可以学习一下安全方面的知识
极客时间《安全攻防技能 30 讲》学习笔记 01
开篇词 | 别说你没被安全困扰过
之前做过运维、开发和项目管理,有一定的知识面,似乎还挺适合学习一下安全方面的内容。
专栏里面给出的知识全景图,看上去很不错,如果遇到安全相关面试,拿出来可以和面试官聊一下了。
随着网络化、数字化的深入,安全领域现在也比较火热,薪资待遇应该也会水涨船高,希望通过专栏的学习,能够去弥补“安全行业人才供给不足”的缺口。
01 | 安全的本质:数据被窃取后,你能意识到问题来源吗?
只要经常看美剧或者电影,那么 CIA 应该是耳熟能详啊(Central Intelligence Agency),如果再加上一点
英语基础,Confidentiality 机密性、Integrity 完整性、Availability 可用性 也不难记住。
机密性,不可见,确保数据只被授权访问,做正确的事
完整性,不可改,确保数据只被授权修改,加强日志
可用性,可读,确保数据能够被授权访问
目前的工作偏向于 ToG 业务,那么机密性的要求还是比较高的,总有一些相对敏感的数据不希望被随便看到;接下来应该是可用性,系统宕机,领导会抓狂;完整性当然也重要,但是只要有日志,那么就不难找出问题所在。
看到有留言提到审计,审计虽然是事后追责,但是似乎对机密性和完整性都有作用。
02 | 安全原则:我们应该如何上手解决安全问题?
从 CIA Triad 到 AAA (Authentication, Authorization, Accounting),感觉自己好像一直抓了一把好牌,已经可以和面试官谈笑风声了。
从输入用户名 Identification,输入密码 Authentication,获得授权 Authorization,接下来就是一顿操作猛如虎,留下记录 Audit,最终被问责 Accounting。
虽然现在二次认证已经比较常见了,但是很少意识到这是从“知道什么”,到“拥有什么”,最终“是什么”,逐渐增加了认证强度。
现在最高安全级别的认证可能就是加上眨眼、张嘴、转头的人脸识别了。
事前认证、事中授权、事后审计,如果都能落地,那么想来也就安全“无忧”了。
对于思考题,我负责的项目中,其实认证是有的,用户名加密码;授权也有,按照角色授权操作;但是事后审计是短板,虽然也记录日志,但是估计没有人会从安全的角度去审计。
对于公司的安全问题,那么除非大老板强推,还需要有懂安全的 CSO(首席安全官,这个说法不常见)或者 CTO,否则一般情况下是没法落地的。
见到过因为保密要求,所以在物理隔绝的环境做开发的,使用光盘作为外部数据导入的介质,这种操作真的安全么?
多说一句,检索的时候,发现用的最多的是 IAAA,其次是 AAA,而 IAAAA 搜索到的结果少,而且一般第三个 A 多是 Accounting 而不是 Audit。
XSS 攻击(Cross-Site Scripting,跨站脚本攻击)
CSRF(Cross-Site Request Forgery,跨站请求伪造)
SSRF(Server Side Request Forgery,服务端请求伪造)
版权声明: 本文为 InfoQ 作者【escray】的原创文章。
原文链接:【http://xie.infoq.cn/article/d8d9954703245307dce82d892】。
本文遵守【CC-BY 4.0】协议,转载请保留原文出处及本版权声明。
评论