话题讨论：由Heartbleed想到的那些你忽视的系统安全（获奖名单已公布-2014-6-18）

platinum

1. 那些你曾经忽视过的安全问题，给你带来的苦头？
对于攻击者而言，只要找到一个破绽，就可能攻破防线达到目标
但对于防守者来说，必须堵住所有漏洞才能防止入侵
安全无小事，对于那种 “以恶小而为之” 的人来说，忽视全等于坐以待毙
例如某个不会用到的软件出现了漏洞，看似没有问题，但也许某天会存在连锁反应导致整个防护体系崩溃
由于长期做安全相关的工作，因此相对还好，随说做不到完美，但已经尽可能做到了防护，因此到目前为止还未出现过不好的结果

2. 你是如何做安全防范的？
合规性很重要，安全其实是管理上的艺术
对技术的管理，对流程的管理，对人的管理
技术：ACL、补丁、入侵检测
流程：流程摸排、隐患梳理、规范和制度的定制
人（这也是最难的）：制度、规范、与奖惩挂钩

3. 除了update系统，对于不可预知的系统漏洞，我们如何做好系统漏洞被发现到漏洞被修复这段空档时间的安全防范？
对于 0day 来说，任何人都没有办法，那么只能做到该做的
并且密切关注业内动向，一旦业内公开了严重问题，会有一个短暂危险期
这段时间是很关键的，就像 “黄金 72 小时”，处理越快，损失可能越小（因为没有绝对的安全），必要时需要暂时终止服务
网络架构也很关键，DMZ 是很必要的隔离手段

4. 作为系统软件应用者，我们没有审计代码的时间，甚至没有这种能力，我们该如何应付代码级的安全问题？
永远不要尝鲜
对于安全、运维来说，“求稳” 最关键，但版本也不要太老，例如 CentOS5 还算可以，CentOS4 就过时了
这次的 Heartbleed 就是一个很好的例子，很多 CentOS5 系统并未受到影响，原因是 openssl 库版本太低不支持 HB
如果有可能的话，尽量选择 LTS 版本（Long Time Support）
总之：如果没有这个能力，就让有能力的人去做，然后站在他们的肩膀上。。。

5. 魔高一尺，道高一丈，不会攻击，何谈防范？你是如何测试自己系统的安全性的？
说具体点，类似 openvas、ossec、suricata、appscan、AWS、rkhunter 这类工具应该还是会用的吧？
不仅可以扫描，还可以做到防护

6. 你是否关注各种安全漏洞平台，比如：某云、某数字库带、某度漏洞报告中心？你可能不知道有多少小菜盯着他们等着脱你的“裤”……
这是必须的，而且有必要订阅一些 mailing list、RSS 等，保证获取最新公开漏洞的实时性

7. 必不可少的安全工具？sqlmap、WebCruiser？
前面讲了，有很多工具，这里不可能都一一列举全
大体分成几类：网络类、系统类、APP 类（web、sql、其它）
没有最好，只有最适合

@dooros 真心希望得到这本书，并且希望我的分享可以给大家带来帮助！