开发者社区> 华章计算机> 正文

互联网企业安全高级指南3.6 需要自己发明安全机制吗

简介:
+关注继续查看

3.6 需要自己发明安全机制吗


1. 安全机制的含义

首先解释一下发明安全机制这句话的意思。安全机制包括:常见的对称和非对称加密算法,操作系统自带的RBAC基于角色的访问控制,自带的防火墙Netfilter,Android的基于appid隔离的机制,kernel支持的DEP(数据段执行保护),以及各种ASLR(地址空间随机映射),各种安全函数、服务器软件的安全选项,这些都属于已经存在的安全机制,注意我用的词是“已经存在”,而这个话题是针对是不是要在已有的安全机制上再去发明新的安全机制,比如三星手机的KNOX,就是在Android基础上自己造了个轮子。

2. 企业安全建设中的需求

企业安全的日常工作是不是也会面临自己去发明安全机制的需求?会,但是不常见。实际上,在日常中发生的绝大多数问题都属于对现有安全机制的理解有误、没有启用或没有正确使用安全机制而导致的漏洞,而不是缺少安全机制,所以绝大多数场景都不需要去发明安全机制。发明安全机制是需要成本的,且需要有足够的自信,否则不健全的安全机制消耗了开发的人力又会引入新的安全问题,但此话不绝对。

3. 取舍点

那什么情况下应该发明安全机制呢,这其实非常考验判断者的技术实力。之前也提过对于很多安全漏洞的修复是否要上升层次的问题,首先要判断这是单个问题还是属于一类问题,如果是前者,用救火的方式堵上这个洞就好,没必要再去考虑更多。但假如这是一类问题,而你又没提出通杀这一类问题的手段就会永远处于救火之中,疲于奔命。如果是一类问题,分几种情况。第一种归入安全编程能力不足导致的安全问题,这类问题不需要通过导入新机制解决,而是通过加强SDL的某些环节,加强培训教育去解决。第二种情况则是属于在相应的领域还没有成熟的安全解决方案或者现有的安全机制对抗强度太弱,则可以考虑自己去造轮子。

比如有一个函数存在整形溢出,但只有在极特殊的情况下才能触发,平时开发过程中已经大量的使用了安全函数,启用了编译的安全选项,除了给这个函数加一个条件判断修复这个bug外是不是还要考虑更进一层的防护呢?大多数情况下显然是没必要的,假如这是一个公共函数,那你可以选择把修复后的代码封装成安全的API,避免其他程序员自己实现的时候发生同类问题。

换个问题,如果公司产品的某个私有协议总是被人频繁地解密和利用,而这种解密对产品的影响又较大,假设就是游戏客户端跟服务端通信的指令都能被破解和仿冒,那这种情况下就需要考虑是否更改或创建安全机制,即有没有必要通过实现更强的通信协议加密或提高客户端反调试的对抗等级来缓解这一问题。

如果你说新建安全机制也是补洞的话,其实也没错,就像DEP相对于用户态的程序而言是一种机制,而对于操作系统和冯·诺依曼体系结构而言是一个洞。当你过于勤奋地在很微观的细节上补洞却总是补不完的时候,不妨停下来看看能否在更高更抽象的层次上打个补丁。

安全工程师如果要晋升为Leader很重要的一点就是对安全事件和安全漏洞的抽象能力,没有抽象就谈不上PDCA,就意味着更高的管理者对安全KPI在你手上能否改进不一定有信心。在纵深防御体系向中高阶段发展时,实际上会比较多的遇到是否要创新安全机制的问题,但是这个场景大多数公司未必会遇到。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
远程办公安全威胁升级,疫情下企业如何自保?
以IDaaS(统一身份认证服务)为核心,阿里云云盾提供的零信任安全解决方案基本完整,类似谷歌的BeyondCorp简化版本。通过Agent终端管控,SPG(Service Provide Gateway)应用接入,和IDaaS身份认证齐头并进,可以提供灵活的组合方案从而满足企业的要求。
379 0
DDoS攻击日益加剧,互联网企业该如何应对?
最近这几年,对我们的生活影响最大改变最多的就是互联网。互联网的不断发展在给人们带来各种便利的同时,也带来了各种网络安全威胁,网络攻击从互联网诞生开始就从未停止。DDoS攻击是目前互联网上最常见的一种攻击方式
1551 0
通信安全重重考验,阿里云通信如何打造企业级“安全感”?
作为企业主流通信方式,云通信利用自身在基础运营商通信资源方面的优势,叠加上层AI、安全等技术功能创新并进行互联网封装,以SDK/API或者PaaS/SaaS的形式为企业提供跨平台、广覆盖、场景化、高度精准、安全稳定、可弹性扩展的通信服务,如语音、短信、智能客服、视频会议等等。云通信可以大大提升企业通信的综合管理能力与使用便捷程度,同时提高通信行业资源利用率,已经成为企业级通信的首选。
884 0
互联网企业数字化应用创新
数字化不是目的而是过程和工具,真正要为企业效益和经济发展带来质的提升,还要看数字化建设通向何处。以制造业为例,实现生产、研发和销售的人工智能就是数字化建设的一个重要方向。
1406 0
世界重新打开,中国互联网企业出海的新路是什么?
世界重新打开,中国互联网企业出海的新路是什么?
39 0
10059
文章
0
问答
来源圈子
更多
+ 订阅
文章排行榜
最热
最新
相关电子书
更多
OceanBase 入门到实战教程
立即下载
阿里云图数据库GDB,加速开启“图智”未来.ppt
立即下载
实时数仓Hologres技术实战一本通2.0版(下)
立即下载