安全工作杂想 - 2022.9.12

距离上次写博客已经有 1 年零 3 个多月了（2021.6 参加覃超老师算法训练营的知识总结）。翻看之前写的博客，觉得记录、总结还是很必要的。回头看看走过的路，往事历历在目（还能联想到当时的写作的心态、状态、心情等），还是很有成就感的（虽然大部分知识点都忘记了😋）。不过写博客这事很难坚持，但凡能让人成长的事情，都不容易的。

学习不仅要有输入，还要有输出。

所以我很佩服长期坚持写作、演讲的人。

转岗安全做已经有将近 1 年多了（2021.8.1 - 2022.9.12), 虽然我的 title 是系统工程师😀，嗯。。。系统工程师是不是天天和 产品需求、流程控制、法律法规、风险管理打交道？），感觉对安全行业的认识还是很浅的，之前有了解过陈鑫杰老师的安全课，老师提到了网络安全的 8 大方向：1. 网络安全，2. 主机安全，3. 应用安全，4. 数据安全，5. 云计算安全，6. 移动安全， 7. 物联网安全，8. 工控安全。

一直想写点什么总结下当前所作的安全工作。我在医疗设备行业，跟互联网行业有相似之处、也有不同。我理解我目前所做的工作主要目的为：在设备部署到医院时，如何保护医院及患者的安全和隐私不泄露。我理解偏向于应用安全、数据安全及主机安全：

• 应用安全就是看我们的产品有多少安全的功能。譬如：鉴权和访问控制（用户登录、密码过期、自动锁屏）、数据保护（数据库加密、传输加密、对患者信息的保护）、审核日志、软件补丁升级等。这是我们主要关注点。

• 数据安全就是我们产品中和数据相关的安全功能。譬如上面提到的数据库加密、传输加密等。

• 主机安全就是看硬件+操作系统了，比如设备的物理安全（门禁管控），操作系统安全（防火墙、是否打补丁等）。因为大部分医疗设备都包含硬件+软件：

• 硬件通常会有一些专用芯片、传感器组成的电路板(电子工程师设计)+外壳(ID - Industry Design, 机械结构工程师设计).

• 软件通常是底层的 OS + 上层专有应用。一般 OS 都会跑 Linux, WinCE/Windows 10 等操作系统。

当然，也有纯软件的医疗产品，更加接近于 Web 产品，就好像你部署某个应用 App 到某个云服务厂商的集群里，主机安全、网络完全、应用安全等云厂商都有成熟的解决方案，你只需要把你的 App 做好就行了(譬如调用云厂商的接口进行数据传输加密、身份验证等)。

这篇杂文在 2021.11 月份就写好了，一直在草稿箱，想着有空再修修改改，然后就一直拖到现在(2022.9)😓。已经不在技术这条路上打拼了，因为技术牛人实在是太多了，感觉自己在技术这个赛道上很努力学习，也比不上别人，所以换个赛道，期望迎来不一样的职业发展。

回顾我这转岗系统工程师的一年多以来(2021.7.1 ~ 2022.9.1)，很忙、除了加班还是加班（受疫情影响，有一段时间在家办公，模糊了上班和下班的界限），忙到几乎没时间去思考、沉淀一些东西。—— 这可是很不好的，感觉这一年多是个空白期。