• 信息安全
    【瑞人云】“等保三级”,构建人力资源服务业信息安全护城河 随着数字化的普及,数据信息安全保护的重要性与必要性也越来越突出。人力资源服务机构“上云”虽刻不容缓,但数据安全更不可忽视。   深耕行业十余年,专注于人力资源服务机构数字化转型,瑞人云也同样对人力资源服务机构数据生命周期可用性、完整性与机密性的安全保驾护航,建立以数据为中心的安全架构体系,从技术、制度、管理等多方面全方位保障人力资源服务机构数据安全。在信息保护技术方面,瑞人云搭建数据安全监控系统,系统全页面均采用 SSL 安全加密传输协议,抵御DDos、CC攻击,防止XSS跨站脚本、XXE实体注入,数据访问策略配置固定IP和固定身份访问,磁盘定期快照,数据私有化存储、异地备份、容灾处理防止数据破坏或者丢失,从而保护客户数据的信息安全;在信息保护制度建设方面,瑞人云建立了一套符合国际标准的数据安全解决方案,以数据存储持久性、数据安全性、数据所有权、数据可销毁性等方面为着力点,为客户数据建立科学的、完整的、高标准的防护制度,通过管理体系进一步保障客户数据的信息安全;在信息安全管理方面,瑞人云公司内部建立了完备的数据安全管理体系和防护策略,明确数据安全负责人,构建重要数据处理登记审批机制,并为每一家人力资源服务机构建立独立数据库、提供独立应用服务,形成强大的数据隔离安全机制,有力保障人力资源服务机构数据在交互过程中的信息安全可靠,有效解决数据交互的信任及隐私安全保护问题。基于严格的信息安全保护,瑞人云通过“信息系统安全等级保护第三级认证”,这是国家对非银行机构的最高级认证。本次认证是由国家信息安全监管部门在安全技术层面和安全管理层面上进行监督、检查,通过“信息系统安全等级保护第三级认证”再次印证了瑞人云一直以来对于数据和网络安全的重视,以及为客户提供安全、可靠的数据信息环境的决心,这是瑞人云助力人力资源服务业数字化转型发展战略下的又一硕果。  紧紧把握网络信息安全的“时”与“势”。习近平总书记强调,要加快推进网络信息技术自主创新,加快数字经济对经济发展的推动,朝着建设网络强国目标不懈努力。瑞人云深谙其道,坚持以数据为核心,以技术为载体,持续深化人力资源服务信息安全技术改革,构建人力资源服务业信息安全“护城河”。
    信息安全
    2023年01月05日
  • 信息安全
    警示:美国招聘网站Ladders泄露了1300万用户档案 来自 Techcrunch 的Zack Whittaker 报道: Ladders是美国最受欢迎的招聘网站之一,专门从事高端职位,在安全失效后,已经有超过1370万用户信息被泄露。 这家总部位于纽约的公司离开了亚马逊-hosted Elasticsearch数据库在没有密码的情况下公开,允许任何人访问数据。Sanyam Jain是一名安全研究员,也是GDI基金会的成员,GDI基金会是一家旨在保护暴露或泄露数据的非营利组织,他们找到了数据库并向TechCrunch报告了调查结果,以确保数据安全。 在TechCrunch伸出援助之后的一个小时内,Ladders已将数据库拉下线。 Marc Cenedella, 首席执行官在一份简短的声明中证实了这一曝光。“AWS确认我们的AWS托管弹性搜索是安全的,只有Ladders员工可以在指定的IP地址访问。我们将调查这种潜在的盗窃行为,并感谢您的协助,“他说。 TechCrunch通过联系该网站的十几个用户来验证数据。有几个人确认他们的数据符合他们的梯形图。一位回复的用户表示他们在违规后“不再使用该网站”。 每条记录都包括姓名,电子邮件地址及其雇佣历史,例如雇主和职位。用户档案还包含有关他们正在寻找工作的行业以及他们目前以美元计算的薪酬的信息。 部分记录(编辑),包括一个人的姓名,地址,电话号码,职位描述和安全许可的详细信息(图片:提供) 许多记录还包含他们过去就业的详细职位描述,类似于简历。 虽然部分数据可以公开查看网站上的其他用户,但大部分数据包含个人和敏感信息,包括电子邮件地址,邮政地址,电话号码以及基于其IP地址的大致地理位置。 该数据库包含多年的记录。 一些记录包括他们的工作授权,例如他们是美国公民还是签证,如H1-B。其他人列出了他们的美国安全许可以及相应的工作,如电信或军事。 虽然数据不那么敏感,但还有超过379,000名招聘人员的信息被曝光。 安全研究人员Jain最近发现了一个泄漏的Wi-Fi密码数据库和一个暴露的后端数据库,用于家庭跟踪应用程序,包括儿童的实时位置数据。 以上由AI编译完成,仅供参考。
    信息安全
    2019年05月02日
  • 信息安全
