這篇文章給大家介紹下網(wǎng)絡(luò)安全，主要是對(duì)網(wǎng)絡(luò)安全發(fā)展歷程和關(guān)于信息安全的學(xué)習(xí),，今后會(huì)持續(xù)更新網(wǎng)絡(luò)安全學(xué)習(xí)文章,，歡迎關(guān)注！

網(wǎng)絡(luò)安全的狀況

首先不知道你是否還記得 2017 年 9 月美國(guó)知名征信公司 Equifax 的數(shù)據(jù)泄露事件,，這事導(dǎo)致了 1.45 億美國(guó)居民個(gè)人隱私信息被泄露,。受事件影響，Equifax 公司市值瞬間就蒸發(fā)了 30 億美元,，最后還賠償給用戶 4.25 億美元,，可謂損失慘重,。

后來，Equifax 公司復(fù)盤了安全事故的原因,，發(fā)現(xiàn)這個(gè)事故的罪魁禍?zhǔn)?，居然是一個(gè)早已被披露出來的安全漏洞，叫作 Apache Struts,，真是讓人哭笑不得,。因此，我們?cè)谧非箝_發(fā)效率的同時(shí),，一定要把“安全”這倆字“放在心上”但是,，公司招人組建安全團(tuán)隊(duì)，需要投入較大的成本,。而這部分安全的成本，很多時(shí)候并不產(chǎn)生直接的收益,。因此,，對(duì)很多公司來說，業(yè)務(wù)都沒成熟,，就去考慮安全,，是不合算的。

這也就產(chǎn)生了一種現(xiàn)狀：小公司沒有安全,，大公司都在“補(bǔ)”安全,。

對(duì)于小公司沒有安全，這話太有感觸了,！曾在一個(gè)小公司做壓力測(cè)試,，通過抓包軟件分析業(yè)務(wù)時(shí)，發(fā)現(xiàn)用戶名和密碼竟然沒有加密就在互聯(lián)網(wǎng)上傳輸,。趕緊反映,，趕緊加密。我一直擔(dān)心這個(gè)軟件的安全性呀,！但當(dāng)時(shí)我對(duì)安全也沒有什么更深的了解,，只是在網(wǎng)上雜七雜八地看，希望為開發(fā)和管理人員提供思路,，但現(xiàn)實(shí)往往沒這么簡(jiǎn)單,。

從安全發(fā)展角度上來講，這種前期不重視安全,，后期再補(bǔ)安全的做法,，是很不利的。一方面,，在發(fā)展前期留下了極大的安全隱患,，公司可能在一次攻擊后就徹底垮臺(tái)了,。另一方面，后期補(bǔ)安全,，會(huì)因?yàn)榘踩ジ膭?dòng)已經(jīng)發(fā)展成熟的業(yè)務(wù),，導(dǎo)致安全和業(yè)務(wù)產(chǎn)生沖突，從而阻礙安全發(fā)展,。

什么是網(wǎng)絡(luò)安全

當(dāng)你所在的企業(yè)內(nèi)網(wǎng)被入侵,，數(shù)據(jù)被竊取之后，你也許能知道,，是某個(gè)業(yè)務(wù)漏洞導(dǎo)致黑客能夠進(jìn)入內(nèi)網(wǎng),，但你是否意識(shí)到，數(shù)據(jù)安全保護(hù)機(jī)制上同樣產(chǎn)生了問題,？類似這種的問題有很多,。當(dāng)我們遇到某一個(gè)特定的攻擊或者安全問題時(shí)，往往看到的都是表象的影響,，而能否找到根本原因并進(jìn)行修復(fù),，才是安全投入的關(guān)鍵。

安全的本質(zhì)就是保護(hù)數(shù)據(jù)被合法地使用,。怎么才叫“被合法地使用”呢,？我們可以從機(jī)密性、完整性,、可用性這 3 個(gè)方面具體來看,。這也是在安全領(lǐng)域內(nèi)最為基礎(chǔ)的 3 個(gè)安全原則。

機(jī)密性（Confidentiality）,、完整性（Integrity）,、可用性（Availability），我們可以簡(jiǎn)稱為 CIA 三元組,，是安全的基本原則,。理論上來說，一個(gè)完整的安全保障體系,，應(yīng)該充分考慮到所有的 CIA 原則,。當(dāng)然，實(shí)際情況中,，我們會(huì)根據(jù)企業(yè)需求,，對(duì)安全在這三個(gè)方向上的投入做取舍。我們平時(shí)在評(píng)判一個(gè)企業(yè)的安全水平時(shí),，也會(huì)分別從這三個(gè)方向進(jìn)行考量,。

機(jī)密性：我們先來看機(jī)密性。機(jī)密性用一句話來說就是,，確保數(shù)據(jù)只被授權(quán)的主體訪問,，不被任何未授權(quán)的主體訪問,。簡(jiǎn)單用一個(gè)詞總結(jié)就是“不可見”。如何理解這個(gè)定義呢,？

舉個(gè)例子,，你不會(huì)允許陌生人查看你的個(gè)人隱私信息，但你可能會(huì)允許父母,、朋友查看部分信息,。同樣的，對(duì)于應(yīng)用中的數(shù)據(jù),，比如微信的朋友圈,，你可以允許好友查看三天內(nèi)的數(shù)據(jù)，但不允許好友查看三天前的數(shù)據(jù),。這些都是機(jī)密性在日常生活中的表現(xiàn),。

