尽管我们可能会本能的将那些带来安全问题的用户当作是坏的或恶意用户,而且会给我们带来伤害,但是,通常在这个领域,还有一些不知情的参与者,他们不希望我们这么称呼他们。
第一,破译人员。
我们将最常见和“著名”的组织称作“破解人员”。我们并不打算将他们称作“黑客”,因为这会惹恼那些真正的黑客,大部分黑客都是非常城市,不是恶意的编程人员,可能处于各种动机,尝试找到系统的缺陷并且以他们的方式来实现他们的目标。如果他们面对一些财务信息或信用卡号时,他们可能由贪婪驱动;也可能被金钱驱动,如果他们受雇于一些竞争对手希望从你的系统获取一些信息;或者他们只是一些寻找入侵别人系统带来的刺激的天才。尽管他们给我们带来了严重的威胁,但是我们不需要将所有的精力用在他们身上。
第二,受影响机器的未知情用户。
除了“破译人员”,我们可能还必须考虑大多数的其他人。由于现代软件存在的缺陷和安全漏洞,相当数量百分比的计算机都受到这种执行各种任务的软件影响。有些企业内部网络的用户在他们的机器上安装了这种软件,而这种软件将在这些用户毫不知情的情况下攻击你的服务器。
第三,对公司不满的员工。
公司员工可能包括你是需要担心的另外一部分。这些员工,由于某些原因,故意给他们所服务的公司带来伤害。无论是什么动机,他们可能希望成为业务黑客,或者通过外部获得的工具从公司内部网络来寻找和攻击服务器。如果很好地与外部世界相隔离,但是在内部却完全暴露,这样还是不安全的。这样,我们就需要实现一种隔离区域。
第四,硬件被盗。
有一个你可能没有想到的但有需要注意的安全威胁就是,某些人进入服务器房间,拔走一些设备,然后走出该建筑。你可能会很惊讶于进入许多公司办公室是如此简单,只要闲逛一样进入,不会有任何人怀疑任何东西。比如,有些人在正确的时间进入正确的房间,发现一台崭新的带有大量敏感数据的服务器。
第五,我们自身。
听上去可能不是那么合理,但是关于系统安全问题的最头疼问题之一就是我们自身和我们编写的代码。如果不主动安全性,如果编写的代码存在问题,而又不花费一定精力测试并验证系统的安全性,将会给恶意用户提供极大的帮助,给他们提供机会攻破我们的系统。
如果打算要这么做,请合理处理代码安全以及相关的安全测试。互联网不会给粗心和懒惰提供任何宽恕机会。信奉这句格言最困难的部分就是向老板或出资人证明这样做是值得的。花费一些时间向他们介绍安全漏洞所带来的负面影响足够证明对安全的额外精力在这个“声誉就是所有”的现实世界中是物有所值的。
了解我们的“客户”:目前有0条评论