    未来的工作场所是数字化的 一项新的全球研究揭示了数字化工作场所的优势和潜力。 惠普公司(Hewlett Packard Enterprise)阿鲁巴(Aruba)的一项最新全球研究显示,在数字化工作场所工作的员工不仅工作效率更高,而且更有积极性,工作满意度更高,整体幸福感更强。 这项名为“数字化革命”的研究揭示了数字化工作场所的潜力,揭示了更多由数字化驱动的工作场所所带来的商业和人类利益,以及技术不那么先进的公司如何面临落后于竞争、无法吸引顶尖人才的风险。 报告还指出,公司必须保持警惕,因为更多精通数字技术的员工将使企业在数据和信息安全方面面临更大的风险。 以下是该研究的一些主要发现,该研究以信息图表的形式涵盖了来自15个国家的7000名员工,下文将提供更多细节。 除了生产力之外,数字工具还能释放人类利益 “数字革命者” - 被认定为在全新的技术广泛使用的全功能数字化工作场所工作的员工 - 工作满意度提高51%,比起“数字落后者”——那些工作场所技术的获取较少的人,他们有43%更有可能对于自己的工作与生活平衡持积极态度  。 革命员工也表示他们有工作动力的可能性高出56%,并且赞扬公司愿景的可能性高出83%。 数字化工作也支持专业发展 近三分之二(65%)的革命者表示,他们通过使用数字技术看到了专业发展和增长,相比之下,只有31%的落后者如此。 在数字化的工作环境中,72%的革命者认为他们有更强的能力去接受新的工作技能,而落后的58%。 量化数字技术带来的生产力增长 近四分之三(73%)的数字革命者报告对其生产力产生了积极影响,70%的人认为数字技术带来了更好的协作,而落后者只有55%。 数字技术和自动化的不断进步为更好的工作场所体验铺平了道路 虽然自动化可以被视为对工作安全的威胁,但我们的研究发现,人们对自动化有着广泛的热情。 超过七成(71%)的受访者表示,他们欢迎在未来5-10年内有一个完全自动化的工作场所,让组织能够构建更智能、更有效的工作环境。 Herman Miller工作场所战略,设计和管理总监约瑟夫·怀特说:“无论是哪个行业,我们都看到了以人为中心的地方,因为企业正在努力满足人们对工作方式的快速变化的期望。” “这取决于将科技进步(包括家具)与认知科学相结合,帮助人们以新的方式参与工作。这不仅意味着个人获得独特的、优质的体验,也意味着组织有机会吸引和留住最优秀的人才。” 德勤战略与运营董事总经理弗朗西斯科•阿科巴(Francisco Acoba)补充道:“‘工作场所’一词的本质正在发生变化,因为企业开始意识到,有效的空间是以体验为中心的,必须适应跨越几代人的工作风格和性格类型。” “这引领了新的进程,IT解决方案、建筑系统和家具与人类和谐互动,创造了这样的空间。无论您的企业的具体情况如何,当空间成为用户体验的积极参与者时,它从根本上受益。毕竟,在空间感到舒适的员工能完成任务。那些不这样做的人最终会转向一个更有吸引力的选择。” 新兴风险 该研究还发现,员工对新技术充满热情,并希望雇主能够提供更多。 在整个亚太地区,几乎所有受访者(98%)都认为通过更多地使用技术可以改善他们的工作场所,而70%的受访者表示,如果没有实施新技术,他们的公司将落后于竞争对手。 超过三分之二(67%)的人认为,由于技术的进步,传统办公室将会过时。 亚太地区约75%的受访者表示他们的公司在过去一年中投资了数字工作场所工具,并且对新一代技术的兴趣正在增长,包括自动控制温度和照明的智能建筑工具(14%),语音激活和无线AV技术(16%),以及定制企业移动应用程序(11%)。 大多数受访者认为数字技术将带来更高效(63%),更具协作性(53%)和更具吸引力(52%)的工作环境。 虽然数字化工作场所的好处是广泛的,但该研究还表明,网络安全对雇主来说是一个挑战。 尽管员工报告的网络安全意识水平较高(56%经常或每天都考虑安全性),但他们也承认公司数据和设备承担更多风险,73%的人承认存在风险行为,如共享密码和设备。 在过去的12个月中,四分之一(25%)的员工已经连接到可能不安全的开放式Wi-Fi。五分之一(20%)的受访者表示他们在多个应用程序和帐户中使用相同的密码,并且几乎同样多的人(17%)承认写下密码以便记住密码。 前进的道路 这些调查结果表明,企业必须适应新的数字化工作场所技术的优势,同时将安全风险降至最低。Aruba建议组织采取以下措施: 采用数字化工作场所战略 IT部门需要与业务经理,最终用户和其他利益相关方合作,为他们的数字化工作场所演变制定路线图。这包括超越既定技术,部署新工具,如智能传感器和定制移动应用程序,这些应用程序将创建日益个性化的工作场所体验。 构建协作式数字工作空间 公司需要考虑数字化工作场所如何扩展到总部以外,以支持远程工作人员,合作伙伴和客户。IT领导者需要计划并投资于无国界的工作环境。 从头开始整合安全性 公司必须将安全性作为设计的一个组成部分来构建数字化工作场所,同时考虑到人为错误以及不良行为者的角色。为了实现能够适应变化和未知因素的最佳安全性,IT必须关注网络,云计算,AI和机器学习等新兴技术。   注:以上内容由AI翻译,观点仅供参考。 阅读完整的报告:Digital Revolutionaries unlock the potential of the Digital Workplace 原文链接:Infographic: The future workplace is digital  
    信息安全
    2018年09月11日
  • 信息安全
