来谈一谈你对安全的理解

本文作者:信安之路知识星球成员

在不同的学习阶段以及不同安全岗位对于安全的理解是不一样的,知识星球新推出一个作业功能,我在知识星球提出了一个作业也就是一个问题,问题如下:

大家对于安全的理解是什么?你是怎么看安全的?

我们来看一看大家的回答是什么样的。

myh0st 说

安全是相对的,企业做安全不可能做到百分之百的安全,有名人说过,国内的企业分两种,一种是知道自己被攻击的,一种是不知道自己被攻击,也就是说没有什么系统是百分之百安全的,那么我们为什么 还要做安全?

因为安全是相对的,如果你任何安全都不做,那么会降低攻击成本,那么被攻击的可能性就增加了,如果我们做的相对安全,提升攻击成本,就有抵挡很大一部分的攻击,让攻击者放弃对我们的攻击,所以我们要明确我们的对手是谁,我们做安全要防御的是谁。

我认为企业安全最有效的手段一个是做好边界的安全,然后提升入侵检测的能力,及时发现攻击及时 制止,最后就是提升员工的安全意识,在自己不制造威胁的同时能够及时发现威胁,那就厉害了。当然由 于自己的经验问题,对于安全的理解有所局限,希望在未来的工作中能让我对于安全的理解更加深入更加准确。

M 说

大佬说的安全的本质就是信任

kong 说

有时候觉得安全是为了维护规则,但有时候又觉得是在打破规则,因为你不知道这个规则是否安全……有时候觉得安全是防御,但有时候觉得也是要适当“攻击”,因为一味的挨打也不是长久之策……安全啊,这个相对的东西,站在不同的角度会有不同的理解,还是默默做个吃瓜群众,看看最后会怎么演变。

方块K 说

攻防无绝对!没有绝对的安全,在未来的安全攻击,攻击成功本会越来越大!像一些 SQL 注入呀!存储型的 xss 呀!会越来越少在一些门户网站几乎是遇不到了。反而一些逻辑的漏洞确是可以挖一挖,像验校不严格导致用户被任意修改、越权、短信轰炸、敏感信息泄露。。。。等等!

安全还得有个安全意识的人员去做维护,不能光看着乙方呀!白帽子去给你找!首先知道自己服务器上开了什么端口,什么端口是应该关闭的,哪些是可以做登录限制的(为了自己可以远程登录,比如22端口做登录限制)、服务器的补丁有没有按时打、自己用的是什么中间件,自己的网站用什么脚本语言写的,用的是什么cms。在第一层增加WAF,对后台地址限制ip访问!删除robots.txt类似这样的网站文件!从而达到增加攻击者成本。内网主机中间件,即使打补丁!用户密码大于八位包涵大小写特殊字符!对于有写的权限不给予读的权限,对于有读的权限不给写的权限。做到权限最小化。各位大佬如果有说不对!麻烦指点

empty_xl 说

安全的本质我认识是划分可信区域 在可信的区域里面去处理不可信的数据

s9mf 说

我对安全的理解是一个不断对抗的过程,技术更新很快,不努力学习如图。。

forever 说

安全就是攻守有道,必须不断学习新的技术,研究未来的趋势

Alummox bbm 说

安全就像盔甲,没有安全就相当于裸奔,隐私、弱点暴露无遗,做好这身盔甲也不那么容易,没有安全意识就更难;我第一次接触安全是一个安全框架的项目,一开始很懵懂,现在弄懂攻击原理,就明白防御了,运维期间,大都是支撑不懂安全的,有些更是连自己产品的情况都不是很了解,感觉这样就是套框架,根本没有分析自身产品。我自身渗透经验很少,后期就觉得防御还是要懂攻击,只有懂攻击才能更好的进行防御,现在都是在各种学习,虽然还是很菜。

Mr.周 说

安全就是没事干的人整出来的!

