过去一年,“删库跑路”、安全漏洞等事件层出不穷,企业、技术人深受其害,作为一名程序员,在新的一年即将到来之际,我们该如何避免面向监狱编程?
作者
马超责编
张红月出品
CSDN(ID:CSDNnews)
年转眼间白驹过隙般飞奔而去,在岁末年初的当口,笔者在回顾这一年程序员世界的大事件后,突然发觉如何避免程序员面向监狱编程是个特别值得一谈的话题。
过去一年的「删库」回忆录
这几天一款秒杀茅台酒的Python项目,突然在GitHub上火了起来,不过联想到年初Pandownload事件主角因贩卖不限速网盘工具而获罪的新闻,笔者不禁为这个项目的发起人略感到担心。
当然避免面向监狱编程并不是普通程序员才要考虑的问题,9月末百度元老史有才因涉及非法为*博网站推广而被警方带走,可见就算你身居高位也无法保证安全。
而部分公司权限分配不合理,加之程序员在工作期与单位已经发生严重矛盾,这样的情况下极端的删库跑路事件也是时有发生,如微盟的核心数据库于年2月23日19点被员工恶意删库,直到3月3日上午9点数据才恢复正式上线。针对事故给客户造成的影响,微盟准备了1.5亿元人民币赔付拨备金,其中公司承担1亿元,管理层承担万元。
如果说上述情况不算是无心之过,那么今年年初某个程序员因为接了个外包,帮别人写了个软件,结果因软件涉*锒铛入狱天的刷屏新闻,还历历在目。
所以看似被动的接外包其实也不安全。更遑论P2P公司暴雷、老板跑路但程序员背锅被抓,而中科大博士业余时间写“外挂”非法牟利被捕,诸如此类似乎也在说明程序员是个相当高危的职业。
就算不去P2P公司、不接外包、不做外挂,只是业余时间写个开源软件也可能招来灾祸,去年年底,Nigix之父IgorSysoev的前东家Rambler集团对Nginx提出了侵犯版权的诉讼,而被警方带走调查,Rambler声称IgorSysoe在任职期间所有的开发成果均属于Rambler集团所有,因此该公司才是Nginx项目的合法所有人。
业余时间的开源项目做得好被招妒忌这个还可以理解,而本本分分的完成职责内的开发任务也可能被“杀”了“祭天”,美团大数据杀熟事件以及年初原油宝负油价事件,技术原因和系统问题全部被定性为罪魁祸首。
不过最吊诡的情况是在程序员成为技术“背锅侠”的同时,重大的信息安全事件也层出不穷,比如一个月前的感恩节期间,富士康在墨西哥的一家工厂遭受了名为DoppelPaymer勒索软件攻击,黑客在此之前偷窃了未加密的文件,进而在入侵之后对设备进行了加密处理。近日,DoppelPaymer勒索软件在其勒索软件数据泄漏站点上发布了属于富士康的文件。泄漏的数据包括常规业务文档和报告。
随后黑客要求价值万美元的比特币作为赎金,而美国司法部也在日期公布了黑客组织Sandworm的材料,他们对于平昌冬奥会、年法国大选都发起过攻击。当然在这种大规模网络攻击上,美国安全部门也是十分的出圈,根据斯诺登的曝料年他们就进行过实验,利用30行代码炸毁了27吨的发电机。而民用设施的漏洞则更多了,他在年Blackhat大会一名来自于新西兰的程序员Jack公开演示了如何黑掉ATM机使ATM随意吐钱;随后Jack又在年的Blackhat大会上展示了如何攻击心脏起搏器和除颤器。
那么,作为一个IT界的一员,如何避免这些坑呢?又如何在出现问题时尽可能的保护好自己?
下面笔者就和各位共同探讨一下在这样一个"一半烈火,一半海洋"的大背景下,作为程序员如何避免面向监狱编程,而企业又如何尽量避免黑客攻击所带来的损失。
使用IDaaS云身份认证系统为核心
自年“云计算”概念诞生以来,企业上云浪潮席卷全球。由于企业上云后可灵活使用资源、扩展灵活易管理的业务模式、提高资源配置效率、降低信息化建设成本。
业界有说法是“系统上云后,硬件投入成本减少近2/3。“企业上云还能享受到的一大好处是基于硬件的数据安全能力。云厂商具备的计算资源规模优势等先天条件,使得其可以借助加密计算等多种前沿技术来保证用户数据安全,以增强企业上云的安全性。
不过令人遗憾的是很多企业上云之后还由于惯性沿用之前的身份认证系统,而传统身份认证体系最主要的认证方式就是“用户名、口令”,此前,微盟等删库事件之所以会发生,其根本原因就是采用传统的身份鉴别方式,因为用户名、口令的机制很容易由于人为因素或者制度安全体系的漏洞导致泄漏或者被猜测出来。
IDaaS(身份即服务),才是云计算时代的身份识别和访问管理系统,它提供了单点登录、强大的认证管理、基于策略的集中式授权和审计、动态授权、企业可管理性等功能。
IDaaS的解决方案完全舍弃了用户名、口令的传统方式,它可以根据用户的登陆地点、时间及终端等等信息综合授予用户相应权限,并且还对用户对态调整,相较于传统安全外挂式、成本贵的缺点,优势十分明显:
成本低廉、避免重复造轮子。传统安全方案需要企业需要采购几十甚至上百个安全产品才能初步建立企业安全体系,成本高昂不说,对于安全体系来说这也是一种重复建设的浪费。而IDaaS作为一种云服务其成本优势不言而喻。
传统安全模型是游离在IT体系之外的外挂式安全。企业在使用网络、存储、数据库等IT基础设施时,往往采购自不同的厂商,安全产品也有不同的品牌。于是只能在基础设施外部署相关的安全产品,做“外挂式的安全”。如何能让安全产品与产品间,安全产品与基础设施间做更好地联动?这对于传统安全厂商来说,是个较大的挑战。
大幅降低使用门槛。之前安全产品俨然成了企业的“奢侈品”:企业光购买安全产品没有用,必须有专门的安全人员来使用才能真正发挥效果,于是线下安全厂商大多采用产品加服务的销售方式进行。但是,由于无法构成相对联动的体系,导致企业需要招聘很多安全专业人员来运营,成本增大,导致多数企业没有足够的专业安全人员来运营。而云安全也真正让云计算变成一种普惠科技走入千家万户。
因此企业在全面触云之后,当务之急就是要将自身原有的安全认证体系升级到IDaaS平台,只有利用云安全产品,才能真正保证企业信息资产的安全。
不过目前IDaaS领域还处在一片蓝海当中,向客户提供IDaaS集成服务的厂商只有阿里云,而可以支持单独提供IDaaS服务的也只有Authing身份云等有限几家初创企业,因此笔者这里也呼吁各大云厂商尽快将IDaaS服务集成到自身的云平台上,正如我们刚刚所讲,如何平衡安全与成本之间的关系,其实是摆在各行业面前的难题,而Authing身份云的IDaaS服务恰恰是解决此类问题的关键所在。
多方安全计算客户隐私保护的关键
另外,隐私在如今的大数据时代,一直成为业界及消费者
