可以学习一下安全方面的知识

极客时间《安全攻防技能 30 讲》学习笔记 01

开篇词 | 别说你没被安全困扰过

之前做过运维、开发和项目管理，有一定的知识面，似乎还挺适合学习一下安全方面的内容。

专栏里面给出的知识全景图，看上去很不错，如果遇到安全相关面试，拿出来可以和面试官聊一下了。

随着网络化、数字化的深入，安全领域现在也比较火热，薪资待遇应该也会水涨船高，希望通过专栏的学习，能够去弥补“安全行业人才供给不足”的缺口。

01 | 安全的本质：数据被窃取后，你能意识到问题来源吗？

只要经常看美剧或者电影，那么 CIA 应该是耳熟能详啊（Central Intelligence Agency），如果再加上一点

英语基础，Confidentiality 机密性、Integrity 完整性、Availability 可用性 也不难记住。

机密性，不可见，确保数据只被授权访问，做正确的事

完整性，不可改，确保数据只被授权修改，加强日志

可用性，可读，确保数据能够被授权访问

目前的工作偏向于 ToG 业务，那么机密性的要求还是比较高的，总有一些相对敏感的数据不希望被随便看到；接下来应该是可用性，系统宕机，领导会抓狂；完整性当然也重要，但是只要有日志，那么就不难找出问题所在。

看到有留言提到审计，审计虽然是事后追责，但是似乎对机密性和完整性都有作用。

02 | 安全原则：我们应该如何上手解决安全问题？

从 CIA Triad 到 AAA （Authentication, Authorization, Accounting），感觉自己好像一直抓了一把好牌，已经可以和面试官谈笑风声了。

从输入用户名 Identification，输入密码 Authentication，获得授权 Authorization，接下来就是一顿操作猛如虎，留下记录 Audit，最终被问责 Accounting。

虽然现在二次认证已经比较常见了，但是很少意识到这是从“知道什么”，到“拥有什么”，最终“是什么”，逐渐增加了认证强度。

现在最高安全级别的认证可能就是加上眨眼、张嘴、转头的人脸识别了。

事前认证、事中授权、事后审计，如果都能落地，那么想来也就安全“无忧”了。

对于思考题，我负责的项目中，其实认证是有的，用户名加密码；授权也有，按照角色授权操作；但是事后审计是短板，虽然也记录日志，但是估计没有人会从安全的角度去审计。

对于公司的安全问题，那么除非大老板强推，还需要有懂安全的 CSO（首席安全官，这个说法不常见）或者 CTO，否则一般情况下是没法落地的。

见到过因为保密要求，所以在物理隔绝的环境做开发的，使用光盘作为外部数据导入的介质，这种操作真的安全么？

多说一句，检索的时候，发现用的最多的是 IAAA，其次是 AAA，而 IAAAA 搜索到的结果少，而且一般第三个 A 多是 Accounting 而不是 Audit。

• XSS 攻击（Cross-Site Scripting，跨站脚本攻击）

• CSRF（Cross-Site Request Forgery，跨站请求伪造）

• SSRF（Server Side Request Forgery，服务端请求伪造）