信息安全问题频发 您我需要做些什么？！（获奖名单已公布）

dreamice

gilet 发表于 2012-02-07 11:30
回复 9# send_linux

那本书只是从一个更专业的角度去谈unix方面的，而这本书涉及到了整个安全的方方面面，更宏观一些。各有优势吧，就跟一个团队中不同角色的作用一样，需要宏观的，也需要更专深的。

shaier

期待大家共同展开讨论

jss603

信息泄露门，最可怕的地方在于泄露的用户信息中，有大量用户信息是关联的。比如在某网站的账户信息可能还同时是其邮箱地址和密码。导致的问题就是在一处泄露，多处失防。尤其现在互联网环境、SNS网站迅猛发展，并且网站对账户的安全要求极其类似，用户为方便计，自己设置的账户具备了“单点登录--SSO”的特性，信息安全成为联防问题。
信息泄露的途径可能有哪些？用户无意识的透露、内部人员窃取、黑客攻击。从网站运营来说，能坚决杜绝的只有管理好工作人员，严防信息从内部泄露出去；友情的苦口婆心的提示用户，注意安全；努力的绞尽脑汁的提防黑客，加强防护。最后一条最难，也是最容易造成严重后果的，可谓防不胜防。最有效的可能不外乎设置系统安全策略定期对系统进行安全扫描、对用户信息或系统信息进行强加密。其中定期扫描是常规任务，能有效的排除一些低级的木马侵入，不过深入系统内部扫描软件对系统负荷实在是一种考验。而对信息进行加密，即使信息被泄露了，也无法使用，这的确是很有吸引力的方式，当然它也同样带来了巨大的系统开销！如何设计加密解密算法，降低系统压力会给未来信息安全带来帮助。

chenyx

1.针对近期的 “信息泄露门”事件您有何感想？
这次信息泄露,主要问题是用户数据表保存的问题,用户数据未经加密就保存,可见当时程序开发人员的安全观念不足;
另外ssh工具泄露事件,应该是管理员的失误,用破解软件惹的祸
2.如何加密解密才能实现真正的信息安全？
这个我觉得有个平衡点的问题,信息全部加密肯定是可以实现的,但是,如果大量用户获取数据的时候,解密对服务器来说,是很大的负担.
3.您对开发系统信息安全保障有哪些感想？
信息系统开发,要尽量避免敏感信息明文保存,另外,自己要扎好篱笆,对用户上传的数据进行过滤.没有绝对安全的系统,我们能做的,就是使系统尽可能的安全;
还有,用户弱密码的问题应该重视起来,堡垒可能是被从内部攻破的
4.读完试读章节后有哪些感想？
确实是好书,对系统管理员安全的方方面面都进行了讲述,很难得,值得一读

dooros

不错的活动啊，书也好啊。

renxiao2003

1.针对近期的 “信息泄露门”事件您有何感想？

最近的信息泄漏门，搞得各大网站、论坛是人心惶惶，广大网友登录论坛的时候，可能最大最醒目的提示是让你更改自己的密码了，我最近登录gmail的时候，居然还要让我手机验证，虽然他说不收取费用，谁知道会不会出现其他问题，所以最近我都不用我的gmail了啊。总说我的账号异常。
针对信息泄露门，我感觉首先还是各大网站要加强自身的服务器安全，要知道CSDN的泄漏是把自己的数据库都泄漏出去了，这本身就证明CSDN的服务器环境搭建得有问题，可能是租用服务器吧。各大网站、论坛要定时检查自己的服务器，避免挂马，同事数据库服务器最好是在私有网络内，用户帐号密码最好经过一定的加密（这当然对服务器性能的要求会提高）。
而对于终端用户，需要加强安全意识，不要访问一些色情、暴力的网站；同事要安装必要的防病毒、防火墙软件；定期更改自己的账号的密码，密码要求达到一定的密码强度，不要使用自己的生日，电话号码最为密码。
只有终端用户和服务提供商都加强安全意识和增加安全力度，才能尽力减少信息泄漏门事件的再次发生。

2.如何加密解密才能实现真正的信息安全？

目前的所有加密算法都不是绝对的安全，因为目前的加密算法基本上都已经有破解的办法了。那么怎么来加密才能相对真正的安全呢？我觉得，首先是用户对自己的密码要加强密码强度，其次是在数据传输过程中最好不要采用明文传输，通过SSL加密，而服务提供商对密码等敏感信息采用多中加密算法采用多重加密来进行加密，并在数据库中存储密文，不要存储明文。这样能相对安全。

3.您对开发系统信息安全保障有哪些感想？

大家应该都清楚，其实很多时候或者说绝大多数时候的信息安全泄漏都是从内部泄漏出去的，所以要保障信息安全，首先要加强内部信息安全管理和培训，减少信息安全从内部泄漏出去。其次是对各种软件尽量使用原版软件，不要使用什么增强版，破解版等，这样会减少被下木马的机会。对于网站的访问建立访问记录，这样可以检查一些危险网站，并列入黑名单中。
安装统一的防病毒软件并定期更新病毒库，定期检查硬盘等等措施。

4.读完试读章节后有哪些感想？

这本书讲讲了信息安全工程相关的知识，我想不管是对信息安全管理人员，信息相关的工作人员如程序员、网络管理员都有很大的帮助，能够让读者加强信息安全意思并了解一些基本的信息安全处理措施，适合广大计算机工作者。

jinmaodao

1.针对近期的 “信息泄露门”事件您有何感想？
  是个软件就会有bug；欠缺的是发现bug。
  关键性业务使用工具需要专业队伍开发；还要专业的测试人员做测试。
2.如何加密解密才能实现真正的信息安全？
  做好接入点的工作；从接入层考虑。

3.您对开发系统信息安全保障有哪些感想？
  很好做好系统用户接入层的工作；将源头掐好。
4.读完试读章节后有哪些感想？
  对系统管理员安全进行叙述

aplah

1.针对近期的 “信息泄露门”事件您有何感想？
用户有使用强壮密码的意识，开发人员也要有保护数据安全的责任，管理维护人员不要轻易的使用不可靠的软件，坚持最低限度原则

2.如何加密解密才能实现真正的信息安全？
了解常见的攻击手段，做好足够的预防。没有能真正的实现，只有相对的实现信息安全

3.您对开发系统信息安全保障有哪些感想？
时刻有安全的观念和意识，对交互验证信息必须加密，另外对于常见诸如SQL注入等手段开发人员应该有一定的了解

4.读完试读章节后有哪些感想？
其实安全最有兴趣的还是社会工程学，人的想法是可以捕捉的，搞定对手远比搞定对方机器更有意思。这本书略有介绍，还是值得看下

loveisbug

1.针对近期的 “信息泄露门”事件您有何感想？
// 安全很重要，一直未被重视。

2.如何加密解密才能实现真正的信息安全？
// 没有真正，只能考究地写代码，谨慎小心，多测试，多学习。

3.您对开发系统信息安全保障有哪些感想？
// 从业人员应该要严肃认真起来了，多学习，多推敲，不能再什么都拷贝过来改吧改吧了事。

activeport

1.针对近期的 “信息泄露门”事件您有何感想？

绝对不相信程序员会不对密码进行单向加密(还要加上随机字符以防字典攻击)而直接存储于数据库中,基本认同是安全部门要求各网站提供的数据,然后导致泄密的说法,中国大坏境就是这样.
SSH 事件说明中文软件将赴MADE IN CHINA后尘,成为不可靠和后门的代名词,开了一个很坏的头,也从软件层面反映了整个社会道德的下滑和浮躁的现状.