    区块链安全公司派盾科技完成数千万元天使轮融资,高榕资本投资 来源|猎云网 派盾科技将进一步立足区块链前沿,通过行业安全报告发布、实时监测生态安全风险,提升区块链生态的整体安全性。 近日,全球顶尖区块链安全公司派盾科技(PeckShield)宣布完成数千万元天使轮融资,投资方为高榕资本。   高榕资本创始合伙人岳斌表示,“高榕关注真正能够促进区块链生态良性发展的技术和应用,以信任为生命线的区块链领域里,安全无疑是最重要的技术之一。蒋旭宪教授团队通过全球顶尖的技术能力和区块链安全领域的深刻洞察,来提升生态整体安全性的愿景,非常打动我们。高榕希望和派盾科技团队一起,共同推动区块链生态安全、良性的发展。”   据悉,派盾科技将进一步立足区块链前沿,通过行业安全报告发布、实时监测生态安全风险,提升区块链生态的整体安全性。   公开资料显示,派盾科技由前360首席科学家、美国北卡州立大学终身教授蒋旭宪博士于2018年创办,团队核心成员为海归博士,有着多年在国内外一线互联网巨头的从业经验,过去在移动安全方面有深厚的造诣。   全球第一个智能手机上的恶意软件基因组研究项目就出自蒋旭宪教授之手,研究成果已被全球超过500所的科研机构和知名跨国公司采用。   蒋旭宪教授曾带领团队提交过大量高质量的漏洞报告,并多次获得谷歌,高通,三星,华为等厂商致谢及奖金。在2014年更是全球首次发现了特斯拉汽车的应用程序安全漏洞。     派盾科技近日发布的区块链安全报告,已经在业内引起广泛关注和讨论。团队使用自研发的风险评估系统完整扫描了以太坊区块链,接连发现并命名了BEC、SMT、EDU等相关的重大安全漏洞。   EOS Token安全分析报告也由派盾科技于今年4月首次发布,公司完整扫描了整个 EOS 生态中交易所、投资人的持仓情况,也对 EOS 持有者潜在的安全风险进行详细解读,发现EOS的投资人有60%未作映射,多次呼吁EOS项目方和社区关注,避免可能面临的权益或投资受损。
    信息安全
    2018年05月31日
  • 信息安全
    caoz:创业公司如何做好信息安全 编者按:本文作者曹政,常用 ID caoz,从事互联网十多年,技术大牛、数据控、历史控、考证控。曾参与创建一统统计、cnzz 站长统计,曾主持搭建百度商业分析支撑平台。文章首发于其微信公众号 “caoz 的梦呓”(微信号:caozsay)。   缘起 在 IC 咖啡分享会的时候,有人问到了这个问题,关于创业公司,在资金和技术短缺的情况下,如何做好信息安全呢? 这真是个好问题,我觉得有必要单开一篇。   很抱歉的是,其实在这个领域我自己做的也不够好,甚至可以说劣迹斑斑,好多次都是靠朋友帮忙才躲过一劫。所以,我会将自己的很多次教训一起放进去,尽可能整理,欢迎高手批评指导。   另外,需要提前说明的是,本文会涉及多个第三方平台的名称,其中部分项目来自于我的好友熟人,简单说就是可能被认为是广告文,我只能说写此文时确实没有收钱,(相关负责人要不要给赞赏自己看着办吧)而且我所列出的都是我认为对创业者或有帮助的。如果您执意认为此文是广告,那么,您随意吧。   运维 1、搭建系统平台,建议选择可靠的云服务商 自己搭建系统,主机托管,你需要运维工程师非常有安全经验,而且需要随时跟进最新的安全漏洞去打补丁,其实对创业公司来说,成本还是有点高的。而第三方比较大的一些云平台,其安全技术团队肯定比绝大部分创业团队的要好很多。   基本上云平台操作系统上的安全性是比较有保证的,当然 100%这话不能讲,但是只要有重要的安全公告出来,补丁还是很勤快的,而且如果出现新的漏洞,较好的云服务商多半会帮你做一次检测并发邮件提醒你,这几乎已经是行规了,你只要注意邮件提示一般不会错过重大的问题。部分云服务商还会提供额外的安全检测和系统入侵防范的一些功能选择,前段时间阿里云出了一个较大的故障,就是因为其防入侵的系统出现了一个明显 bug,这个事情你分两面看,出问题当然不好,但是不出问题的时候这个功能还是能救你一命的。   目前国内比较大的云平台,腾讯云,阿里云,amazon 也进入中国了,当然还有我一直推荐的 ucloud 云。ucloud 老板叫做季昕华,曾先后在华为,腾讯,盛大负责信息安全,是国内有名的信息安全专家,(利益相关,季总是我十多年的老朋友)。 国际上的有 amazon,linode,digitalocean 等等。   云平台的风险在于,存在穿透风险,以及受到不靠谱邻居的影响,但你做主机托管也存在不靠谱邻居的影响,因为今天的主题是创业公司,如何保障信息安全,所以我建议,拥抱云主机是前期成本较低的情况下能较好保障系统安全的选择。   2、选择合适的第三方安全服务平台 实际上现在创业的平台服务商比十几年前好太多,十几年前个人网站一旦被拒绝服务攻击,除了等死几乎没有选择,而现在,国内有 360 网站卫士,加速乐,安全宝等免费服务可以帮你扛过中低规模的攻击;国际上有 cloudflare 帮你扛。 这些服务都是比较可靠的,当然如果被攻击的量级比较高可能需要较多付费,这就要看创业公司的人品了,如果你才刚刚天使轮,手里没几个钱,就被人巨量 DDOS 攻击,你来问我怎么办,实话说,这个就真没办法了。 但如果你拿了 A 轮,B 轮,你被人打的很惨,你可能还是可以考虑一些付费服务商的。