今天给各位分享struts2漏洞安全感爆棚的知识,其中也会对struts2利用工具进行解释,如果能碰巧解决你现在面临的问题,别忘了关注本站,现在开始吧!
web安全这个行业的前景怎么样
现在web安全行业的培训比较多,而培训出来的人已经初步具备了挖掘漏洞的能力,这比野路子学习web安全的人已经具有了优势。但是野路子学习web安全的人,因为是自学成才,所以自学能力比大部分培训的人强,知识面也更广。总的来说,web安全这个行业还是需要很多人才的,但现在更需要具备二进制安全研究能力的web安全人员。
大数据时代如何保障个人信息安全
个人信息保护应该从哪些方面入手呢?或者说,未来的数据安全解决方案是什么?我是研究取证的,所以我了解国内所有信息安全的行业,最主要的方法有五种,其中很多内容都已经实现。造就第270位讲者:郭永健
武汉天宇宁达科技有限公司CEO
武汉·中国光谷网络数据安全与取证产业创新联盟秘书长
大家好,我是郭永健,很高兴来到造就平台,跟大家分享数据安全的话题。
大家进入会场后有没有自动连接WiFi?或者手动连接了免费的WiFi?你们看,这个会场提供的大家连入不进去的WiFi才是本地真实的,剩下的其他WiFi都是假的。
什么是假的呢?让我们来做一个测试。大家如果已经连上WiFi,请打开手机浏览器,这没关系,你什么都不用做。接下来你看到的应该是郭永健的百度百科,这是我利用现场WiFi推送的,你们被动地接受了我传递的一个数据信息。
刚才如果我推送的是这个链接,那你们就可能中招,这是安卓手机很早之前的一个漏洞,不过最近被应用到了诈骗上。我们一旦连接到一个公共WiFi时,就都可能面临这样的风险。
所以给大家的建议就是:以后去任何的公共场所,不要连接它免费的WiFi。
数据泄露稀松平常让我们再来看看斯诺登与棱镜门的案例。
斯诺登原来是美国CIA的一个员工,之后他到国家安全局的一个外包公司继续服务,在那里接触到了大量的国家机密,其中看到一个叫“棱镜门计划”的文件,发现美国政府秘密监听全球民众通话记录等等,之后他就怒了。
他觉得美国政府怎么能干这种事呢,怎么能监控每一个老百姓和外国人的联系?他就不干了,还约了《卫报》、《华盛顿邮报》的记者,把棱镜门计划的文件给了对方,然后开始亡命天涯。
这个故事告诉我们,数据的泄露是非常稀松平常的,随时都可以发生在我们身边。
我们现在进入了大数据时代,时代给予了我们诸多生活便利,那么在大数据的背后究竟隐藏着些什么呢?我们每天的数据都在被收集着,被应用于大数据分析,往好处看是造福人类,而不好的地方就要大家自己分析了。
我们可以利用数据描绘出每一个消费者的立体肖像。这是我手机里的数据,从中可以看到,我曾去过哪些地方,在何时入住过哪家酒店,喜欢看什么书,关注哪些新闻,但我的手机告诉我的东西还远不如互联网大数据公司告诉我的多。
最近爆出一个非常可怕的事件——14亿的明文数据在暗网上被泄露。这是什么概念?14亿的账户和密码都是直接可见的,任何人只要拿到这些密码,都可以随意登录你的淘宝、LinkedIn、天涯、雅虎等等账号。
有同事用这些密码去做了个测试,发现90%的公司员工密码都在里面,我的一个私人邮箱的密码也有。公司唯一没受泄露影响的就是几个清洁卫生的阿姨,因为她们没有注册过那些账号。
面对这个情况,在这个时代,我们可不可以拒绝分享数据?可不可以拒绝使用那些APP?这有可能吗?
来看看2017年微信数据报告,报告中说,每天有9亿人使用微信,共发送38亿条记录、2亿条语音和视频。每人每天至少使用3小时手机,也就是说,除了睡觉,白天1/3的时间里,我们都是和手机、APP一块生活的。
物联网时代离我们也不远了,它会赋予我们的生活更多便利,但是当智能马桶出现的时候,有可能我们上厕所的时间也被互联网知道了。面对这种情况,我们要怎么办呢?
如何安全地裸奔?我们每个人实际上都在裸奔,我们没有任何的防护,那我们怎么去安全地裸奔?