完整性：完整性就是確保數(shù)據(jù)只被授權(quán)的主體進(jìn)行授權(quán)的修改，簡(jiǎn)單來說,，就是“不可改”,。所謂“授權(quán)的修改”，就是對(duì)主體可進(jìn)行的操作進(jìn)行進(jìn)一步的限制,。比如，只能追加數(shù)據(jù)的主體無法執(zhí)行刪除的操作,。以個(gè)人隱私信息為例,，法律允許學(xué)校或者公司在個(gè)人檔案內(nèi)追加信息,，但不能做任何修改,。又或者說，你自己發(fā)的朋友圈,，不希望被其他人進(jìn)行修改,。這些都是完整性的典型表現(xiàn)。

可用性：可用性應(yīng)該是我們最熟悉的原則,。因?yàn)樗粌H僅是安全方向上的問題,，也是工程上面臨的主要挑戰(zhàn)。用一句話來說就是,，可用性就是確保數(shù)據(jù)能夠被授權(quán)的主體訪問到,，簡(jiǎn)單來說，就是“可讀”,。

但事實(shí)上,，可用性往往沒有被劃分到安全的責(zé)任中去，因?yàn)閷?duì)于大部分企業(yè)來說,，開發(fā)是最受到重視的,，而開發(fā)會(huì)比安全首先去考慮可用性的問題,。舉個(gè)典型的例子，面對(duì)高峰期的集中用戶訪問,，如何保障用戶能夠正常地獲取數(shù)據(jù)（“雙 11”購物或者 DDoS 攻擊等）,，你可以看到大量的研發(fā)人員對(duì)這個(gè)問題進(jìn)行探討和分享，但這其實(shí)都屬于安全在可用性上的考量范圍,。

在運(yùn)維層面上,，有很多技術(shù)在為可用性提供支撐，比如,，在基礎(chǔ)建設(shè)上的機(jī)房建設(shè)（如何在斷電,、高溫、火災(zāi)等情況下保護(hù)設(shè)備）,、多地冗余,，以及在服務(wù)中的備份、資源冗余等,。

在研發(fā)層面上,，如何降低響應(yīng)延遲、如何處理海量數(shù)據(jù),、如何在峰值進(jìn)行擴(kuò)容等,，這些問題其實(shí)都是在可用性上的挑戰(zhàn)。

在攻擊的角度上,，黑客也會(huì)對(duì)可用性發(fā)起攻擊,，也就是我們常說的 DoS（Denial of Service，拒絕服務(wù)）攻擊,。比如,，通過發(fā)送大量的流量來占滿帶寬資源。

應(yīng)該如何學(xué)習(xí)網(wǎng)絡(luò)安全

你可能會(huì)存在這樣的顧慮：安全可能需要花上幾年時(shí)間學(xué)習(xí)和實(shí)踐才能小有所成,，時(shí)間成本是否有點(diǎn)高呢,？確實(shí)，想要真正做好安全,，時(shí)間的磨礪是不可或缺的,。但是，這并不意味著你需要幾年后再去從事安全相關(guān)的工作,。正如上面所說的,，公司初期的安全需求相對(duì)簡(jiǎn)單。因此,，你完全可以快速入門,，然后投入到公司的安全需求中去。

那么，學(xué)習(xí)安全是否門檻很高,、難度很深呢,？學(xué)習(xí)安全的過程中，你可能需要懂前端,、懂后端,、懂操作系統(tǒng)、懂網(wǎng)絡(luò),。需要懂的知識(shí)非常多,，但幸運(yùn)的是，對(duì)于安全入門來說,，寬度比深度更重要,。因此，對(duì)于這些基礎(chǔ)知識(shí),，深刻理解自然更好,，但是懂些皮毛也足夠了。在后續(xù)的文章中,，我也會(huì)由淺入深,，對(duì)安全需要的基礎(chǔ)知識(shí)進(jìn)行講解。

這里,，我為你準(zhǔn)備了一張安全攻防知識(shí)全景圖,，包含你需要掌握的所有相關(guān)知識(shí)。建議你最好保存下來,，在之后的學(xué)習(xí)過程中,，有針對(duì)性地去訓(xùn)練自己。

寫在最后

通常來說,，在互聯(lián)網(wǎng)企業(yè)發(fā)展初期，可用性的優(yōu)先級(jí)較高,。如果涉及金錢相關(guān)的業(yè)務(wù),，則完整性的優(yōu)先級(jí)更高；而涉及個(gè)人隱私相關(guān)的業(yè)務(wù),，則保密性的優(yōu)先級(jí)更高,。對(duì)于大部分企業(yè)而言，可用性在初期受到的挑戰(zhàn)更多,，則越發(fā)展越穩(wěn)定,，后期在可用性上的投入會(huì)逐漸降低。而完整性和機(jī)密性,，會(huì)隨著業(yè)務(wù)的發(fā)展,，重要性越來越高，在企業(yè)的安全投入中，占比會(huì)越來越大,。

在實(shí)際公司中,，網(wǎng)絡(luò)安全的人力資源投入，資源投入,，需要取得老板的認(rèn)可還是比較困難的,，那有沒有什么辦法給老板洗腦，增加網(wǎng)絡(luò)安全防護(hù)意識(shí)呢,？最有效的辦法是,，挨了打就知道疼了。被入侵過,，被薅幾把羊毛,，領(lǐng)導(dǎo)就開始重視了。即使目前沒人搞你,，我覺得也可以在允許范圍內(nèi),，做一次演練，把問題暴露出來,，推動(dòng)起來會(huì)好做一些,。