比如加速乐也提供付费的服务,比如厦门零日科技也帮一些创业中的网站提供过抗拒绝服务攻击的支持,(利益相关,这家公司有我的少许投资)   此外,必须说明,如果被攻击,建议立即报警,不能向恶势力低头。一般攻击者会有利益诉求,基于利益诉求去追查比基于技术更容易追到攻击者。   另外,所有国内创业者,建议都应该关注乌云平台,(利益相关,乌云创始人方小顿是我的好朋友),乌云是国内影响力最大的白帽安全平台,很多一线互联网公司的高危漏洞都是由乌云白帽率先发现的。 国内互联网有一种特别不好的风气,很多互联网公司觉得谁爆了他们漏洞谁就是坏人,异常敌视,特别是一些不懂技术的老板和市场人员,往往把爆漏洞混淆为攻击和恶意竞争,但实际上,我们稍微动点脑子就知道,如果白帽没有爆漏洞,你的漏洞依然是存在的,如果这个漏洞一直在黑产圈子里传递,你那才是欲哭无泪。前几天我这边的公司被乌云白帽爆了一个超恐怖的高危问题,我觉得非常侥幸,幸亏是白帽发现的,否则真是死都不知道怎么死的,后面会说这个案例。   乌云提供一些付费的安全众测服务,但如果作为比较草根的初创团队,觉得这个成本较高的话,可以考虑先在乌云开一个企业账户,时刻关注重要的安全公告和白帽子提交的问题,也是有用的。   研发 1、研发和运维环境的安全   相信很多人都被 ios 这次 xcode 木马事件所震惊,这里强调,开发环境和运维环境软件,特别特别要注意。   第一是编译器和相关开发工具包,务必从官方下载。   第二是远程维护工具,例如 putty, sshclient 等,务必从官方下载。   如果使用第三方下载,比如迅雷,务必于官方核对 md5 值。   第三,我发现目前 telnet 用的人已经非常少了,但是依然有很多开发者还是习惯使用 ftp!ftp 是明文传输,所有经过的路由器和交换机均可以轻松截取密码信息!务必使用加密传输的 sftp 替代 ftp。使用 ssh 替代 telnet!   2、代码分享 很多工程师喜欢将工作成果,代码分享到 github 或其他代码分享网站,如果说禁止这样做确实不是很尊重工程师的劳动成果,但是我想提醒一点,创业团队如果没有很好的安全开发架构,或缺乏有经验的工程师,如果想分享到 github 务必将代码私有化,不要公开!不要公开!不要公开!   分享不是说就一定是有问题有隐患的,但是对于一些架构比较简单的开发而言,一些经验匮乏或者疏忽的程序员,很容易把关键密码写到代码里然后分享到 github 上,这样的案例已经非常非常多了!   说来惭愧,前些日子我的公司技术人员就犯了这个错误,将代码分享到 github 的时候没有注意到里面包含了一个关键密码,幸亏乌云白帽及时发现,这样的问题如果被黑产发现,可导致任意盗号,而且一旦真的发生了,我肯定会找错方向,去追踪代码安全,找 SQL 注入的可能性,想要快速追查定位真是难上加难。   3、是全部独立开发还是选择开源系统? 实际上,如果你的开发工程师水平一般,能力不是非常突出,代码的安全质量通常不会比成熟的开源系统更好,成熟的开源系统大多经历了多重的安全风险,至少不会有过于显而易见的安全漏洞。   说一下开发过程中容易犯的安全问题。   第一,SQL 注入,第二,跨站脚本,以上两条都是对用户输入和参数传递没有做严格校验导致的。所有通过客户端传递的参数必须做格式校验或强制类型转换才可以使用,这是一个特别特别重要的要求。   第三个常见的安全问题是数据库对用户密码的保存。   不管你认为自己系统多么安全,请相信我,被人扒库的问题永远存在。明文密码保存是一种流氓行为,但如果只做 md5 也是非常不负责任的,网上早有人把所有常用密码组合的 md5 全算好了,随便搜一下就可以反解出来。昨天分享的文档提到了随机 SALT,但没有具体解释。今天写到这里有点懒了,只说一个结论,使用随机 SALT 可以让黑客拿到数据库后的破解用户密码的成本极度增加,从而保护用户密码安全。   以 discuz 为例,我面试过很多程序员,很多都说 discuz 有很多问题,但是很少有程序员认真去分析过 discuz 的一些细节,一个典型的是 ip 地址反查的实现机制,另一个典型的就是密码采用了随机 salt +md5 的方式,说来惭愧,我开始研究 discuz 的时候也是很长时间不太理解这个 salt 是干嘛用的。 所以回过头来说,很多开源软件在技术细节上和安全细节的打磨是远超创业团队的开发人员的。   使用开源系统当然也存在安全风险,比如开源系统一旦爆出漏洞,传播性会非常快,很快就有扫描工具在网上流行,一旦你疏漏了一下,就会中招,产生严重后果,但即便如此,我认为,如果你不具备足够的安全开发能力,使用开源系统的整体安全性还是会优于自己开发,如果你使用开源系统,然后某天因为这个系统漏洞中招了,你来埋怨我,请想想,你自己开发的话,因为不流行,所以惦记着的人少,但是你确信这样就安全了?一旦你业务起来,如果程序员水平不足,别人稍微别人研究一下(是的,即便不开源,研究你系统漏洞的方式也是成熟的,所有的登录入口,参数传递调用,以及交互输入的地方,都是可以做恶意渗入测试的)就能扒出一堆问题,这一点真的不夸张。   