论坛徽章:: 15

21楼 [报告]

发表于 2013-09-06 11:00 |只看该作者

本帖最后由 yulihua49 于 2013-09-06 11:24 编辑

send_linux 发表于 2013-09-02 15:44
继斯诺登事件愈演愈烈，信息安全越来越得到更多人的关注。信息安全是一个快速发展的领域。大到国家军事政治 ...

我把信息安全划分为：
网络安全，相当于交通安全，由交通规则管控。在计算机世界，由网管管理的路由器、网关、防火墙、网闸等机制组成。
系统安全，相当于车辆安全，由车厂和大大小小的维修店来维护。由系统权限控制，防恶意攻击等机制组成。
应用安全，相当于司机，靠经过严格训练的富有经验司机来操控。由应用系统架构师进行设计和规划，然后由开发人员实施。

这几个部分互相配合，不可替代。
现在大多数应用设计，不考虑应用安全，把责任推到系统安全和网络安全去。
我们使用这样的应用系统，无异于上了实习生开的车，把自己置于危险境地。

以今天新闻的信用卡盗刷案件来看，谁买一个设备就可以盗走卡号和密码。
典型的银行应用软件不保护客户安全的例子。
问题：
1.为什么卡号和密码能够被截获？动态密钥协商机制很成熟啊，第三者是拿不到双方会话密钥和会话内容的。-- 设计者根本没考虑这个问题。
2：为什么外购设备能够接入系统？系统没有对设备的专属性质进行认证吗？非专属设备也能接入系统？
3：为什么知道卡号就能复制出卡来？现在的公开密钥技术很成熟啊，外界拿不到银行的私钥就应该复制不出卡来----根本就没设计这个。

这个例子说明，系统安全、网络安全代替不了应用安全。
应用安全应该在系统设计之初进行，融入到系统的血液里，在交易的各个环节体现。
出现问题后，是没法打补丁的。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

linblue

白手起家

论坛徽章:: 1

22楼 [报告]

发表于 2013-09-06 15:26 |只看该作者

本帖最后由 linblue 于 2013-09-17 16:59 编辑

就我看来信息安全这问题其实蛮虚的，并不是说安全不重要，而是对很多公司来说信息安全做的虚。对大公司而言或许会在这块花大手笔，但仅限于上市，跨国，国家重要部门等大型公司。对于中小企业私企来说几乎为零。很多公司的信息安全管理员这个职位都是空缺或是其他管理员兼任。如果你说请安全顾问公司。对很多公司来说这是一笔没有必要且不菲的开销。不过现在云技术的运用来说貌似能够解决这样的问题。并且价格算不上太贵。但至于云到底安不安全也没有人能确实打包票啊。

除了来至外界的不安全因素外，其实通常很多安全隐患来至内部。如系统root密码多人拥有，普通用户权限权限过大，没有使用用户组管理，更有甚者在脚本中暴露密码。可见内部安全问题颇多。当然这也和我说的普通公司没有专门的安全管理员有直接的关系。所以公司除了加强外部安全的同时更应注重内部的使用。对开发的权限进行限制，使用用户组控制权限等安全措施。

作为兼任的管理员，在我看来实践重于理论。不管从哪里获取的知识如果没有实践一切都是空谈。因为现实很多问题是书中没有记载的。没有完完全全一模一样的环境。只有在真正的环境中不停的尝试、实践才能找到最符合并且最适用自家服务器的设置。

新手愚见，不足之处请各位大神谅解。同时也欢迎指出纰漏。