每一年安全问题频发,主要的根源是大多数公司, 1 安全意识低 不重视,以为没问题 2. 优先级不高 投入没有直接产出 3. 能力不够,缺乏基本的安全知识。 何为舟前前微博安全研发负责人,现为美团安全经理。作者以专家的视角梳理的安全的知识体系。
1. 安全的现状:
小公司没有安全,大公司补安全
如果业务的开发和管理人员,能够具备基础的安全知识,尽早做好安全规划,就能够以很低的成本满足公司前期的安全诉求
学习安全不需要当专家
1. 感觉需要懂前端、懂后端、懂操作系统、懂网络。需要懂的知识非常多,但幸运的是,对于安全入门来说,宽度比深度更重要.
2. 对于这些基础知识,深刻理解自然更好,但是懂些皮毛也足够了
3. 靠技术和工具实现安全太难,从意识源头开始会事倍功半,如普通员工的安全意识,系统管理员的安全意识,开发人员的安全意识。当安全人人有责的意识深入人心,再辅以技术(安全产品,安全技巧),大部分的安全问题都能规避了。
2.安全模型
我们学习一个知识在学习它的底层模型,下图是安全的底层模型
3. 安全的目标
安全的本质就是保护数据被合法地使用 CIA 三元组
机密性 Confidentiality确保数据只被授权的主体访问,不被任何未授权的主体访问 (不可见) 针对读
完整性 Integrity 完整性就是确保数据只被授权的主体进行授权的修改 “不可改” 可追溯
可用性 Availability 可用性 可用性就是确保数据能够被授权的主体访问到 "可读,能读, 可达性"
CIA只是告诉你要从哪些方面去考虑数据的安全性 在互联网企业发展初期,可用性的优先级较高。如果涉及金钱相关的业务,则完整性的优先级更高;而涉及个人隐私相关的业务,则保密性的优先级更高
4. 安全的步骤
黄金法则
认证(Authentication) 身份识别其实就是在问“你是谁”,你会回答“你是你”。身份认证则会问“你是你吗”,那你要证明“你是你”这个回答是合法的 认证形式可以大致分为三种。按照认证强度由弱到强排序,分别是:
你知道什么(密码、密保问题等);
你拥有什么(门禁卡、安全令牌, 手机,email 等);
你是什么(生物特征,指纹、人脸、虹膜等)
授权(Authorization) 下一个需要明确的问题就是“你能做什么”。我们的操作都会受到一定的限制。比如,某些文件不可读,某些数据不可修改。这就是授权机制
审计(Audit) 当你在授权下完成操作后,安全需要检查一下“你做了什么”,这个检查的过程就是审计
当发现你做了某些异常操作时,安全还会提供你做了这些操作的“证据”,让你无法抵赖,这个过程就是问责
5. 加密技术
密码学作为 AAA (认证、授权、审计机制)的基础
对称加密算法、 发送方,会使用加密算法和密钥,生成消息对应的密文;而你作为接收方,想要阅读消息,就需要使用解密算法和一个同样的密钥,来获得明文
非对称加密算法 非对称加密算法中,公钥是公开信息,不需要保密,我们可以简单地将一个公钥分发给全部的通信方. 非对称密钥其实主要解决了密钥分发的难题
散列算法 利用它可以对任意长度的输入,计算出一个定长的 id 要求: 不可逆性,
鲁棒性(同样的消息生成同样的摘要)、
唯一性(基本不存在两个不同的消息,能生成同样的摘要, 碰撞概率几乎为0)
此外本课程还深入讨论JWT, oAuth 已经一些常见的工具手段跨站攻击,SQL注入,反序列化带来的问题,代码泄露,第三方库和入侵检测系统。
推荐指数 4.2 颗星
网友评论