如果使用开源系统,又想减少中招的风险,建议将默认配置的目录修改掉,特别是后台管理的目录,以及管理的进入程序名,略微调整一下目录和文件命名规则就能躲避扫描器的跟踪,而且多关注该系统的官方公告和最新安全新闻,也会防止中招,请相信一点,如果知名开源系统出现严重风险,乌云第一时间一定会爆出来,如果是你自己开发的系统,一旦被黑产先发现,真没人知道,你自己想去修补,真的很难找到问题点。   4、防撞库,防暴力破解的验证码 这里只是提醒一下,验证码是对机器访问,撞库攻击,暴力破解(特别是找回密码环节)非常好的一种抵御方式,但验证码其实也是伤害用户体验的,所以要有所取舍,此外,如果采用容易识别的验证码,网上已经有识别验证码的程序流传了,我都用过的,这样作用基本就不存在了。   个人建议,用户第一次输入不出现验证码,输入错误或者同一个 ip 多次尝试不同的帐号登录,再出现验证码,验证码也要先易后难,防止程序破解,这样兼顾了用户体验以及防止机器人扫描和撞库。   说道这里,介绍一个第三方平台,洋葱网。 利益相关,创始人吴洪声是我的好朋友,也是挂名徒弟。(但其实人家比我厉害很多的) 洋葱网试图通过第三方的一种登录机制管理将传统的密码方式彻底淘汰,当然目前很多应用都将洋葱网作为第三方登录的一种选择,而没有作为自己网站或应用登录的完全替代,但是有兴趣的创业者确实可以了解一下。   数据 这又是一个我特别惭愧的话题,因为就在前几天,amazon 的一台云主机崩溃,居然无法恢复,导致我们线上的一个游戏服务出现故障,原本是做了数据备份的,但是由于是一款长期没有维护的游戏,数据备份的机制不合理,恢复起来特别慢,而且,更加崩溃的是,由于开发商原团队多人离职,程序和资源备份已经非常难找了,以至于恢复周期极长。。。   今天先说一下关于备份的话题,前几天冯大辉也特别提过这个话题。   数据备份也存在一个悖论,因为创业者其实有两个担心,第一个担心,数据泄露怎么办?第二个担心,数据损坏怎么办? 而这两个担心在备份策略上是互斥的,如果你想防止泄露,理论上你要尽可能减少数据在不同地区存储的机会,尽可能让数据只存储在你完全信任的环境里,但,如果你担心数据损坏,那么你可能需要把数据更多放在不同地方保存备份。 防止比如说,机房失火,或者地震等重大事故,你可能一个地方的数据全部损坏,你仍然可以异地恢复起来。   此外,数据备份又分为热备和冷备一说,前者是保持实时有效性,一旦线上数据库出现访问故障或硬件故障,甚至可以自动切换完成故障转移,但热备也有显著的缺点,就是万一线上数据出现了严重的误操作,或者被 SQL 注入者执行了一条 drop table,对不起,秒秒钟的事情你的热备就完蛋了! 这时候就只能靠冷备来救命,冷备往往存在一个时间差,会有丢失最新的数据,游戏行业常说的就是,回档。   所以,二者都存在风险,但也都有意义,因此正常情况下建议冷备热备最少各要保留一份,冷备务必要留一些时间差,并且最好要保留多个时间节点备份,防止出现重大的误操作或恶意操作后没有足够发现的时间冷备就被干掉了。   如果热备被误操作或攻击者干掉,最理想的恢复方法是基于最新的冷备先恢复,再用冷备后的数据库日志文件,手工摘除掉最后的错误操作命令然后执行增量恢复。   下面推荐一个平台,叫做多备份,www.dbfen.com,(利益相关,暂时还没利益相关,不知道他们会不会给我赞赏)。 想想连 amazon 都会有不可恢复的损坏,所以这种备份机制还是有必要的,当然,使用多备份,你必须想清楚,数据泄露的风险毕竟存在,备份越多,泄露风险越大。 所以再次强烈建议,用户密码的处理非常重要,明文保存是流氓行径,md5 或 md5+md5 都保护不了绝大部分用户密码,随机 salt 是成本最低的高效密码保护策略。   其实,我一直觉得,如果是创业公司,我是不是要用户在我的平台有帐号密码呢?现在 QQ,微博,乃至微信一键登录都那么成熟,国外更成熟,facebook, google 一键登录什么的,多兼容第三方一键登录,自己不用管密码,就不用担心用户密码丢失了,至少丢了也找不到你这边来。 (当然,也要考虑用户的顾虑,很多用户怕你到他社交网络的时间线乱发消息,所以不希望用自己的社交网络帐号登录,特别是游戏,这个也是一种用户需求吧)   对你认为机密的数据做一些简单的加密存储,然后使用这种多备份平台,可能会极大减少数据泄露的风险。因为黑客也是有成本考虑的。   普通的数据库主从是一种常见备份方法,但主从其实并不能彻底保证数据的一致性,另外一种是通过原始的数据库日志文件,比如 mysql 的 binlog 恢复数据,一致性较好,但恢复效率极差。 所以很多时候,并没有绝对正确的方案,你必须评估自己的需求,选择适合自己的就好。   代码备份也是一种数据备份,其意义也非常重大,代码备份同时要兼顾版本管理,有些产品,比如游戏,发布到不同国家不同地区的版本都不一样,这个管理就更加复杂了,这一块我们目前做的也不是很好,所以这次灾难备份恢复的周期格外漫长。而且这里还涉及一个问题,开发商和运营商彼此如果配合不到位,开发商也担心运营商会获得原始代码,然后自己甩开开发商开私服,所以如何协调和保障双方的诉求就特别重要。   传奇私服为啥会起来呢?就是因为当时有一个遥远的国度的发行版本被泄露了,代码迅速在地下黑市扩散普及。。。 