

安全攻防技能30讲

何为舟

前微博安全研发负责人

立即订阅

3214 人已学习

课程目录

已更新 28 讲 / 共 30 讲

0/4登录后，你可以任选4讲全文学习。

开篇词 (1讲)



开篇词 | 别说你没被安全困扰过

免费

安全基础概念 (5讲)



01 | 安全的本质：数据被窃取后，你能意识到问题来源吗？



02 | 安全原则：我们应该如何上手解决安全问题？



03 | 密码学基础：如何让你的密码变得“不可见”？



04 | 身份认证：除了账号密码，我们还能怎么做身份认证？



05 | 访问控制：如何选取一个合适的数据保护方案？



Web安全 (7讲)



06 | XSS：当你“被发送”了一条微博时，到底发生了什么？



07 | SQL注入：明明设置了强密码，为什么还会被别人登录？



08 | CSRF/SSRF：为什么避免了XSS，还是“被发送”了一条微博？



09 | 反序列化漏洞：使用了编译型语言，为什么还是会被注入？



10 | 信息泄漏：为什么黑客会知道你的代码逻辑？



11 | 插件漏洞：我的代码看起来很安全，为什么还会出现漏洞？



12 | 权限提升和持久化：为什么漏洞修复了，黑客还是能够自由进出？



Linux系统和应用安全 (5讲)



13 | Linux系统安全：多人共用服务器，如何防止别人干“坏事”？



14 | 网络安全：和别人共用Wi-Fi时，你的信息会被窃取吗？



15 | Docker安全：在虚拟的环境中，就不用考虑安全了吗？



16 | 数据库安全：数据库中的数据是如何被黑客拖取的？



17 | 分布式安全：上百个分布式节点，不会出现“内奸”吗？



安全防御工具 (5讲)



18 | 安全标准和框架：怎样依“葫芦”画出好“瓢”？



19 | 防火墙：如何和黑客“划清界限”？



20 | WAF：如何为漏洞百出的Web应用保驾护航？



21 | IDS：当黑客绕过了防火墙，你该如何发现？



22 | RASP：写规则写得烦了？尝试一下更底层的IDS



知识串讲 (2讲)



模块串讲（一） | Web安全：如何评估用户数据和资产数据面临的威胁？



模块串讲（二）| Linux系统和应用安全：如何大范围提高平台安全性？



特别加餐 (3讲)



加餐 | 数据安全：如何防止内部员工泄漏商业机密？



加餐2 | 前端安全：如何打造一个可信的前端环境？



加餐3 | 职业发展：应聘安全工程师，我需要注意什么？





安全攻防技能30讲





登录|注册

加餐 | 数据安全：如何防止内部员工泄漏商业机密？

何为舟 2020-01-10

你好，我是何为舟。前面讲了这么多期正文，今天，我们通过加餐，来聊一个比较轻松的话题，数据安全。
我们先来看一个新闻。2017 年，公安破获了一起涉及 50 亿条个人信息泄漏的重大案件。经调查发现，犯罪嫌疑人竟然是京东的一名试用期员工郑某鹏。还有非官方的消息说，这个郑某鹏，先后在亚马逊、新浪微博等知名互联网公司，利用试用期的员工身份，下载用户的隐私信息进行倒卖。
如果你稍微关注过这方面的新闻，就会发现，这种事情真的不少。Code42 在 2019 年发布的数据泄漏报告称，有 69% 的公司承认员工曾泄漏过公司数据。其实，这些数据泄漏的行为就是我们要关注的数据安全。
从广义上来说，数据安全其实是围绕着数据的 CIA 三元组来展开的。我们之前讲过，应用的本质就是数据，因此，我认为任何与安全相关的内容，其实都可以涵盖到数据安全中去。那从狭义上来说，数据安全就是如何防止员工泄漏公司的敏感数据。国内公司主要关注的还是狭义上的数据安全，因此，我们今天所要讨论的也是狭义上的数据安全。
为什么员工会主动泄漏公司机密？那作为员工，为什么会主动泄漏公司数据呢？我曾听过这样一句话，觉得非常有道理：“生活中有两个悲剧。一个是你的欲望得不到满足，另一个则是你的欲望得到了满足。”人的欲望总是无穷无尽的，而且一旦萌生，就极难克制。对于大多数人来说，泄漏公司机密，无非有以下几个常见的出发点。

取消

完成

0/1000字

划线

笔记

复制

© 版权归极客邦科技所有，未经许可不得传播售卖。页面已增加防盗追踪，如有侵权极客邦将依法追究其法律责任。

该试读文章来自付费专栏《安全攻防技能30讲》，如需阅读全部文章，
请订阅文章所属专栏。

立即订阅

登录后留言

精选留言(7)

iHTC

我之前还因为关于科技公司关于代码安全的问题，问过一些公司，他们说都没有做！一般公司会签保密协议。如果是公司资产的，都是安装摄像头；对于文本说的数据，有访问或请求的还是可以做一个日志记录，但是对于代码来说，还是比较难，不一定 copy，靠记忆复写的算不算盗？

正因为难，所以才有进步，希望未来有更好的方案，DLP 确实对于大公司还是能接受，小公司成本高，另外于对安全来说，隐私又排在什么位置？这个要从国家法律，公司文化，还有大家更多的注重宣传也是很重要吧~

2020-01-14

 1


qinsi

阿里巴巴公司根据截图查到泄露信息的具体员工的技术是什么？ https://daily.zhihu.com/story/8812028

作者回复: 可以了解一下图片水印的技术，可以将内部邮件、wiki、钉钉等软件内的图片甚至页面本身，加上水印，水印跟当前登录的用户作关联，就可以查出来了。不过据我了解的，目前图片的水印技术，除非是明显的加在图片背景中，否则各类隐藏式的水印，基本拍张照片，就都没了。

2020-01-10

 2


柒月

我同事从一家公司离职，把他电脑都拆了，硬盘也卸掉了。

2020-01-10




leslie

看企业大小：不同级别的企业有不同级别的处理方式，同样因此可能就带来一些不便或涉及隐私问题。早期最简单的方式就是电脑封端口、监控网络流量、工作电脑后面有监控、以及核心操作全部在堡垒机东西某些传输权限掌握在部门管理层。

2020-01-10




小晏子

没见过，听说过某司员工从公司的实验室里的服务器上盗取源代码，但他不知道这个实验室里有摄像头，就被完整的拍下来了，最后就被送进去了…

2020-01-10




Cy23

大公司还好点，职责分开，小公司就不好办了，来个新员工，没多久就把公司所有代码都拷贝走了

作者回复: 其实职责分离也挺难做到的，比如应用有个逻辑需要用户的手机号，那是不是开发就能够看到所有用户的手机号呢？

2020-01-10




陈优雅

具体实施呢？装监控终端？

作者回复: 安装DLP，然后进行数据分析，这是比较普遍的手段

2020-01-10





收起评论

7









下载
客户端

返回
顶部