- 论坛徽章:
- 1
|
本帖最后由 快乐的土豆 于 2013-09-11 11:51 编辑
1、参考目前IT行业大势,说说您对信息安全的看法
---------------------------------------------------------
在这个互联网时代,在这个电商,SNS当道的时代,信息安全已经从传统的基本服务于企业的安全变成了更多服务于互联网的安全,更严苛的用户体验需求,更开放的外部生存环境,安全技术也许还是那些技术,但是面临的安全威胁却远远超过以往的任何一个时代,
越来越多的新的开发技术开发语言开发框架的使用,从另一个角度增加了安全的风险.
2、您遇到过的信息安全问题及处理方式
------------------------------------------
我是一个程序员,所以考虑更多的是从软件设计的角度去提供安全防御的手段(有别于运维的角度),从简单的写好代码防止溢出攻击sql注入,到麻烦一些的加密签名等等,更进一步的和系统管理员一起制定整体策略应对DOS攻击的威胁等等,感觉技术就是那些技术,兵来将到水来土掩,重要的是有自己的安全计划,linux,windows这样的系统尚且一堆堆的安全漏洞,自己写的破程序肯定漏洞更多,而且很多时候,需要在安全和功能(比如吞吐量)上做取舍,所以,更重要的是,当系统受到攻击的时候,做为一个系统的开发人员,管理人员,ower,能够及时地发现攻击并根据预定的计划修复漏洞.
举个例子,有个同样功能的程序需要保证交流的信息安全(鉴定授权防等),在团队甲的时候由于客户端ios的开发人员能力差,我们只能手动实现DH,TLS等一系列算法交换秘钥保护系统数据的安全,但是另一个团队,类似的功能,客户端的同事强力一些,于是我们直接使用了https等,算是一个同一种安全问题不同的应对方案,最后都一定程度的解决了问题,但是不同的方法.
3、对于一线的信息安全人员来说,说说你对理论和实践之间的关系
----------------------------------------------
感觉不止安全领域,整个it技术都是这么个情况:科学家们研究出相关领域的理论做知道,然后我们这些工程师们将理论落到实处,但这之间有很大的差别.
就像同样一个加密算法,科学家给出了算法,并给出了其使用范围效率等等方面的数学表述,但是工程师往往并不是直接实现这些算法,基本上现在大家都拿各种第三方组件(而不是自己去实现)直接来用,所以那些第三方组件(可能开源也可能不开源)的实现,就成了工程师不得不接受的事实.
理论考虑的是单纯的安全威胁,工程师考虑的除了潜在的安全威胁,更多的是现实:有哪些资源可用来应对这些安全威胁.
抛砖引玉,希望不会被贻笑大方.
|
|