放个炮，某些 BOSS 以及 IT 人员的控制欲才是最大的安全漏洞

pupboss

2016-01-12 23:46:26 +08:00

曾经参与一个给领导查看学生信息的系统，同各种漏洞，中途跟领导意见不合被赶出来，不知道现在怎么样了

Autonomous

2016-01-13 08:26:31 +08:00

对于领导来说能控制才是王道，用户的安全不值一提

nvidiaAMD980X

2016-01-13 08:55:05 +08:00

鳖说来，哪天被超级黑客入侵了，直接当肉鸡，绑架采用这种系统的机构， DDos 几次 GFW ，就吼啦！

asj

2016-01-13 09:04:38 +08:00

这其实和现实中的社会结构是一致的
为什么中国改朝换代经常看到一个大帝国瞬间崩溃，因为皇帝这个大木马已经为入侵者铺好了路。

nvidiaAMD980X

2016-01-13 09:14:36 +08:00

@asj 只要自己不是“末代皇帝”就行，毕竟“我死后，哪管洪水滔天”←_←←_←

noli

2016-01-13 09:16:56 +08:00

V 也是这样成功黑进元首的全国性的强制性的广播系统，向全部人发表他的宣言的

xmoiduts

2016-01-13 09:51:31 +08:00

道理我都懂，可是 dr.c0m 到底要怎么 ssh 上去？

miclushine

2016-01-13 10:04:41 +08:00

那个社工创始人啥多米尼克好像说过，信息安全最大的漏洞是人，人永远是靠不住的。

fburst

2016-01-13 10:11:46 +08:00

再牛的技术也防不住社会工程学。

la0wei

2016-01-13 10:21:31 +08:00

错，是攻击的目标转移了。
你不能因为自来水公司集中供水有被投毒导致大面积中毒的可能就否定其工作。
所谓的自身安全性做不好，你举的例子是软件自身固有漏洞，但没有多少软件敢保证自身没有漏洞。假如你举的例子是这个漏洞披露于很久以前，而管理员没有修复这个漏洞，才能说明你标题的观点，否则不能说明什么。集中与分散都会有风险，这种讨论不知道有多少。

paradoxs

2016-01-13 10:59:07 +08:00

不要相信网络就是了，如果信息足够重要，管理者是有可能被人身绑架的，那时候一切的安全措施都会失效。

nvidiaAMD980X

2016-01-13 11:58:42 +08:00

@paradoxs 然而自己的各種信息早已經被轉賣了 N 手了…………為了自己的生活，而又不能不把自己的相關信息交給各個方面的機構，就拿手機通訊錄來說，自己保護得再好，朋友的 Wechat 和支付寶早就出賣了你………………有時，真的希望貴支變成無政府……………

lalalakakaka

2016-01-13 12:27:18 +08:00

@la0wei 你可以去看下这种系统的使用说明书就明白这是怎么一回事了。
这种系统口头宣称的是“信息安全”，但是主要功能却是：上网记录、偷窥聊天记录、屏幕截图、后台安装软件。
这已经远超一般的安全防护手段了，更多的是对个人领域的侵犯。使管理员的权力超越了其责任范围。
举例来说：某员工的电脑里被安装了所谓的“安全客户端”，然后出现了信息泄漏。那么这应该算是这个员工的责任还是管理员的责任？
虽然不想这么打比方，但这件事和我国很多事情是相似：上层领导把持住了所有的权力，然后把责任全甩锅给了底层干活的。本质就是一种管理者权力欲的扩张和不负责任的态度。

ryd994

2016-01-13 12:32:28 +08:00

@la0wei 但是把原本由不同密码和各种物理屏障保护的个体，全部集中到管理员这个单点上，这是个大坑啊……
更何况原本个体的问题（比如密码泄露），并没有解决，而是平白增加了一个入侵途径，这个真心 666

用你的例子：有了自来水公司，人们就不用自己取水消毒（更何况很多人没有专业的水处理能力），因此大家都用上的卫生的水，这是集中化的好处。但是没有说水厂厂长变成一国首脑的……

而一个公司的信息安全，窃以为最重要的还是靠严格的权限制度和物理隔离。而这些系统以安全为名，把 IT 管理员直接变成了上帝，上面两点彻底违反。而其他员工，该被收买的还是会被收买，该被社工的还是会被社工。如今又多一条路，条条大路通罗马啊
更何况会用这种系统的管理员自己水平估计也高不到哪里去……

ferock

2016-01-13 12:32:43 +08:00

@la0wei 没有金刚钻别揽瓷器活，何况本来就是目的不纯。

所谓的集中资源办大事是最要不得的，成也集权，败也集权。

49

2016-01-13 12:50:49 +08:00

记得某人说过 “安全主要靠人”
hhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhhh

mongodb

2016-01-13 13:08:01 +08:00

出了我本机网卡的流量必须加密

rssf

2016-01-13 13:17:14 +08:00

我死后哪怕洪水滔天。管不住立马要下台，你是选择立马下台还是偶尔被攻击出事才下台？

la0wei

2016-01-13 17:17:25 +08:00

@lalalakakaka @ryd994 @ferock 我之前的说法确实比较武断。校园接入外网需要客户端这种，我觉得一是为了圈钱，二是你懂的。没有上客户端的需要。企业里，机器加入域，可以获得统一的安全管理。但是域控被攻破，一样避免不了一锅端。集中，就是把风险集中在一起，但是以我所看到的，很多人的个人电脑安全防护薄弱之极，即使 IT 从业人员也是如此。集中的效果，取决去集中后的水平。攻破一个个人电脑，和攻破一台专业人员维护的服务器，其难度是不同的。
有了自来水公司，人们就不用自己取水消毒（更何况很多人没有专业的水处理能力），因此大家都用上的卫生的水，这是集中化的好处。但是没有说水厂厂长变成一国首脑的……
我明白槽点不在与是否供自来水，而是在于后一点。
我只能建议，对集中管控行为反感的话，不要把个人隐私相关内容放在集中管控的设备上。比如我单位的某数字提供的行为管理，你懂的。

ferock

2016-01-13 17:35:15 +08:00

@la0wei 有了自来水公司，人们就不用自己取水消毒，结果自来水公司被投毒，或者自来水公司自己投毒。。。所以，利弊重轻，还是集中风控和分散控制的区别