软件安全问题探究

在IT行业里,软件开发人员是专业技术水平比较高的一类。高校每年都会生产出大量的计算机科学和软件工程毕业生,同时社会上也有不少软件开发培训机构,职场中的程序员们更是在不断学习和提升自己的水平。

看起来软件行业蓬勃发展,其实问题还很多。昆明亭长朗然科技有限公司的信息安全分析师James Dong表示:尽管我只是一名业余的软件开发人员,但是我能够充分理解程序员吃“青春饭”的不易。程序员中的职场新人往往并非能够立即挑大梁,往往从低阶的较简单的重复性工作干起,比如帮助部署和定制化一些软件,对软件系统做一些维护和技术支持工作。

新人在学习和熟悉的过程中不断扩张知识面,同时也在自己感兴趣和有更大需求的领域深度挖掘。软件开发知识的积累和能力的提升并不是短时间内可以轻松完成的,即使天资异常聪明的开发者也需要了解和掌握一堆系统化的知识。

不过虽然说这个世界很复杂,软件开发人员的知识面并不广阔,特别是那些局限的环境造就了许多视野不够宽广的蹩脚开发人员。亭长朗然公司James说:懒散的目光短浅程序开发人员往往只关心代码和配置,殊不知在不完善的管理体系和混沌的工作环境中需要的是全能性的“复合型”人才,即能理解业务信息需求并完成软件相关的所有分析、设计、开发、测试、交付和支持工作。这种软件开发人才很难找,更难的是还懂安全的软件开发人才。

我们是要说软件安全,却谈了这么久软件开发人员的问题。其实软件开发,编程写代码之类的硬能力很重要,更重要的是却是标准化的管理问题,很多软件外包公司要通过CMM标准认证,为什么?说到底,软件安全问题的核心是开发人员的安全管理问题!

尽管不少公司在整个软件开发生命周期中都极力遵从最佳的行业实践标准,代码审核和测试检验也在交叉进行,但是仍然会有很多造成安全问题的意外情况。从科学上讲,很难写出没有任何安全漏洞的软件,正常的软件被非正常的使用时,总可能搞出意外的结果,这就会造成很多程序溢出和提权攻击。

为什么软件缺少很多用户输入校验措施呢?为什么软件开发人员要假设用户都是正常的使用者呢?与期说开发时间紧迫,后期培训流程可以解决,倒不如说程序开发人员的安全敏感度不够,安全敏感度源自于安全认知。重视安全的老练的资深程序员会有一种“特异功能”,知道哪里会有安全问题或隐患,这些家伙们即使不是公司的资深救火员,也可转身便成为发现大牌软件漏洞的赏金高手。

懂安全的资深程序开发员毕竟是少数,难道这样就让大多数软件系统布满漏洞、遍体鳞伤吗?亭长朗然公司James说:软件安全不是渗透测试,不是代码扫描,也不是应用层防火墙,相反它是和人员安全意识密切相关的。内部的创意设计和开发团队需要了解软件安全的问题,我们需要并为他们提供合适的工具,流程和培训,进而帮助树立正确的安全防范意识

妹喜和伊尹联手灭夏桀的启示

妺喜,中国历史上的第一“女间谍”,华夏“红颜祸水”的第一例证,靠美貌绝伦和独特的性格气质,获得了夏桀的百般宠爱和言听计从。伊尹,头顶“中国的厨师之祖”的光环和“神州第一宰相”的美誉,是一位传奇的励志典型,当然因为“放逐太甲”也成为颇有争议的人物。伊尹和妹喜互相配合,妹喜破坏夏朝朝政,离间夏王与诸侯间的信任;伊尹则透过妹喜刺探夏朝机密,侦查地形,将情报回传给商。

