2025-11-09 - 没有遵循 Secure by Design 而建的系统,整改就是噩梦
笔者的公众号写作停了好久。原因是忙。忙什么?
在无文档、代码无历史无注释,甚至部分客户端无源码等“百无”条件下,彻底地修补一个系统的严重安全问题——也就是等保测评常说的“系统整改”。
这个系统的安全问题,还是笔者自己做的渗透测试(AI辅助渗透测试之如何对甲方说明API安全问题(利用HAR记录文件))发现的......一个人的大包大揽了属于是(早知如此,连渗透测试都不去做,净折腾自己)。
笔者:国际注册信息系统审计师、软考系统分析师、软件工程硕士
言归正题。“Secure by Design” 是一个广泛采纳的安全设计原则术语,强调在系统开发生命周期的最初阶段就将安全性内嵌于架构与设计之中。
有些翻译直接译为“安全设计”,又或者“设计即安全/设计保安全”,但这其实和术语中的 “by” 所带来的语境有偏差,笔者认为应强调安全和设计之间的关联性,即表述为“以设计致安全",方更显准确。
如果系统的设计并未考虑安全因素,整改就是噩梦。其实,这就是甲方实施网络安全(比如等保测评)时可能会碰到的最大困境:
最新发表
2025-11-09 没有遵循 Secure by Design 而建的系统,整改就是噩梦整改一个系统后,深深感到 Secure by Design 首先是软件工程问题,其次才是网络安全问题。而网络安全行业应跳出狭义范围,插入到软件工程当中。
2025-03-25 重视篡改和勒索事件情报分析才能有效应对网络威胁在网络安全防守中,关键在于通过有效资源投入使攻击方认为投入大于收益,从而放弃攻击,这要求防守方必须深入了解攻防态势,做好情报分析,真正做到“知己知彼,百战不殆”。
2025-03-05 从最近国内多起疑似数据勒索事件对照等保标准要求研读美国执法机构发布的勒索软件防范网络安全公告从最近国内多起疑似数据勒索事件对照等保标准要求研读美国执法机构发布的勒索软件防范网络安全公告
2025-02-01 CVE-2024-3661,又可以考验发行版补丁及时性了又有新高危漏洞可以测试操作系统发行版的补丁及时性了。这就是 NetworkManager 高危CVE安全漏洞,CVE-2024-3661,CVSSv3评分7.6。
