作爲架構的一種非常重要的質量屬性,安全性越來越得到人們的關注,在此總結一下自己瞭解到的安全性的內容。
最早得知安全性的重要性,是當初參加微軟的一場講座,其中提到了操作系統的安全性,並且展示了SQL注入、緩衝區溢出等手段,之後還推薦了一本書《編寫安全的代碼》,當然,其主要的目的還是要宣傳微軟產品的安全性。
之後逐漸瞭解到安全性的各個方面,密碼、認證、授權、加解密等等,但是一直沒有得到真正的應用。直到在公司的核心繫統提出安全性的質量屬性需求的時候,才真正接觸到一些安全性的防範措施。
但是,那是還是把安全性孤立看待,認爲那只是一種技術而已,並沒有考慮其目的何在。直到前幾天參加架構師峯會,聽了劍心的講座才明白,其實安全性的目的就是爲了保護各種各樣的敏感數據,那纔是安全性的關鍵所在。對於不同的企業和組織,需要保護的數據也不盡相同,但讓技術人員普遍認爲很重要的用戶名和密碼數據本身並不重要,重要的是有了用戶名密碼然後進入系統所能夠獲得的數據。另外,安全性手段也需要根據需要保護的數據的重要程度來靈活選擇,如果一個系統中的數據都是一些可以公開的數據,那麼基本上不需要保護,可能是公開的網站,那樣需要保護的就是不要讓人篡改頁面,而影響公衆形象。由此想到了當年中國的黑客行動,只是去攻擊各種網站,把主頁替換掉,其實更重要的應該是到數據庫中,取得足夠重要的數據,那才能夠給予更加沉重的打擊。
另外就是,安全性的防範並非是IT部門自己的責任,也不侷限在系統之中,其實更多的安全事件都是出現在人身上,特別是內部員工的身上,有很多非黑客的手段,比方說社會化的手段,更容易也更有效地獲取各種數據和信息,而且那樣獲得的內容更加清晰,比方說不需要像數據庫中的數據那樣,還需要了解數據庫的結構才能夠知道其中的意思,也不需要對其進行解密處理。而且,從這樣的途徑泄露出去的信息要比黑客手段獲得的要多得多。
總之,安全性的增強需要每個人都具備安全意識,知道哪些數據是最需要保護,需要防範的,也是一個任重而道遠的過程。當前在國內,最應該提高的並非是IT人員的安全性方面技術,而是全體人員的安全意識,那纔是根本。
