也说安全性

作为架构的一种非常重要的质量属性，安全性越来越得到人们的关注，在此总结一下自己了解到的安全性的内容。

最早得知安全性的重要性，是当初参加微软的一场讲座，其中提到了操作系统的安全性，并且展示了SQL注入、缓冲区溢出等手段，之后还推荐了一本书《编写安全的代码》，当然，其主要的目的还是要宣传微软产品的安全性。

之后逐渐了解到安全性的各个方面，密码、认证、授权、加解密等等，但是一直没有得到真正的应用。直到在公司的核心系统提出安全性的质量属性需求的时候，才真正接触到一些安全性的防范措施。

但是，那是还是把安全性孤立看待，认为那只是一种技术而已，并没有考虑其目的何在。直到前几天参加架构师峰会，听了剑心的讲座才明白，其实安全性的目的就是为了保护各种各样的敏感数据，那才是安全性的关键所在。对于不同的企业和组织，需要保护的数据也不尽相同，但让技术人员普遍认为很重要的用户名和密码数据本身并不重要，重要的是有了用户名密码然后进入系统所能够获得的数据。另外，安全性手段也需要根据需要保护的数据的重要程度来灵活选择，如果一个系统中的数据都是一些可以公开的数据，那么基本上不需要保护，可能是公开的网站，那样需要保护的就是不要让人篡改页面，而影响公众形象。由此想到了当年中国的黑客行动，只是去攻击各种网站，把主页替换掉，其实更重要的应该是到数据库中，取得足够重要的数据，那才能够给予更加沉重的打击。

另外就是，安全性的防范并非是IT部门自己的责任，也不局限在系统之中，其实更多的安全事件都是出现在人身上，特别是内部员工的身上，有很多非黑客的手段，比方说社会化的手段，更容易也更有效地获取各种数据和信息，而且那样获得的内容更加清晰，比方说不需要像数据库中的数据那样，还需要了解数据库的结构才能够知道其中的意思，也不需要对其进行解密处理。而且，从这样的途径泄露出去的信息要比黑客手段获得的要多得多。

总之，安全性的增强需要每个人都具备安全意识，知道哪些数据是最需要保护，需要防范的，也是一个任重而道远的过程。当前在国内，最应该提高的并非是IT人员的安全性方面技术，而是全体人员的安全意识，那才是根本。