识到自己的系统在某些地方可以做的更好！至于具体的技术深度就需要按照自己的需要去钻研了

以前也听过安全厂家来推销产品时说的各种术语，但今天才是比较系统的理解了如“蜜罐”等有趣的内容

安全从业者，目前仅仅涉及嵌入式产品的安全，想要扩充一下，感觉这个课挺好

连续用一周的时间刷完了这个专栏，收获很大，作为开发人员之前对安全的知识都是零零散散，看完这个专栏对安全有了一个初步体系化的认识和了解，在日常开发中也培养了思考应用程序安全问题的意识，收获很大，谢谢老师精彩的分享

第一次看到这么分析黑产的，高屋建瓴，有豁然开朗的感觉，老师牛批~

从 CIA Triad 到 AAA （Authentication, Authorization, Accounting），感觉自己好像一直抓了一把好牌，已经可以和面试官谈笑风声了。 从输入用户名 Identification，输入密码 Authentication，获得授权 Authorization，接下来就是一顿操作猛如虎，留下记录 Audit，最终被问责 Accounting。 虽然现在二次认证已经比较常见了，但是很少意识到这是从“知道什么”，到“拥有什么”，最终“是什么”，逐渐增加了认证强度。 现在最高安全级别的认证可能就是加上眨眼、张嘴、转头的人脸识别了。 事前认证、事中授权、事后审计，如果都能落地，那么想来也就安全“无忧”了。 对于思考题，我负责的项目中，其实认证是有的，用户名加密码；授权也有，按照角色授权操作；但是事后审计是短板，虽然也记录日志，但是估计没有人会从安全的角度去审计。 对于公司的安全问题，那么除非大老板强推，还需要有懂安全的 CSO（首席安全官，这个说法不常见）或者 CTO，否则一般情况下是没法落地的。 见到过因为保密要求，所以在物理隔绝的环境做开发的，使用光盘作为外部数据导入的介质，这种操作真的安全么？ 多说一句，检索的时候，发现用的最多的是 IAAA，其次是 AAA，而 IAAAA 搜索到的结果少，而且一般第三个 A 多是 Accounting 而不是 Audit。

只要经常看美剧或者电影，那么 CIA 应该是耳熟能详啊（Central Intelligence Agency），如果再加上一点英语基础，Confidentiality 机密性、Integrity 完整性、Availability 可用性 也不难记住。 机密性，不可见，确保数据只被授权访问，做正确的事 完整性，不可改，确保数据只被授权修改，加强日志 可用性，可读，确保数据能够被授权访问 目前的工作偏向于 ToG 业务，那么机密性的要求还是比较高的，总有一些相对敏感的数据不希望被随便看到；接下来应该是可用性，系统宕机，领导会抓狂；完整性当然也重要，但是只要有日志，那么就不难找出问题所在。 看到有留言提到审计，审计虽然是事后追责，但是似乎对机密性和完整性都有作用。

看完开篇词就跳到了加餐，最近在看有没有安全相关的工作机会。 一般公司的确对安全不够重视，可能大部分情况是没有吃过亏吧。其实我觉的高级程序员、架构师或者是项目经理，以及技术 Leader，都应该有一定的安全意识，甚至需要一定的培训。 我大概率不会去应聘安全工程师的，但是作为项目经理，了解一些安全基础常识应该也是加分项。 专栏还没有认真看，现在去面试，聊到安全话题，那么就只能按照开篇词里面的全景图，从基础概念和模型框架开始讲，然后就是前后端、服务运维、网络、数据库、分布式、操作系统、容器……估计讲到这里，应该已经完胜一般的应聘者了。 作为项目经理，那么安全体系、安全标准、落地方案、安全运营估计是要重点学习一下了。

之前做过运维、开发和项目管理，有一定的知识面，似乎还挺适合学习一下安全方面的内容。 专栏里面给出的知识全景图，看上去很不错，如果遇到安全相关面试，拿出来可以和面试官聊一下了。 随着网络化、数字化的深入，安全领域现在也比较火热，薪资待遇应该也会水涨船高，希望通过专栏的学习，能够去弥补“安全行业人才供给不足”的缺口。

老师从等保2.0的内容概括说起，点赞！说起等保突然想起一句话：安全的防御最终是防人，🈶️太多的重大安全事件都是因为内部人员出了问题。