Cherishao 说

互联网本来是安全的,自从有了研究安全的人以后,互联网就变得不安全了。[

安全是相对的,不是绝对的,攻防本应是一体] 安全问题的本质是信任的问题。

一切的安全方案设计的基础,都是建立在信任关系上的。

我们必须相信一些东西,必须有一些最基本的假设,安全方案才能得以建立;如果我们否定一切,安全方案就会如无源之水,无根之木,无法设计,也无法完成。

安全是一个持续的过程。[未知的才是最可怕的,现在很多APT攻击便是如此,如何防御:及时发现,及时预警] 互联网安全的核心问题,是数据安全问题。

Facebook、Uber、雅虎等公司数据泄露问题]

{

如何保护数据安全?

1、信任域划分 完成资产等级划分后,对要保护的目标已经有了一个大概的了解,接下来就是要划分信任域和信任边界。

2、威胁分析 威胁分析就是把所有的威胁都找出来(STRIDE 模型)。

3、风险分析 风险由以下因素组成: Risk = Probability * Damage Potential 影响风险高低的因素,除了造成损失的大小外,还需要考虑到发生的可能性( DREAD 模型)。

4、设计安全方案 安全评估的产出物,就是安全解决方案。解决方案一定要有针对性,这种针对性是由资产等级划分、威胁分析、风险分析等阶段的结果给出的。 设计解决方案不难,难的是如何设计一个好的解决方案。设计一个好的解决方案,是真正 考验安全工程师水平的时候。 好的安全方案对用户应该是透明的,尽可能地不要改变用户的使用习惯。

}

安全、业务与产品: 从产品的角度来说,安全也应该是产品的一种属性。一个从未考虑过安全的产品,至少是不完整的。

对于互联网来说,安全是要为产品的发展与成长保驾护航的。

我们不能使用“粗暴”的安全方案去阻碍产品的正常发展,所以应该形成这样一种观点:没有不安全的业务,只有不安全的实现方式。

产品需求,尤其是商业需求,是用户真正想要的东西,是业务的意义所在,在设计安全方案时应该尽可能地不要改变商业需求的初衷。好的安全产品或模块除了要兼顾用户体验外,还要易于持续改进。一个好的安全模块,同时也应该是一个优秀的程序,从设计上也需要做到高聚合、低耦合、易于扩展。

安全人员应该让自己跟业务绑定,人的作用在于优化和扩展业务

上述:大多引用《白帽子讲 Web 安全》作者对安全的一些认知,内容比较宏观,对于安全我了解的还比较浅显,希望今后在工作及生活中多思考,多与同仁分享交流。

Zmo 说

安全,是相对的,所谓安全无绝对,世上没有不透风的墙,要想安全,就要无时无刻关注墙的变化,尤其在边界处,墙无疑是保障安全的一道强有力的壁垒。安全分内外,现在很多单位只注重外部的安全,反而忽略了内部安全,从而导致了很多其实一开始就能避免的安全事件。

我最初了解的安全是网络安全,最直观也最直接的就是各种安全设备,防护墙、WAF、国内各种厂商的安全设备,到后来又知道了信息安全,信息安全涉及的面更广,其中最为大家熟知的就是数据了,数据安全,保护数据的安全,其中又包括数据的完整性和保密性,这大概也是目前最能体现其价值的一部分了,从各大知名大厂子的数据泄露事件就能反映出来。可能目前对安全的理解还相对狭隘,以后还要多动手,多学习,多看书,理论知识也需要充实起来。

