0002 安全问题的根源

0002 安全问题的根源

1. 全面把握安全，不要追求局部片面的安全

不得不说的是，要想在安全行业有所造诣。所要学习的知识面是非常广的，安全不是片面的，虽然从某个方面看上去你的系统是安全的，但是其他方面呢？有句话是这么说的，一颗老鼠屎能搅坏一锅汤。安全更是如此，对于一个系统，知道有一个小小的地方出现安全漏洞，就能被***利用，从而使整个系统遭到破坏。正所谓没有绝对安全的系统，所以我们在对待安全这个事情上，是要全面把握系统的整体结构，从各方面去了解系统的安全性。作为***测试这，我们更应该全面分析系统的安全，尽量把所有情况都考虑到，最大限度的挖掘系统的漏洞，不要满足于在某个方面发现了重大安全漏洞。

2. 开发功能的时候只追求功能的实现，没有考虑到安全隐患

安全问题的来源之一就是开发人员只追求功能的实现，从来没有考虑到安全的问题，或者说是完全没有安全的意识。在国内，这种现象是非常普遍的。在开发者的眼中，只要功能实现了就万事大吉，其实不然。要想从根源上解决安全问题，对于开发者，不仅要实现功能，还要考虑到程序的健壮性，能不能子啊各种场景下都能正常工作，有没有权限问题，普通用户是否能看到root用户的数据等。meltdown 漏洞就是很好的例子，用户空间的程序能够看到内核空间的数据，这是多么恐怖的事情。Linux 内核开发的那帮人，他们的水平很高了吧，尚且出现这么严重的安全问题，那么作为普通的开发者，难道开发的程序就没有这样的问题吗？所以要想从根源上解决安全问题，是需要提高开发者的能力，在完成功能的同时考虑到存在的安全隐患。

3. 最大的威胁--人的欲望

没有买卖就没有×××，国家严令禁止捕杀藏羚羊，但是每年还是有很多藏羚羊死在猎人的枪下。加入没有人会去买，没有人想去吃，那么怎么会有人去卖，又怎么会有人踩着法律的准线去猎杀藏羚羊呢？安全行业也是如此，之所以漏洞会被爆出来，是黑产中利益链上的人的欲望，想要不劳而获的人还是太多，想要通过不正当手段获得利益的人也很多。人的欲望不止，就永远会存在安全问题，总有人会想着搞破坏，盗取本不属于自己的东西。所以作为新时代的我们，在这样的大环境下，能通过互联网获取到知识，学习安全相关的知识，就要时刻保持一颗纯洁的心，君子爱财，取之有道，不要去触碰法律的准绳。

4. 信息安全需要达到的目标

信息安全的目标是在被***之前就把所有的漏洞堵上，不让有 不良欲望的人有机可乘。要到达这个目标，一般通过下面这两种方法去实现。

4.1. 防护型安全

对于防护性安全，在企业的运维岗上工作的人应该是有很大的感触，每天查看服务器的日志，找到不正常的流量，从中获取是否存在***，如果有，那就采取相应的措施去修复。防止被再次***。防护性***虽然能很快定位到系统出现漏洞的地方，但是这种策略本身就是不安全的，等到别人***你了，再去采取相应的措施，会不会是亡羊补牢，为时晚矣！所以这种手段应该是备选方案。

4.2. ***型安全

***性安全是安全维护人员自己扮演***这的身份，向自己维护的系统发起各种***，从中找到系统的漏洞，进而修复漏洞，防范于未然。这对安全从业人员的要求就又要高了一个台阶，不仅需要懂得如何去防护，还要懂得怎么去***。但是只要坚持这么做，久而久之，安全从业人员也会具备和***者一样的能力，这就是所谓的白帽子***，与黑帽子***最大的区别就是能保持自己的准则，从不触碰法律的界限。

5. ***测试的思路

***测试就是在没被***之前找到系统的漏洞，其思路就是自身扮演***者的角色***自己的系统，从而找到系统的漏洞。

5.1. 以***者的身份发现系统安全漏洞

要想以***者的身份发现系统的漏洞，就必须把自己对系统的控制权限全部放弃，安全当成自己第一次接触这个系统。利用各种信息收集的方法获取系统的信息，从而开始进一步的***测试。

5.2. 只需要证明安全问题的存在，不要搞破坏

作为***测试者，只需要找到系统存在的安全漏洞即可，不要利用漏洞去***，让系统遭到破坏。

6. ***测试者的个人操守

作为一个***测试者，必须要有自己的道德操守，不要利用***测试过程中取得的漏洞信息去做灰色产业。

6.1. 道德约束

还是那句话，君子爱财，取之有道。不要被一时的利益冲昏了头脑，否则突破道德的底线，没有道德的约束，终将走上一条不归路。

6.2. 法律约束

网络信息安全国家是有法律约束的，所以不要去触碰法律的底线。我国新版网络信息安全法自 2017 年 6 月 1 日起施行，下面是网络信息安全法中的部分内容。

第二十七条 任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具；明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。

第六十三条 违反本法第二十七条规定，从事危害网络安全的活动，或者提供专门用于从事危害网络安全活动的程序、工具，或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助，尚不构成犯罪的，由公安机关没收违法所得，处五日以下拘留，可以并处五万元以上五十万元以下罚款；情节较重的，处五日以上十五日以下拘留，可以并处十万元以上一百万元以下罚款。