看一看我们的数据去了哪里?实际上我们的数据都贡献给了具有数据分析需求的互联网公司。既然我们不能保护自己的安全,也离不开各种APP,我们就要接受这个现实,但接受现实不代表不能自我保护。
而自我保护的根本就是保护那些企业的安全。它们拿到我们的数据,我们不希望这些数据被恶意的犯罪分子用来对我们行骗,我们希望企业都合理使用数据。
保护企业应该从哪些方面入手呢?或者说,未来的数据安全解决方案是什么?我是研究取证的,所以我了解国内所有信息安全的行业,最主要的方法有五种,其中很多内容都已经实现。
1、遵守信息安全等级保护这是最重要的一条,也叫等保。它是一个规则,它给所有企业或者政府部门建立了一个信息安全、数据安全、备份安全、设备管理、人员管理、制度管理的规则。
其中,执行等保最严格的单位是政府部门。由于严格执行互联网等保,政府网站的安全问题已经大大减少。
但拥有我们数据的企业有没有遵守等保规则呢?如果它出现问题,那就太可怕了。所以,未来一定要严格地遵守等保,特别是对于那些小型数据企业而言。
2、加强无边界数据防护有些单位说,我们严格地遵守保密规范,内网、外网隔离,内部的数据是不可能出去的,数据不可能交换,但是不是呢?
不知道大家有没有听过一个叫做“震网”的病毒,该病毒主要发生在伊朗,重点针对的是伊朗的核、电设施。这个病毒非常特别,据说,它的发明者是美国和以色列。
因为他们不希望伊朗发展核电,于是就用携带震网病毒的U盘,从外网传染到研究机构的网络里,再把拥有特定硬件设备的机器给摧毁,同时伪造信息显示机器还在正常运转,这个病毒影响了伊朗的核发展。
所以,我们一定要打破内网和外网边界防护的概念,不是说有内网,外网就安全了,而是要做到全面地无边界数据防护。
我们关注的是数据,不是说,门口站着一个保安,屋里就安全了;而是说,我希望有一个贴身的保镖跟着我,随时替我挡子弹,那可能我是安全的,这就是无边界数据防护的概念。我们要知道重点的数据在哪儿,并且随时保护它。
3、加强数据的监管现在很多企业也都在做无边界防护的研究,但从数据的出生到修改、删除、流转、发送等等,我们都还缺乏一个监管。
比如说,当我们发现斯诺登不该拥有棱镜文件,但这个文件却出现在他的电脑里,这个行为就是违规的,我们就应该立刻关注这个行为并且报警,不让该数据流转出去。但是目前的监管流程并不完善,未来还应该去加强数据的监管。
我们进行了各种各样的保护,并且觉得已经把数据保护得很好了,但为什么还是有可能出事?因为总有一些新的漏洞被曝出来,被一些黑客利用,就像前面我们看的那个视频里曝光的漏洞。
这个病毒一样的漏洞存在了几年,都没有被发现,现在应用出来了,大家就很害怕。实际上我们每天生活里都可能有这样的事情发生,遇到问题怎么办?
4、取证计算机取证、电子数据取证、网络取证、手机取证。我本人是做取证的,我们需要找取证专家,他们类似于电脑界的法医。取证专家可以把一个事件从头到尾的发生、发展还原回来,变成我们去打官司保护自己的一个证明手段。
5、预先存证我们不希望糟糕的事件发生,但很多事情都会发生。数据有生命周期,为了防止数据在我们需要的时候没了,我们还需要做一些预先的防护。
我们需要把网页、录音、录像、视频等等有可能有重要作用的数据都保存下来,等到打官司的时候交给律师,让律师用这些证据来保护我们。
并不是所有的存证都有效,但随着云存证及区块链技术的出现,我们还可以运用区块链不可更改的特性来保障电子证据,区块链存证对我们未来的数据安全发展有重大保障作用。
在前面我提到了数据安全保护的几点技术,无边界数据防护、数据监管、预先存证等等,再用信息安全等级保护的规则来制约企业,在出事的时候懂得利用电子数据取证作为武器来保护自己,这是我认为的未来对数据安全的一个变革。
量子计算现在又有了突飞猛进的发展,有没有可能在未来,量子计算也能成为保护我们数据安全的一种全新方法呢?
谢谢大家。
编辑丨方芳
校对丨其奇、LUSEN
造就:剧院式的线下演讲平台,发现最有创造力的思想
好了,文章到此结束,希望可以帮助到大家。
