开发者的安全意识

计算机安全,随着历史的进程,曾被称过系统安全、开发安全、软件安全、信息安全等等,最近被称为网络安全,是计算机系统的属性。系统构建者关注的主要属性是正确性,他们希望他们的系统表现如预期的情况一样。

如果我正在开发一个银行网站,我所关心的是,当客户从她的一个账户中转出一笔1000块钱的资金时,如果资金余额足够,那么1000块钱就能转出成功。如果我正在开发一个文字处理器,我关心的是,当一个文件被保存并重新加载时,我上次离开时保存的数据能够被成功开启……等等诸如此类。

安全的计算机系统是在较宽范围的环境下防止特定的不良行为。虽然正确性在很大程度上是关于系统应该做什么的,但安全性是关于不应该做什么的。即使有对手居心叵测地试图规避任何可能实施的保护措施。昆明亭长朗然科技有限公司IT安全专员董志军说:通常有三个经典的安全属性需要系统来努力满足。这些是广为人知的属性,这些属性的破坏会导致不良的行为。根据系统的不同,它们将具有这些属性的某些特别实例。

  • 第一个属性是保密性。如果攻击者能够操纵系统以窃取个人信息或公司秘密等信息资源,那么他就破坏了机密性。
  • 第二个属性是完整性。如果攻击者能够修改或破坏系统所保留的信息,或者能够滥用系统功能,那么他就破坏了系统的完整性。破坏行为包括损毁记录、修改系统日志、安装不受欢迎的程序如间谍软件等。
  • 最后一个属性是可用性。如果攻击者侵入一个系统,以便使系统拒绝对合法用户提供服务,被拒绝服务的例子包括线上购物或网络银行访问,那么攻击者就破坏了系统的可用性。

今天,很少有系统是绝对安全的,如同您可能在新闻中看到的的一样,安全漏洞不断涌现。例如,在2011年,美国RSA公司被入侵,我在稍后将详谈。入侵者能够窃取与RSA SecureID设备相关的敏感令牌。然后,这些令牌被用来侵入使用了SecureID的公司。2013年底,美国Adobe公司遭到入侵,被盗的不仅有源代码,还有客户记录。几乎在同一个时期,攻击者入侵了美国零售业者Target的销售终端,部分门店内的客户信用卡和借记卡资料被盗。董志军表示:即使在标榜言论自由媒体自由的美国,典型的安全事故案例也都是尽可能被捂着的,如上这些只是一些影响较大且被媒体披露的例子,其实只是冰山一角。

攻击者是如何侵入这些系统的呢?许多入侵行为首先是利用了相关系统中的漏洞(也称弱点)。一项漏洞就是一项缺陷,入侵者可以利用精心构建的交互来使系统运行的不安全。一般来说,缺陷是系统在设计或实施时就已经产生了,这就使得它在后期无法避免出现问题。换句话说,它的运行就不安全。

缺陷是设计中的欠缺,而错误是实施中的欠缺。一个漏洞是一个影响安全相关行为的缺陷,而不是简单的正确性。让我们说回到RSA在2011年被入侵的案例,这种入侵行为取决于Adobe Flash播放器的执行缺陷。Flash播放器本来应该顺利地拒绝格式错误的输入文件,但是事实上,它的这个缺陷让攻击者成功利用了一个精心构建的输入文件,该文件可以操纵程序来运行攻击者编定的代码。该输入文件可以嵌入到微软Excel电子表格中,以便在电子表格在被打开时自动调用Flash播放器。

在实际的攻击中,入侵者将这样的电子表格发送给目标公司的执行官。由于电子邮件被伪装成来自于同事,所以执行官被误导而开启了该文件。这种伪造电子邮件的方法被称为鱼叉式网络钓鱼攻击,这种攻击方式是很常见的。一但电子表格被打开,攻击者就能够在该执行官的机器上悄悄安装恶意软件,并从那里发起进一步的渗透攻击。这个例子突出了通过正确性和通过安全性两个不同的视角来查看软件时的重要区别。

从正确性的角度来说,Flash漏洞只是一个错误而已,除了非常简单的小程序之外,其它所有的软件不可避免会出现错误。软件公司通常在认可他们的软件有已知错误的情况下出售软件,因为要解决这些错误花费过于昂贵。相反,开发人员主要关心在通常情况下会出现的错误。剩下的错误,比如Flash漏洞,很少会出现,用户们也习惯于自己处理它们。如果做某些事情导致了软件的崩溃,用户们很快就会了解到,这不算什么大不了的事情,重试一下或者换种方式就好了。最终,只有当大量用户的遭遇到同样的错误时,软件公司才会解决这个问题。

另一方面,从安全性的角度来看,仅仅针对常规典型的用例来判断错误的重要性是不够的。开发者必须考虑非常规非典型的滥用情况,因为这正是入侵者所处心积虑的地方。

正常用户可能会跳过软件错误,然后导致软件崩溃,但是入侵者则会尝试让该崩溃情景重现,以便了解其为什么发生,然后操纵交互将该崩溃转化为利用方式。简而言之,为了确保系统达到其安全目标,我们必须努力消除错误和设计缺陷。我们必须仔细思考哪些安全属性是我们要牢牢掌握的,并确保我们在设计和实施时不会出现危害安全的缺陷。我们还必须设计系统,使得任何不可避免的缺陷都难以被入侵者恶意利用。

