最近关注了一些安全领域的东西，去年9月份转了简书上一篇软件安全的文章——《恶意代码分析必备知识 - 简书》，

看过一些信息安全的概念，其实还是不太清楚。今天这篇是收集到的一些信息，有针对企业的，也有个人的，站在不同的视角来理解安全。

1. 《数据安全、信息安全、网络安全有何区别与联系？》

   信息安全包含网络安全和数据安全，网络安全和数据安全是并行的概念，一个是通信链路的安全，一个是数据生命周期安全。

   数据安全是侧重于一个“静态”的数据安全状态。而网络安全偏向于“动态”安全，即信息传递过程中的安全。

   “数据”是组成信息的基本元素之一，数据安全是信息安全的“核安全”。通过保证数据的安全，从而可实现保证信息安全。

2. 《网络安全 - 知乎》

   网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

3. 《信息系统安全问题总结》

   根据信息系统安全的整体结构来看，信息系统安全可从五个层面：物理、网络、主机系统、应用系统和数据及备份恢复，因此，技术类安全要求也相应的分为五个层面上的安全要求：

   1.物理层面安全要求：主要是从外界环境、基础设施、运行硬件、介质等方面为信息系统的安全运行提供基本的后台支持和保证； 2.网络层面安全要求：为信息系统能够在安全的网络环境中运行提供支持，确保网络系统安全运行，提供有效的网络服务； 3.主机层面安全要求：在物理、网络层面安全的情况下，提供安全的操作系统和安全的数据库管理系统，以实现操作系统和数据库管理系统的安全运行； 4.应用层面安全要求：在物理、网络、系统等层面安全的支持下，实现用户安全需求所确定的安全目标； 5.数据及备份恢复层面安全要求：全面关注信息系统中存储、传输、处理等过程的数据的安全性。

4. 安全是：三分技术，七分管理。 安全教育：企业安全涵盖哪些事情？

   1.网络安全：基础、狭义但核心的部分，以计算机和网络为主体的网络安全，主要聚焦在纯技术层面。 2.平台和业务安全：跟所在行业和主营业务相关的安全管理，例如反欺诈，不是纯技术层面的内容，是对基础安全的拓展，目的性比较强，属于特定领域的安全，不算广义安全。 3.广义的信息安全：以IT两个字为核心，包括广义上的“Information”载体：包括纸质文档、机要，市场战略规划等经营管理信息、客户隐私、内部邮件、会议内容、运营数据、第三方的权益信息等但凡你想得到的都在其中，加上泛“Technology”的大安全体系。 4.IT风险管理、IT审计&内控：对于中大规模的海外上市公司而言，有诸如SOX-404这样的合规性需求，财务之外就是IT，其中所要求的在流程和技术方面的约束性条款跟信息安全管理重叠，属于外围和相关领域，而信息安全管理本身从属于IT风险管理，是CIO视角下的一个子领域。 5.业务持续性管理：安全是影响业务中断的很大一部分可能因素，例如DDOS，入侵导致必须关闭服务自检，数据丢失隐私泄露等。 6.安全品牌营销、渠道维护：CSO有时候要做一些务虚的事情，例如为品牌的安全形象出席一些市场宣介. 7.CXO们的其他需求：**俗称打杂。有很多公司需要做，但运维开发都不干，干不了或者不适合干的事情，安全团队能力强大时可以承包下来的部分.

   以狭义的安全垂直拓展去发展甲方安全团队的思路本质上是个不可控的想法，筹码不在CSO手中，甚至不在CTO手中，而是看主营业务的晴雨表。在甲方，安全不是主营业务，归根结底是一个保值型的后台职能，不是一个能创造收益的前台职能，他是一个成本中心而非盈利中心，他的成本的大小跟业务规模以及公司盈利能力相关，公司发展时他的budget和headcount会发展，业务停滞时安全做的再好也不会追加投入，因为无此必要。

5. 社会工程

   通俗地说，社会工程就是：攻击者利用人自身的弱点（往往是心理学层面）来获取信息、影响他人，从而达到自己不可告人的目的。

   社会工程是信息安全中一个经常被忽视的偏僻角落。即便很多 IT 安全领域的从业人员，往往也缺少社会工程学的相关常识。比如很多人都知道什么是防火墙、杀毒软件，但却从来没有听说过“社会工程学”这个词。

6. 减少个人信息的泄露

   • 信息量高

     • 身份证号
     • 手机号
     • 手机 IMEI 串号
     • 网卡 MAC 地址
     • 邮箱地址
     • 家庭住址

   • 信息量中

     • 工作单位
     • 毕业学校
     • 生日（包含“年月日”）
     • 籍贯（精确到区县）

   • 信息量低

     • 性别
     • 星座
     • 年龄
     • 籍贯（精确到省份）

7. 注意账号相关性：

   • 相同属性、共用一个手机号等
   • 浏览器cookie
   • 使用同一个IP访问网站
   • 上网时间的规律性
     • 在线时间——暴露时区、省份
     • 自动机制+人为静默

8. 使用软件服务的一些建议：

   • 优先选择非营利的产品，商业公司对收集用户信息具有天然的偏好
   • 优先国外产品/服务，国内产品相对容易被审查
   • 尽量使用“开源软件”，以防止后门和偷窥隐私
   • 单机软件优于网络软件

9. 软件推荐

   • 使用开源输入法 Rime
   • 视频播放器 vlc/mplayer
   • 音乐播放器 foobar2000
   • 下载软件， Free Download Manager（FDM）
   • 邮件客户端，Mozilla Thunderbird
   • firefox优于chrome
     • 使用DNT
     • 使用隐私模式
     • 少用插件
     • 禁用第三方cookie
     • 构造随机的 User Agent
     • 修改系统时区
     • 浏览器不全屏
     • 不信任网站禁用js
     • 小心CA证书
     • NoScript（Firefox）
     • HTTPS Everywhere（Firefox）
     • BetterPrivacy（Firefox）
   • 杀毒软件，使用开源的 ClamAV，次选 Avira/avast
   • 防火墙，使用Windows自带防火墙
   • 聊天工具，目前应该无解， Hangouts吧。注意聊天记录。
   • 使用虚拟机隔离环境：
     • 一个公司办公
     • 一个公司开发
     • 一个业余开发
     • 一个业余上网
     • 专机专用
   • 移动设备注意风险：
     • 麦克风——窃听
     • 摄像头——拍照、监控
     • 陀螺仪——也可以用于窃听，囧，还有生活规律
     • GPS——地理位置、生活规律
     • 2G3G4G——地理位置、生活规律
     • Wi-Fi——泄漏你的行踪、地理位置、生活规律
     • 固件——无解。比如：海外的安全公司 F-Secur的爆料，不但会偷偷收集本机的“IMEI 和手机号”，更夸张的是——会收集每一个你拨打的号码或发送短信的号码

参考资料

• FreeBuf聚焦社会工程学：如何降低社会工程学威胁？ - 异度世界的回答 - 知乎
• 一个黑客的基本素养——社会工程学