所以涉及代码版本备份的工作也相当具有挑战性,因为开发商对泄露的敏感度极高。这一块我只能说,目前我们也没有太好的办法来做到大家都能满意,只能说是尽量把这个问题先让双方都清楚,一旦代码服务器发生不可逆转的损坏,备份恢复机制如何进行。   到这里插播一个本应昨天的话题,作为创业公司,如果开发是外包的,务必要求源代码。我见过这样的案例,有个公司外包开发了一套系统,这个系统是 php 开发的,代码做了加密,后来他们要修改的时候找不到开发者了,来求助我,我帮他们解开了源代码。不看不知道,里面赤果果的留着一个非常显眼的远程控制的炸弹,就是从地址栏输入一个参数可以直接删除数据库,这种后门主要是开发者防止发包商拖欠尾款的,但是这样的后门性质还是相当恶劣的。虽然没有被引爆,但当时他们的技术人员也震惊了。 在这里推荐一个对 php 加密代码能做解密的工具,利益关联,这个真的一点关联都没有关联了,http://zendecode.com/ 不同加密方式的解密途径不同,这个是一个比较好用的工具。   员工管理 1、电脑严禁裸奔,不管自称多么懂电脑懂互联网,必须装杀毒软件和安全工具,而且必须装主流的杀毒软件和安全工具。 你说你就不花钱你用 360 可以,你说你不信 360 你装卡巴斯基也可以,但必须保持不断更新病毒库和保持付费可用状态。   2、保持公司的邮件帐号密码和其他第三方网站的不一致,这也是硬性规定,防止撞库,有些人在第三方网站也就是普通用户,密码丢了也没啥影响,他自己也不知道,黑客也不去改他密码,但是可能在公司里是个管理员,黑客借用第三方网站的盗号撞库杀入你公司系统,可能就有大麻烦。   3、对外合作方式和一些第三方帐号管理   公司员工对外合作经常留有 QQ,或者微信,邮件地址。   QQ,微信这个如果让员工换掉有些强人所难,创业毕竟也要人性化。 (部分有条件的公司可以使用企业 QQ 服务,便于公司统一管理,而对外合作微信可以考虑使用企业公众号来处理,将在职员工设置为公众号客服,这样企业对外合作可以不用因员工变化而改变微信联系方式,但目前这种配置也不是很流行,所以不做硬性推荐),但是邮件务必要用公司的企业邮箱,大公司这一点都不会觉得有问题,有些创业公司会觉得我搞企业邮箱好麻烦,干脆大家用私人邮件干活吧,但如果存在人员流失和离职这个麻烦就很大,有些重要的业务合作邮件可能就无法追溯了。企业邮箱其实有很多免费和廉价的方式,QQ 企业邮局,网易企业邮局,google 企业邮局,等等。管理员把权限设置好,后续可以省很多麻烦。   我以前助理经常要跟各个业务伙伴进行邮件沟通,该助理离职后,我直接设置将旧邮件地址所有收到的邮件转发给新助理,这样一些合作伙伴的问询和沟通就完全没障碍的转了过来,我甚至没有通知他们联系人发生了变更。   一些重要的邮件账户也要做好备份,管理员应该可以有设置的能力,这样防止主要员工离职后会删除重要资料。 目前我身边听到多个案例有员工遭辞退后删除所有信息的情况。   公司发展业务时,经常需要设置和安排一些第三方的帐号,比如 google 开发者帐号,苹果开发者帐号,域名管理的帐号,很多帐号里还要设置多个权限角色,因为不同目标的员工需要上去做一些设置和调整的工作,这里之强调一点,这些帐号务必使用公司邮箱来注册,而不是个人邮箱,这样才能保证公司在人员流动的时候不会突然出现某些第三方平台你需要重新申请重新配置的麻烦。   这种问题对于大公司来说似乎都是理所当然的,但是对于很多刚开始起步的创业团队,他们一开始很可能疏忽了这些,你一个帐号,我一个帐号就开干了,中间一旦产生人员变化,这麻烦折腾的就大了。   4、关于公司的一些机密的维护 其实从我角度讲,我不喜欢防备员工,公司收入,支出,几乎都是公开的,大部分人都可以看得到,只要业务需要,申请一些第三方平台的权限我也基本上都给开,那么,这里是否存在数据及业务泄露的风险呢?其实肯定会有,不过我觉得对于创业公司,你还真别太在意这个,真正有价值的一定不是冷冰冰的信息和数据,而是人对信息的思考和反馈的能力,我不喜欢那种公司里面各种藏着掖着的作风,如果公司规模大了,竞争环境复杂了,我觉得这个当然还是重要的,但是现在我就琢磨,我们这点小破生意,腾讯这样的肯定懒得看吧,我把我数据给他估计他都懒得瞅一眼,同行?和我们差不多的?大家合一起连腾讯的零头都比不上,我们彼此叫啥劲呢。   但不排除有些企业有些领域有核心竞争力的信息是需要保密的,这一点我也没太好的办法,以前朋友的公司做了款产品叫做铁卷,是干这个的,但是,实话说,不是创业公司玩的。   这里多说一点,安全性和便利性肯定是矛盾的存在,如果你过于刻意强调安全,可能很多工作的复杂度就会增加很多,大家也看到我的介绍里,更多推荐使用第三方平台的产品和服务,也是为了创业团队能专心打磨自己的竞争力,没有必要在安全上投入太大精力,实际上,有个安全大牛说过这样一句话,其实除了极少数安全公司的范例,虽然你看每年互联网安全事故那么多,死于安全事故的公司还真不太能找出来。所以,注意安全是必要的,但是,我们也不是说为了安全,弄得人人自危,大家都不安生,那就有点过犹不及了。   好吧,坦白说,死于私服 + 外挂的大作游戏还是有几款的,要说如何彻底解决这种问题,我真没办法。