企业产品网络安全建设实录日报规划

为什么要做这个系列？

因为太忙了，忙工作，忙家庭。很难再像之前一样能做到电脑前码一个小时的字，写半个小时的博客。
但是现在的经验增长快速，有很多值得分享的点
想想这平行世界里的我，实际上并不是每一个人都有这种机会，能有在企业产品安全建设的一线推动的经验
你会分享些什么内容？
我会试着以简短日记的方式分享当天/周发生的一些关键问题及我的解决策略，以及是否有更优的策略，安全产品体验，甲方谈判，可能涉及不同人的协调经验等等

今天分享的内容非常简短：

参加了C型号设备嵌入式设备安全提升的评审会议，并成功推动相关方案通过

比较深刻体会到了相关推进同事的不易，我本身就是该风险隐患的发现者，此外，两个人作战确实有利于正确方案的推进，避免了当场一人受多人压力无法应对的情况。最终推进相关安全方案成功。
安全方案的大致内容：通过增加接口授权，使得产品安全性增强，主要反对观点认为：

1. 对于硬件级攻击提升可能作用不大
2. 外网防御方案可以认为是对用户安全着想，但设备内网安全是否超限

应对：
接口安全，相对于硬件级攻击，其成本是比较低的。
并非是物理打开，我们就可以不做相关防御。

密钥强度，环境隔离等排查工作告一段落

某部门同事反馈，相关工作已成功完成。邀请参加后续推进会议。
该事项是我推动的事项之一，挑战点是，这是若干年来的长期隐疾。而且不管是排查还是开发实现整改提升，均需要开发内部人士主动推进。
这就天然具有相关困难。不管是排期上还是动力上。
此次我从jwt相关排查入手，一条线牵出一系列的密钥相关强度挑战。通过项目协调整理和后续汇报支持，最终推动此事摸排工作完成。
后续安全提成显然，已经十拿九稳。
这是一个值得开心的事情。

于23:49:58。