写点什么

可以学习一下安全方面的知识

用户头像
escray
关注
发布于: 2021 年 05 月 21 日
可以学习一下安全方面的知识

极客时间《安全攻防技能 30 讲》学习笔记 01


开篇词 | 别说你没被安全困扰过


之前做过运维、开发和项目管理,有一定的知识面,似乎还挺适合学习一下安全方面的内容。



专栏里面给出的知识全景图,看上去很不错,如果遇到安全相关面试,拿出来可以和面试官聊一下了。


随着网络化、数字化的深入,安全领域现在也比较火热,薪资待遇应该也会水涨船高,希望通过专栏的学习,能够去弥补“安全行业人才供给不足”的缺口。


01 | 安全的本质:数据被窃取后,你能意识到问题来源吗?


只要经常看美剧或者电影,那么 CIA 应该是耳熟能详啊(Central Intelligence Agency),如果再加上一点

英语基础,Confidentiality 机密性、Integrity 完整性、Availability 可用性 也不难记住。


机密性,不可见,确保数据只被授权访问,做正确的事


完整性,不可改,确保数据只被授权修改,加强日志


可用性,可读,确保数据能够被授权访问


目前的工作偏向于 ToG 业务,那么机密性的要求还是比较高的,总有一些相对敏感的数据不希望被随便看到;接下来应该是可用性,系统宕机,领导会抓狂;完整性当然也重要,但是只要有日志,那么就不难找出问题所在。


看到有留言提到审计,审计虽然是事后追责,但是似乎对机密性和完整性都有作用。


02 | 安全原则:我们应该如何上手解决安全问题?


从 CIA Triad 到 AAA (Authentication, Authorization, Accounting),感觉自己好像一直抓了一把好牌,已经可以和面试官谈笑风声了。


从输入用户名 Identification,输入密码 Authentication,获得授权 Authorization,接下来就是一顿操作猛如虎,留下记录 Audit,最终被问责 Accounting。


虽然现在二次认证已经比较常见了,但是很少意识到这是从“知道什么”,到“拥有什么”,最终“是什么”,逐渐增加了认证强度。


现在最高安全级别的认证可能就是加上眨眼、张嘴、转头的人脸识别了。


事前认证、事中授权、事后审计,如果都能落地,那么想来也就安全“无忧”了。


对于思考题,我负责的项目中,其实认证是有的,用户名加密码;授权也有,按照角色授权操作;但是事后审计是短板,虽然也记录日志,但是估计没有人会从安全的角度去审计。


对于公司的安全问题,那么除非大老板强推,还需要有懂安全的 CSO(首席安全官,这个说法不常见)或者 CTO,否则一般情况下是没法落地的。


见到过因为保密要求,所以在物理隔绝的环境做开发的,使用光盘作为外部数据导入的介质,这种操作真的安全么?


多说一句,检索的时候,发现用的最多的是 IAAA,其次是 AAA,而 IAAAA 搜索到的结果少,而且一般第三个 A 多是 Accounting 而不是 Audit。


  • XSS 攻击(Cross-Site Scripting,跨站脚本攻击)

  • CSRF(Cross-Site Request Forgery,跨站请求伪造)

  • SSRF(Server Side Request Forgery,服务端请求伪造)

发布于: 2021 年 05 月 21 日阅读数: 32
用户头像

escray

关注

Let's Go 2017.11.19 加入

Let's Go,用 100 天的时间从入门到入职

评论

发布
暂无评论
可以学习一下安全方面的知识