作為架構的一種非常重要的質量屬性,安全性越來越得到人們的關注,在此總結一下自己了解到的安全性的內容。
最早得知安全性的重要性,是當初參加微軟的一場講座,其中提到了作業系統的安全性,並且展示了sql注入、緩衝區溢位等手段,之後還推薦了一本書《編寫安全的**》,當然,其主要的目的還是要宣傳微軟產品的安全性。
之後逐漸了解到安全性的各個方面,密碼、認證、授權、加解密等等,但是一直沒有得到真正的應用。直到在公司的核心系統提出安全性的質量屬性需求的時候,才真正接觸到一些安全性的防範措施。
但是,那是還是把安全性孤立看待,認為那只是一種技術而已,並沒有考慮其目的何在。直到前幾天參加架構師峰會,聽了劍心的講座才明白,其實安全性的目的就是為了保護各種各樣的敏感資料,那才是安全性的關鍵所在。對於不同的企業和組織,需要保護的資料也不盡相同,但讓技術人員普遍認為很重要的使用者名稱和密碼資料本身並不重要,重要的是有了使用者名稱密碼然後進入系統所能夠獲得的資料。另外,安全性手段也需要根據需要保護的資料的重要程度來靈活選擇,如果乙個系統中的資料都是一些可以公開的資料,那麼基本上不需要保護,可能是公開的**,那樣需要保護的就是不要讓人篡改頁面,而影響公眾形象。由此想到了當年中國的黑客行動,只是去攻擊各種**,把主頁替換掉,其實更重要的應該是到資料庫中,取得足夠重要的資料,那才能夠給予更加沉重的打擊。
另外就是,安全性的防範並非是it部門自己的責任,也不侷限在系統之中,其實更多的安全事件都是出現在人身上,特別是內部員工的身上,有很多非黑客的手段,比方說社會化的手段,更容易也更有效地獲取各種資料和資訊,而且那樣獲得的內容更加清晰,比方說不需要像資料庫中的資料那樣,還需要了解資料庫的結構才能夠知道其中的意思,也不需要對其進行解密處理。而且,從這樣的途徑洩露出去的資訊要比黑客手段獲得的要多得多。
總之,安全性的增強需要每個人都具備安全意識,知道哪些資料是最需要保護,需要防範的,也是乙個任重而道遠的過程。當前在國內,最應該提高的並非是it人員的安全性方面技術,而是全體人員的安全意識,那才是根本。
mysql安全性試驗 Mysql安全性測試
一 沒有進行預處理的sql語句 1.連線資料庫 conn mysql connect 127.0.0.1 3306 root 518666 if conn die could not connect mysql error 2.選擇資料庫 mysql select db mysql safe con...
安全性測試
1.url哪些引數可以放進去,哪些不可以放。後面的id 可以隨便改,可以查所有活動。url作處理 後端限制。編輯 時,不應帶有 id,防有人改id編輯其它人的 加密。比如每個使用者金鑰都不一樣,很難破解。2.有些操作自已去資料庫確認,而不靠control層。比如,編輯活動時活動時,活動還沒有開始,但...
執行緒安全性
定義 當多個執行緒訪問某個類時,不管執行環境採用何種呼叫方式或者這些執行緒如何交替執行,並且在主調 中不需要任何額外的同步或者協同,這個類都能表現出正確的行為,那麼就稱這個類是執行緒安全的。主要表現三個方面 atomic cas unsafe.compareandswapint atomiclong...