我只能说,如果你担心这种事情会发生,你只能尽量让你的竞争力不依赖于这个了,比如快速调整的能力,快速应变的能力,即便出现了比较严重的版本外泄,你升级更快,性能调优更强,版本迭代更迅猛,总还是有机会的,之前那些案例,主要还是因为开发商和运营平台不齐心,遇到问题的应对缓慢,策略保守。   5、辞退及离职 创业公司遇到骨干离职会很头大,如果他手里有一些重要的帐号资源,那真是非常紧张和危险的事情。   这就是之前提到的,全部使用公司邮件地址,辞退离职的时候,只要邮件权限拿回,所有帐号都可以通过密码找回重设。   但问题是,你确认你知道他有多少账户么?很可能不知道的。   这需要平时做好记录。谁在什么系统拥有什么帐号,拥有什么权限,平时需要有个记录,当员工辞退或离职时,应明确这些帐号已经被收回。   当然,这里还有一个重点,缘聚缘散都是缘分,大家同事一场,一起创业,尽可能不要出现不愉快的收场,作为公司创始人或者管理者,即便你认为有人不适合这个公司,请他离开,也应尊重和善待每一个伙伴,这样可能比你加很多条安全策略还要重要。你就想一下,就算员工有不对的,当你决定招聘他进来的时候,首先是你看走眼了对不对,所以第一个责任肯定在你身上,这样去思考,就会减少很多冲突的可能,事实上,非常高比例的企业内部安全事件,是由心存报复的离职员工发起的。   6、办公软件和工具 前文提到,员工应使用正版或来源有保障的软件,包括但不限于编译器,远程管理工具,邮件客户端,办公软件,图形制作软件。 并且,应及时跟进最新安全补丁。   在家办公或远程办公,涉及帐号密码操作,以及登录操作,应尽可能使用加密传输协议,有条件的建立 vpn 线路。   最后一个话题   应急处理及响应 这是特别难的一个话题。 涉及很多领域 数据损坏 数据泄露 遭受拒绝服务攻击 域名劫持 服务器被入侵 网站被挂马 等等等等 你跑来问我,对不起,我也没招,找专业安全人士处理。 那么你说,你去哪里找啊? 下面,我告诉你一个大绝招,这是我这样低水平的人还能横行的一个重要原因,一般人绝不外传的!   做好信息安全,三分靠技术,七分靠人脉! 别笑,别笑,真的。   遇到好多次险情,危急时刻,都是我还毫不知情的时候被朋友发来消息,“你们服务器出大篓子了,赶紧处理!” 嗯,这事遇到过,还不止一次呢。   这就是几次死里逃生的真相。   这里我必须再度强调一次,如果你选择了一些巨头的云服务,遇到紧急情况可以请他们支援,无论是 ucloud,还是阿里云,或腾讯云,几个比较大牌的云服务商背后,都有业内非常顶级的安全专家镇守,或者与非常专业的安全公司有深度合作。第二是可以去找乌云求助,让他们帮你做一次紧急的评测和加固服务,那,上一篇文章评论里,乌云的朋友给了一个福利:   报 caoz 的名字过来的乌云众测,免 3 个高危漏洞的奖金。微信 id:2036234   有兴趣的自行联系勾兑。   ----------   留个彩蛋吧,名词解释,云服务穿透。   云服务其实也是一种虚拟空间,每个人认为自己获得了一台独立的服务器,但是很多是彼此共存在同一个系统中的,这就存在一个风险,如果这个虚拟机系统出现一些安全漏洞,就可能被人利用漏洞穿透虚拟机,进入上层的实际系统,然后再进入其他虚拟机,我猜你一定想到了,没错,就跟黑客帝国一样,穿透了自己的世界,进入 zion,另一台虚拟机。这是云服务目前最大的风险之一。   不过还好,这样的风险出现过,但是大规模的破坏还没发生过。   另外,任何云服务商的数据存储和系统都不是 100%安全的,选择时要知道这一点,不能完全信任任何一个平台,个人建议在其他云平台搭建一个同样的系统,数据完成热备,但不用启用,这样成本其实也不高,最低成本运作就好,在 dns 服务上做好一个备份的域名,也不启用,一旦主力云平台出现非常重大的事故的时候,可以 dns 直接 cname 到备份域名上,然后快速增加资源,启动完整的备份平台。尽可能减少运营损失。   当然,实话说,我自己还没完全实现这个,只是部分做了一点。      
    信息安全
    2015年10月09日
  • 信息安全
    索尼被黑给企业的教训:电子邮件安全吗? [摘要]电子邮件储存机密内容给企业信息安全带来了很大的隐患。 日本电子巨头索尼位于美国加利福尼亚的索尼影像娱乐公司上周遭遇了来自不明黑客的袭击,公司电脑被植入流氓软件,该软件随后对电脑中的数据进行了破坏,索尼影业内部系统随后崩溃。此次黑客攻击导致索尼影业的员工无法使用计算机,甚至一度只能使用笔和纸来工作。在此之后,有不少分析人士均认为考虑到目前IT界的数据安全问题,我们应该开始认真反思是否还应长时间在电子邮件系统中存储有关公司机密的数据内容。   电子邮件是—种用电子手段提供信息交换的通信方式,是当今互联网应用最广的服务之一。多年来,尽管有许多服务都试图取代电子邮件的地位,但均无一获得成功,而电子邮件直到现在也依旧是绝大多数企业展开信息交换的最主要方式,因为我们可以非常轻松的通过搜索的方式快速获取想要的信息。   然而,从日前的索尼影业被黑事件中我们也发现电子邮件作为一个信息交流方式依旧非常容易被黑客所入侵的这一事实。