而软件特别是互联网创新的市场竞争那么激烈,时间就是效率,在争分夺秒增加系统功能的时候,别指望开发者或测试人员能主动解决危害安全的缺陷。昆明亭长朗然科技有限公司董志军表示:入侵者不断发现和利用这些缺陷,或者在找出缺陷之后立即在地下市场当天出售(零天漏洞)。要防范入侵者利用零天漏洞借助用户的失误造成破坏,提升用户安全意识是较为有效的途径。在上述RSA被入侵的案例中,如果执行官有足够的信息安全防范意识,不去开启被黑客伪造的电子表格,直接删除那封钓鱼邮件,则至少可以在Flash漏洞被厂商修复之前,保护住自己。

说到底,对安全管理者来讲,安全是一整套解决方案,立体防御、多重防御无疑是正确的安全战略;开发者的安全意识是软件产品和服务是否稳健与安全的关键;用户的信息安全防范意识,也是整体安全管理体系中的不可或缺的重要一环。

在针对用户的网络信息安全意识方面,昆明亭长朗然科技有限公司创作了几十部安全教程模块、互动小游戏,以及三百来部信息安全动画视频、宣传画和培训系统等等。有多种沟通方式和展示渠道来灵活地使用它们,学员也可以通过电脑、平板和智能手机随时随地参与信息安全学习。如果您有兴趣预览,欢迎您通过如下方式快速联系到我们。

昆明亭长朗然科技有限公司

电话:0871-67122372

手机:18206751343

微信:18206751343

邮箱:info@securemymind.com

QQ:1767022898

商务差旅人士需具备基本的数据安全战略防范能力

商务差旅是当今职场人士的家常便饭,然而,在人们离开熟悉的办公室,来到了一个个陌生而全新的地方时,也应该注意到数据丢失的风险也在成倍的上升。

针对差旅人士的常见的数据安全攻击方式包括:物理窃取、黑客入侵、数据窃听以及会话截取等等。如何在旅途中有效防范这些数据安全攻击呢?昆明亭长朗然科技有限公司安全分析师James Dong说:在差旅人士们简单认识了这些安全威胁之后,采取必要的防范措施可以降借数据丢失的可能性,也能在发生意外之时,将损失限定在最小的程度。

俗话说:饱带干粮,晴带衣裳。在出发之前,商务人士便应该问一问自己一些必要的数据安全问题,而不能在事故发生之后才意识到受到了严重的伤害。在出差之前的安全准备工作有哪些呢?试着问一问您自己:我这次旅途中会携带哪些设备和信息呢?如果它们丢失会造成什么样的恶劣影响呢?

在您询问了自己这些基本的数据安全问题之后,您将开始进行一遍差旅数据安全自检活动,它包括如下内容:

1.防范设备丢失,常识告诉我们,重要的计算设备和文档要随身携带,它们往往关乎差旅工作的成败。但是不怕一万,就怕万一,现在电子设备很便宜,数据本身则更容易成为窃贼的目标。在出差之前,我们还应该将敏感数据进行必要的加密和在线备份,同时不少设备也支持远程定位、丢失报警以及锁定擦除等等功能。您需要通过必要的方式来了解这些安全特性并且启用它们,这样,即使电子计算设备失窃,您也能有效防止敏感数据丢失,并且快速从网络备份中获得工作所需的信息数据。

2.入住酒店通常难以避免,您可不要指望酒店能提供向办公室一样的安全保护,相反酒店自身或其它住客可能早已在酒店内架设了进行信息窃听和在线诈骗的网络装置。所以,不要轻易在差旅途中向您的计算设备中下载、安装和更新软件,在出发之前,进行一次更新,确保通过恰当的方式进行更新。

3.WIFI几乎无处不在,这给商旅人士带来移动工作的便利,同时黑客也很容易实施基于WIFI的数据窃听以及会话截取等等攻击,确保使用了安全的通讯渠道,在连接到WIFI之后,启用公司提供的VPN服务是防范多数WIFI数据窃听和会话截取攻击的必要手段。

4.在工作之外,陌生的地方更可能遭遇更多假冒的诈骗站点,特别是连接敏感信息系统如使用在线交易方面,最基本的鉴别手段是确认网站地址使用https开头,并且没有网站证书错误的警告。

昆明亭长朗然科技有限公司提供全面综合的信息安全意识、培训和教育,祝愿差旅人士提升数据安全防范能力,通过足够的数据安全保障,进而获得差旅的愉快和成功。

除了三百来部信息安全动画视频之外,我们还有几十部安全教程模块,以及几十部安全教育方面的互动教程和小游戏,大量的海报、漫画、系统平台等等。如果您有兴趣预览,欢迎您通过如下方式快速联系到我们。

昆明亭长朗然科技有限公司

电话:0871-67122372

手机:18206751343

微信:18206751343

邮箱:info@securemymind.com

QQ:1767022898