也说安全性
作为架构的一种非常重要的质量属性,安全性越来越得到人们的关注,在此总结一下自己了解到的安全性的内容。
最早得知安全性的重要性,是当初参加微软的一场讲座,其中提到了操作系统的安全性,并且展示了SQL注入、缓冲区溢出等手段,之后还推荐了一本书《编写安全的代码》,当然,其主要的目的还是要宣传微软产品的安全性。
之后逐渐了解到安全性的各个方面,密码、认证、授权、加解密等等,但是一直没有得到真正的应用。直到在公司的核心系统提出安全性的质量属性需求的时候,才真正接触到一些安全性的防范措施。
但是,那是还是把安全性孤立看待,认为那只是一种技术而已,并没有考虑其目的何在。直到前几天参加架构师峰会,听了剑心的讲座才明白,其实安全性的目的就是为了保护各种各样的敏感数据,那才是安全性的关键所在。对于不同的企业和组织,需要保护的数据也不尽相同,但让技术人员普遍认为很重要的用户名和密码数据本身并不重要,重要的是有了用户名密码然后进入系统所能够获得的数据。另外,安全性手段也需要根据需要保护的数据的重要程度来灵活选择,如果一个系统中的数据都是一些可以公开的数据,那么基本上不需要保护,可能是公开的网站,那样需要保护的就是不要让人篡改页面,而影响公众形象。由此想到了当年中国的黑客行动,只是去攻击各种网站,把主页替换掉,其实更重要的应该是到数据库中,取得足够重要的数据,那才能够给予更加沉重的打击。
另外就是,安全性的防范并非是IT部门自己的责任,也不局限在系统之中,其实更多的安全事件都是出现在人身上,特别是内部员工的身上,有很多非黑客的手段,比方说社会化的手段,更容易也更有效地获取各种数据和信息,而且那样获得的内容更加清晰,比方说不需要像数据库中的数据那样,还需要了解数据库的结构才能够知道其中的意思,也不需要对其进行解密处理。而且,从这样的途径泄露出去的信息要比黑客手段获得的要多得多。
总之,安全性的增强需要每个人都具备安全意识,知道哪些数据是最需要保护,需要防范的,也是一个任重而道远的过程。当前在国内,最应该提高的并非是IT人员的安全性方面技术,而是全体人员的安全意识,那才是根本。