d4m1ts 说

没有绝对的安全,只有相对的安全

从我的角度来说,安全就是防止网站被恶意攻击并窃取敏感数据和进行其他敏感操作

爱故生忧 说

首先这是很大的领域

对安全的理解

网络安全是保障互联网,物联网的产物的 没有网络安全的建设,我们可能会遭到网络入侵。

对网络安全的看法

这是一个新兴行业,正在成长期,目前也有一定的基础。

另外网络安全的岗位明显高于其他岗位 人才缺口也大于其他行业。

我觉得学会了高超的网络安全技术是非常有趣的,同时也要知道攻与防。

我本身也是从事这方面的工作,有比较浓厚的兴趣,也就有驱动力。

目标是想掌握非常高超的技术,就像传说中的黑客一样

一帆风顺 说

安全,需要我们对此持有足够的兴趣,这样才能够当成日后坚持的动力。否则也只是三天打鱼两天晒网,进步的很慢。

我觉得所具有的精神应该是兴趣,探索,持续学习还有坚持。

战狼 说

国家安全

APT对抗 商业情报为目的

企业安全 获取商业情报,企业数据为目的

个人安全 勒索软件 盗号,盗取卡号为目的

安全的本质是信任问题。

所以总shu记在世界互联网大会上提成 网络安全命运共同体,强调互联网是人类共同家园,各国英共同构建网络安全命运共同体,才能真正解决安全问题

这么远 那么近~ 说

我觉得安全最基本是为了隐私保护

3s_NwGeek 说

我对安全的理解是学不完的,我刚学 web 渗透的时候,发现大佬还会 python。当我学 python 的时候发现大佬还会 app 渗透。当我学 app 渗透的时候,大佬还会应急响应。当我学应急响应的时候,大佬还会智能设备渗透,还有很多当我...但是还有无尽的大佬还会

总结

看了这么多小伙伴对于安全理解,你是否也有自己的理解,请不要吝啬你的才华,分享出来,大家一起成长,也欢迎加入知识星球,我们一起努力,在自己提升的同时为安全圈做点力所能及的贡献。

原文发布于微信公众号 - 信安之路(xazlsec)

原文发表时间:2018-06-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏阮一峰的网络日志

IETF:互联网精神的典范

今年是IETF成立25周年,ars technica有一篇介绍文章,回顾了它的辉煌成就。 IETF的全称是"互联网工程任务组"(Internet Enginee...

3328
来自专栏大数据文摘

【译】如何绘制一张完整的健康图谱

27813
来自专栏镁客网

亚马逊测试无人便利店Amazon Go,让三名员工穿着皮卡丘套装来逃单 | 热点

1730
来自专栏SDNLAB

Facebook接近网络安全公司,考虑收购目标

Facebook承诺,在出现大规模数据泄露后,我们对的数据、安全和隐私的管理方式进行快速的内部更改。但这可能不是该公司计划采取的唯一步骤。

1142
来自专栏大数据文摘

盘点中国2013行业数据量

39213
来自专栏企鹅号快讯

微信小游戏正式上线,H5游戏迎新机遇

游戏头条 微信号:gametoutiao(←长按复制) 中国首家顾问式新媒体定制属于您自己的媒体内容 导语:12月28日,微信更新至 6.6.1 版本。微信公众...

2709
来自专栏企鹅号快讯

迈克菲实验室:2018五大网络安全威胁

我们身处在一个网络安全高度动荡的时代,每天都有新的设备,新的危险,新的威胁出现。在这份报告中,迈克菲实验室的思想领导者和CTO给出了他们的看法,包括机器学习,威...

2187
来自专栏FreeBuf

观点 | 没有BAT3级的应急响应中心,互联网公司该如何应对数据泄露事件?

有一句流行的鸡汤文大家都耳熟能详——我们走的太快,灵魂都跟不上了。这两天网易邮箱的数据泄露事件,又一次将我们的关注从“爆发性创新与指数级增长”拉回来审视当前糟糕...

2107
来自专栏机器学习算法与Python学习

机器学习提供数据防护能力

机器学习提供大数据分析欠缺的防护功能。大数据搞定数据泄露发生的原因,机器学习则是在泄露发生时就识别出来。 网络安全专家看到大数据兴奋得双眼放光,因为这就是数据科...

2898
来自专栏知晓程序

电商大开闸的幻觉!微信上线商品搜索,只是京东 618 的一场狂欢

1704

扫码关注云+社区

领取腾讯云代金券