这个标题有点大,随便写点。
有“安全”,自己有对应的“不安全”,什么叫“不安全”呢?
“不安全”,可以分为两类:一类是本身固有的缺陷、弱点,可能因为地心引力等自然因素,或者一个误操作而触发,并非是人为主动有意引起的;另外一类是有人因为各种各校的原因故意搞破坏,是人为因素。其中第二类存在有意利用第一类缺陷的可能性。
因此,对于一个国家、组织、个人来说,需要尽可能减少第一类不安全,同时尽可能防御住第二类不安全。
第一类不安全怎么防呢?这个问题涉及设计、系统、代码、外包等等各个方面的因素,这里先不讲了。
第二类不安全怎么防呢?安全圈里有两句话,“知己知彼,百战不怠”,“不知攻,焉知防”。
从这两句话里,最重要的一层意思,“站在攻击者角度来看自己”,这也是为什么很多公司的安全负责人是业界有名黑客的原因,如……(一堆),除了人脉震摄住一部分小黑外,最重要的就是TA能从攻击者的视角看待公司这个千疮百孔的破网,哪里需要补,怎么补,哪里需要改,怎么改,哪里需要防,怎么防。TA知道黑客的攻击趋势,有哪些工具,又出现了什么新工具,会怎样绕过,怎样渗透,喜欢用钓鱼还是喜欢用水坑,清楚攻击者的思路,才能更好地做好防护。
国内有许多安全公司,也有许多安全实验室,根据安全人员占比、素质、所处的地位,一定程度上能够判定一家安全公司的安全产品是否靠谱,一个安全实验室是真正在做安全还是只为了拿国家的钱。
讲了“不安全”,再讲点“安全”。
“安全”,是有有效期的,我本科是学密码学的,密码学里有一个理念,具体忘记了,大体是“要求加密算法在除密钥被公开的任何情况下,多少年不可破”,就是说这份信息的价值在这些年内已经被挥发怠尽,即使被泄露也没关系。
“安全”也是相对的,安全投入的成本与所保护目标的价值相关,同样,攻击的成本与力度,与目标所具有的政治、金钱等利益成正比。很多银行金融类公司的安全投入,据说都是上不封顶。腾讯吃鸡游戏一年那么高的营收,就会有很多黑客为了利益写外挂、搞事。
有点乱七八糟的,先到这吧,近一年来感觉做的不是安全的工作,安全实践有些少!
领取专属 10元无门槛券
私享最新 技术干货