0002 安全問題的根源

0002 安全問題的根源

1. 全面把握安全，不要追求局部片面的安全

不得不說的是，要想在安全行業(yè)有所造詣。所要學習的知識面是非常廣的，安全不是片面的，雖然從某個方面看上去你的系統(tǒng)是安全的，但是其他方面呢？有句話是這么說的，一顆老鼠屎能攪壞一鍋湯。安全更是如此，對于一個系統(tǒng)，知道有一個小小的地方出現(xiàn)安全漏洞，就能被***利用，從而使整個系統(tǒng)遭到破壞。正所謂沒有絕對安全的系統(tǒng)，所以我們在對待安全這個事情上，是要全面把握系統(tǒng)的整體結(jié)構(gòu)，從各方面去了解系統(tǒng)的安全性。作為***測試這，我們更應該全面分析系統(tǒng)的安全，盡量把所有情況都考慮到，最大限度的挖掘系統(tǒng)的漏洞，不要滿足于在某個方面發(fā)現(xiàn)了重大安全漏洞。

2. 開發(fā)功能的時候只追求功能的實現(xiàn)，沒有考慮到安全隱患

安全問題的來源之一就是開發(fā)人員只追求功能的實現(xiàn)，從來沒有考慮到安全的問題，或者說是完全沒有安全的意識。在國內(nèi)，這種現(xiàn)象是非常普遍的。在開發(fā)者的眼中，只要功能實現(xiàn)了就萬事大吉，其實不然。要想從根源上解決安全問題，對于開發(fā)者，不僅要實現(xiàn)功能，還要考慮到程序的健壯性，能不能子啊各種場景下都能正常工作，有沒有權限問題，普通用戶是否能看到root用戶的數(shù)據(jù)等。meltdown 漏洞就是很好的例子，用戶空間的程序能夠看到內(nèi)核空間的數(shù)據(jù)，這是多么恐怖的事情。Linux 內(nèi)核開發(fā)的那幫人，他們的水平很高了吧，尚且出現(xiàn)這么嚴重的安全問題，那么作為普通的開發(fā)者，難道開發(fā)的程序就沒有這樣的問題嗎？所以要想從根源上解決安全問題，是需要提高開發(fā)者的能力，在完成功能的同時考慮到存在的安全隱患。

3. 最大的威脅--人的欲望

沒有買賣就沒有×××，國家嚴令禁止捕殺藏羚羊，但是每年還是有很多藏羚羊死在獵人的槍下。加入沒有人會去買，沒有人想去吃，那么怎么會有人去賣，又怎么會有人踩著法律的準線去獵殺藏羚羊呢？安全行業(yè)也是如此，之所以漏洞會被爆出來，是黑產(chǎn)中利益鏈上的人的欲望，想要不勞而獲的人還是太多，想要通過不正當手段獲得利益的人也很多。人的欲望不止，就永遠會存在安全問題，總有人會想著搞破壞，盜取本不屬于自己的東西。所以作為新時代的我們，在這樣的大環(huán)境下，能通過互聯(lián)網(wǎng)獲取到知識，學習安全相關的知識，就要時刻保持一顆純潔的心，君子愛財，取之有道，不要去觸碰法律的準繩。

4. 信息安全需要達到的目標

信息安全的目標是在被***之前就把所有的漏洞堵上，不讓有 不良欲望的人有機可乘。要到達這個目標，一般通過下面這兩種方法去實現(xiàn)。

4.1. 防護型安全

對于防護性安全，在企業(yè)的運維崗上工作的人應該是有很大的感觸，每天查看服務器的日志，找到不正常的流量，從中獲取是否存在***，如果有，那就采取相應的措施去修復。防止被再次***。防護性***雖然能很快定位到系統(tǒng)出現(xiàn)漏洞的地方，但是這種策略本身就是不安全的，等到別人***你了，再去采取相應的措施，會不會是亡羊補牢，為時晚矣！所以這種手段應該是備選方案。

4.2. ***型安全

***性安全是安全維護人員自己扮演***這的身份，向自己維護的系統(tǒng)發(fā)起各種***，從中找到系統(tǒng)的漏洞，進而修復漏洞，防范于未然。這對安全從業(yè)人員的要求就又要高了一個臺階，不僅需要懂得如何去防護，還要懂得怎么去***。但是只要堅持這么做，久而久之，安全從業(yè)人員也會具備和***者一樣的能力，這就是所謂的白帽子***，與黑帽子***最大的區(qū)別就是能保持自己的準則，從不觸碰法律的界限。

5. ***測試的思路

***測試就是在沒被***之前找到系統(tǒng)的漏洞，其思路就是自身扮演***者的角色***自己的系統(tǒng)，從而找到系統(tǒng)的漏洞。

5.1. 以***者的身份發(fā)現(xiàn)系統(tǒng)安全漏洞

要想以***者的身份發(fā)現(xiàn)系統(tǒng)的漏洞，就必須把自己對系統(tǒng)的控制權限全部放棄，安全當成自己第一次接觸這個系統(tǒng)。利用各種信息收集的方法獲取系統(tǒng)的信息，從而開始進一步的***測試。

5.2. 只需要證明安全問題的存在，不要搞破壞

作為***測試者，只需要找到系統(tǒng)存在的安全漏洞即可，不要利用漏洞去***，讓系統(tǒng)遭到破壞。

6. ***測試者的個人操守

作為一個***測試者，必須要有自己的道德操守，不要利用***測試過程中取得的漏洞信息去做灰色產(chǎn)業(yè)。

6.1. 道德約束

還是那句話，君子愛財，取之有道。不要被一時的利益沖昏了頭腦，否則突破道德的底線，沒有道德的約束，終將走上一條不歸路。

6.2. 法律約束

網(wǎng)絡信息安全國家是有法律約束的，所以不要去觸碰法律的底線。我國新版網(wǎng)絡信息安全法自 2017 年 6 月 1 日起施行，下面是網(wǎng)絡信息安全法中的部分內(nèi)容。

第二十七條 任何個人和組織不得從事非法侵入他人網(wǎng)絡、干擾他人網(wǎng)絡正常功能、竊取網(wǎng)絡數(shù)據(jù)等危害網(wǎng)絡安全的活動；不得提供專門用于從事侵入網(wǎng)絡、干擾網(wǎng)絡正常功能及防護措施、竊取網(wǎng)絡數(shù)據(jù)等危害網(wǎng)絡安全活動的程序、工具；明知他人從事危害網(wǎng)絡安全的活動的，不得為其提供技術支持、廣告推廣、支付結(jié)算等幫助。

第六十三條 違反本法第二十七條規(guī)定，從事危害網(wǎng)絡安全的活動，或者提供專門用于從事危害網(wǎng)絡安全活動的程序、工具，或者為他人從事危害網(wǎng)絡安全的活動提供技術支持、廣告推廣、支付結(jié)算等幫助，尚不構(gòu)成犯罪的，由公安機關沒收違法所得，處五日以下拘留，可以并處五萬元以上五十萬元以下罰款；情節(jié)較重的，處五日以上十五日以下拘留，可以并處十萬元以上一百萬元以下罰款。