如果说妹喜和伊尹两人终结了夏朝,那不公平,再厉害的个人英雄也如何顶不过商以及其他诸侯的大批部队。对此,昆明亭长朗然科技有限公司保密宣教研究员董志军表示:不过话说回来,英雄借时势,时势造英雄,如果没有这两个人,夏商的历史传说可能要重写。历史不会重来,历史可能重演。我们能做的,就是从中吸取强化保密、防范泄密的教训。关于“女间谍”如何与“厨圣”里应外合,搞垮夏朝,在《竹书纪年》虽有“昔夏桀伐有施,有施人以妺喜女焉,妺喜有宠,于是乎与伊尹比而亡夏”的简单记载,但是缺乏细节,再加之年代久远,史记不全,所以只能凭空猜想,泛泛而谈。

一、小心身边人泄密。秘书,作为领导干部“身边人”,知密时间早、内容多、程度深,负有比一般涉密人员更为重大的保密责任,但在实践中,秘书人员引发的泄密事件却不在少数。同时,随着社交媒体的移动化,家人通过朋友圈泄密,已经让不少涉密人员吃尽了苦头。夏王如果通过牢记保密准则,不与皇宫妹喜谈论治国与军事大事,即使是间谍妹喜再有“媚功”,也是白搭。因此,涉密人员要小心身边人,加强对他们的保密意识教导。

二、慧眼识人,科学用人。很多领导干部喜欢被人拍马屁,通常来讲,拍马屁很厉害的人善于勤于钻营人心,是“两面人”,而不精于业务。而精通业务的专业人员往往更多用心于事,口才拙劣者居多,当然能说会道的也不少。这不是否定妺喜及伊尹的才华和能力,而是让专业人员干专业的事情,方不至于错配人才,引来乱权。试想,如果让伊尹坚持做厨师和药师,商王虽然不至于那么快得到天下,也绝不会在后期引起“废黜皇帝”的篡权乱政以及不休的争战。唯德是举,唯才是用,德才兼备,知人善用。选人时切记用那些守得住秘密的,“小广播”和“大嘴巴”式的人物,都是些早晚要害人的“猪队友”。

三、防止勾连,加强管理。防范搞“小帮派、小圈子、小山头、小团伙”,宗派集团的聚集很容易形成威胁力量,进而团伙违法,破坏规矩。试想,如果夏王能建立严格的监察制度,割断妹喜和伊尹的联手,伊尹没有了信息源,想造反也就心里没底。反勾连,需要建立制度化的组织及人事纪律。切记:不法小团伙的勾结和聚集,必定伴随着对组织纪律的违反,以及私下分享内部和涉密信息的行为。因此,做好保密工作,也是在遏制不法小团伙的生存空间。

四、谨小慎微,广纳良言。吃喝用度要有限度,如果很难做到“廉洁自省”,那么则必须做到“广纳谏言”。如果夏王能够听进历法太守终古和直言大臣关龙逢的话,及时反省并改过,不要搞那些荒淫无道的事情,累死商汤也翻不了大浪,影响不了江山稳固。聪明的领导干部和涉密人员应该都明白“良药苦口,忠言逆耳。”一次窃密泄密失密可能因为侥幸原因而逃脱惩戒,多次窃密泄密失密必然影响自己的前程。敬畏法律,严守规则,及时收手,防范“多行不义则自毙”的常路。

总之,妹喜和伊尹联手,颠覆了夏朝的传说肯定有一定的依据,比如有诗赞“有施妺喜,眉目清兮。妆霓彩衣,袅娜飞兮。晶莹雨露,人之怜兮”;伊尹的烹饪水平“久而不弊,熟而不烂,甘而不哝,酸而不酷,咸而不减,辛而不烈,淡而不薄,肥而不腻”。尽管历史永远都是后人评说,评说者都有一定的立场,不过俗话说“读史以明智,知古以鉴今”,站在信息安全、保密与合规宣传工作的角度,历史也是可以“把玩”一番的。

昆明亭长朗然科技有限公司推出了专门针对职场人员的安全保密意识课程,欢迎有需要的客户或伙伴们联系我们,洽谈合作。当然,如果您对文中的这个话题有兴趣或者有自己的观点看法,欢迎联系我们,以进一步深入探讨。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898