0002 安全問題的根源
1. 全面把握安全,不要追求局部片面的安全
不得不說的是,要想在安全行業有所造詣。所要學習的知識面是非常廣的,安全不是片面的,雖然從某個方面看上去你的系統是安全的,但是其他方面呢?有句話是這麼說的,一顆老鼠屎能攪壞一鍋湯。安全更是如此,對於一個系統,知道有一個小小的地方出現安全漏洞,就能被***利用,從而使整個系統遭到破壞。正所謂沒有絕對安全的系統,所以我們在對待安全這個事情上,是要全面把握系統的整體結構,從各方面去了解系統的安全性。作爲***測試這,我們更應該全面分析系統的安全,儘量把所有情況都考慮到,最大限度的挖掘系統的漏洞,不要滿足於在某個方面發現了重大安全漏洞。
2. 開發功能的時候只追求功能的實現,沒有考慮到安全隱患
安全問題的來源之一就是開發人員只追求功能的實現,從來沒有考慮到安全的問題,或者說是完全沒有安全的意識。在國內,這種現象是非常普遍的。在開發者的眼中,只要功能實現了就萬事大吉,其實不然。要想從根源上解決安全問題,對於開發者,不僅要實現功能,還要考慮到程序的健壯性,能不能子啊各種場景下都能正常工作,有沒有權限問題,普通用戶是否能看到root用戶的數據等。meltdown 漏洞就是很好的例子,用戶空間的程序能夠看到內核空間的數據,這是多麼恐怖的事情。Linux 內核開發的那幫人,他們的水平很高了吧,尚且出現這麼嚴重的安全問題,那麼作爲普通的開發者,難道開發的程序就沒有這樣的問題嗎?所以要想從根源上解決安全問題,是需要提高開發者的能力,在完成功能的同時考慮到存在的安全隱患。
3. 最大的威脅--人的慾望
沒有買賣就沒有×××,國家嚴令禁止捕殺藏羚羊,但是每年還是有很多藏羚羊死在獵人的槍下。加入沒有人會去買,沒有人想去吃,那麼怎麼會有人去賣,又怎麼會有人踩着法律的準線去獵殺藏羚羊呢?安全行業也是如此,之所以漏洞會被爆出來,是黑產中利益鏈上的人的慾望,想要不勞而獲的人還是太多,想要通過不正當手段獲得利益的人也很多。人的慾望不止,就永遠會存在安全問題,總有人會想着搞破壞,盜取本不屬於自己的東西。所以作爲新時代的我們,在這樣的大環境下,能通過互聯網獲取到知識,學習安全相關的知識,就要時刻保持一顆純潔的心,君子愛財,取之有道,不要去觸碰法律的準繩。
4. 信息安全需要達到的目標
信息安全的目標是在被***之前就把所有的漏洞堵上,不讓有 不良慾望的人有機可乘。要到達這個目標,一般通過下面這兩種方法去實現。
4.1. 防護型安全
對於防護性安全,在企業的運維崗上工作的人應該是有很大的感觸,每天查看服務器的日誌,找到不正常的流量,從中獲取是否存在***,如果有,那就採取相應的措施去修復。防止被再次***。防護性***雖然能很快定位到系統出現漏洞的地方,但是這種策略本身就是不安全的,等到別人***你了,再去採取相應的措施,會不會是亡羊補牢,爲時晚矣!所以這種手段應該是備選方案。
4.2. ***型安全
***性安全是安全維護人員自己扮演***這的身份,向自己維護的系統發起各種***,從中找到系統的漏洞,進而修復漏洞,防範於未然。這對安全從業人員的要求就又要高了一個臺階,不僅需要懂得如何去防護,還要懂得怎麼去***。但是隻要堅持這麼做,久而久之,安全從業人員也會具備和***者一樣的能力,這就是所謂的白帽子***,與黑帽子***最大的區別就是能保持自己的準則,從不觸碰法律的界限。
5. ***測試的思路
***測試就是在沒被***之前找到系統的漏洞,其思路就是自身扮演***者的角色***自己的系統,從而找到系統的漏洞。
5.1. 以***者的身份發現系統安全漏洞
要想以***者的身份發現系統的漏洞,就必須把自己對系統的控制權限全部放棄,安全當成自己第一次接觸這個系統。利用各種信息收集的方法獲取系統的信息,從而開始進一步的***測試。
5.2. 只需要證明安全問題的存在,不要搞破壞
作爲***測試者,只需要找到系統存在的安全漏洞即可,不要利用漏洞去***,讓系統遭到破壞。
6. ***測試者的個人操守
作爲一個***測試者,必須要有自己的道德操守,不要利用***測試過程中取得的漏洞信息去做灰色產業。
6.1. 道德約束
還是那句話,君子愛財,取之有道。不要被一時的利益衝昏了頭腦,否則突破道德的底線,沒有道德的約束,終將走上一條不歸路。
6.2. 法律約束
網絡信息安全國家是有法律約束的,所以不要去觸碰法律的底線。我國新版網絡信息安全法自 2017 年 6 月 1 日起施行,下面是網絡信息安全法中的部分內容。
第二十七條 任何個人和組織不得從事非法侵入他人網絡、干擾他人網絡正常功能、竊取網絡數據等危害網絡安全的活動;不得提供專門用於從事侵入網絡、干擾網絡正常功能及防護措施、竊取網絡數據等危害網絡安全活動的程序、工具;明知他人從事危害網絡安全的活動的,不得爲其提供技術支持、廣告推廣、支付結算等幫助。
第六十三條 違反本法第二十七條規定,從事危害網絡安全的活動,或者提供專門用於從事危害網絡安全活動的程序、工具,或者爲他人從事危害網絡安全的活動提供技術支持、廣告推廣、支付結算等幫助,尚不構成犯罪的,由公安機關沒收違法所得,處五日以下拘留,可以並處五萬元以上五十萬元以下罰款;情節較重的,處五日以上十五日以下拘留,可以並處十萬元以上一百萬元以下罰款。