对此,有部分企业曾作出了“定期清理电子邮箱”(通常是每90天或者120天定期清理一次邮箱信息)的政策,但这一政策在有些时候却又同法庭规定背道而驰,而这有可能给企业在面临诉讼的时候带来巨大的代价。   目前,美国联邦调查局已经声称自己有“足够信息”断定朝鲜应该对索尼被黑事件负责。同时,有分析人士认为这一事件的爆发进一步强调了定期清理电子邮箱内数据信息的重要性。   “我的理念是,电子邮件内信息的保留周期应该是30天,而索尼和朝鲜之间的这一事件更是进一步证明了我的这一观点。”已退休企业家、被誉为“硅谷教父”的史蒂夫-布兰克(Steve Blank)这样说道。   如梦初醒 事实上,在此次事件发生后已经有不少企业开始反思自己的电邮政策了。总部位于美国亚特兰大的云计算的软件即服务(Software as a Service)应用咨询公司Cloud Sherpas表示,自从这一事件被曝光后,已经有至少两位企业客户改变了自己的电子邮件信息存储政策。   Cloud Sherpas首席技术官大卫-霍夫(David Hoff)透露:“一家位于美国西海岸的大型科技公司已经要求我们为其提供一套针对特定电子邮件用户的信息过滤系统。另一家规模较小的生产型客户则添加了一个可以自动在一年时间内删除电子邮件,同时添加了一个可以在更长时间内保留重要电子邮件的安全文件夹模块。”   当然,定期删除电子邮件并不是一个防止黑客入侵的万全之策,因为现有的信息存储系统通常都会在系统内保留一部分的信息碎片,而黑客则可以利用这一点还原大部分信息内容。   截至目前,索尼发言人还拒绝就公司的信息保留政策发表置评。   与此同时,另一部分科技企业则出于政府客户的要求而开始重新审视自己的安全机制,因为这部分客户希望清楚的知道自己的数据是否足够安全。   “目前客户心中有着非常大的疑问,他们显然对自己的数据安全非常担心。”英特尔投资的软件定义网络公司Big Switch Networks高管道格拉斯-墨菲(Douglas Murray)说道。   而且,有不少初创企业高管均认为定期删除电子邮件内容的做法远远称不上是一个一劳永逸的解决方案。   其他选择 雅虎前首席信息安全官、云计算初创公司Box副总裁兼首席诚信官贾斯汀-马伊尼(Justin Somaini)认为:“定期删除电子邮件会让非常依赖电子邮件的企业员工难以适应,一个更好的做法应该是对电子邮件内容的更好加密、管控。”   对此,我们目前较为熟悉的一种做法是对电子邮件内容进行加密。在这样的情况下,即便邮箱系统被黑客入侵,他们也无法读取电子邮件的具体内容。然而,目前使用这一电子邮件内容加密系统的企业并不多,这主要是因为企业员工很多情况下还需要同外部客户沟通,而外部客户通常不会使用同样的加密技术。   在另一方面,有不少新兴初创企业则开始使用一些电子邮件的替代工具来开展工作,其中就包括团队协同沟通软件Slack和商务即时通讯服务工具HipChat这些工具。   由非盈利基金会运营的开源发布平台WordPress创始人马特-穆伦维格(Matt Mullenweg)旗下的另一家初创企业Automaticc目前就主要依靠Slack来展开工作,但就算是这样的新型沟通工具也同样会生成一定的敏感数据。   “搜索是这类工具的最主要功能之一,而不断的删除数据则是同高效工作所背道而驰的做法,因此我们并不准备采用这样的做法。”穆伦维格说道。   此外,也有不少初创企业开始更多的依赖于谷歌邮箱这样的第三方服务,而不是选择像一些大公司一样将信息存储在自己的服务器上。   使用谷歌邮箱来展开工作的大数据初创企业CEO乔纳森-格雷(Jonathan Gray)就表示:“我们希望电邮能够伴随自己的整个职业生涯,而这也是目前最现实的写照。”   格雷透露称,公司对于来自企业客户的敏感信息有着非常严格的管控流程,但公司并没有定期删除电子邮件信息的明文规定。   大数据服务公司MapR CEO约翰-施罗德(John Schroeder)也非常认同格雷的观点,并表示,“自己的公司同样采用了非常严格的信息管理流程,但并没有采用所谓的‘电邮定期删除’规定”。   值得一提的是,在2009年英特尔和AMD的一场反垄断诉讼中,包括时任英特尔CEO保罗-欧德宁(Paul Otellini)在内的多名英特尔高管因为未按规定保存与AMD反垄断诉讼案相关的邮件和文档而使自己在本案中陷入了非常被动的地位。而现在,该公司发言人查克-穆洛伊(ChuckMulloy)已经明确表示:“公司的电邮系统会在90天内自动删除过期内容,除非员工采取措施来隔离部分重要信息。”   可以肯定的是,如今的硅谷企业已经开始越来越乐衷于采用一切可能的措施来保障信息安全。比如,部分企业甚至开始利用Snapchat这类“阅后即焚”应用来展开工作,因为通过该服务发送的信息会在规定的时间内定时删除。   有业内分析人士相信,企业应该具备在得知信息落入非法之徒手中后远程删除这些数据的能力,但目前市面上还没有出现类似的合适工具。   “电邮的发送者应该具备删除这些信息的权利,未来的电邮系统也应该具备这样的功能。”硅谷信息安全初创企业Cetas联合创始人兼CEO穆迪度-苏哈卡尔(Muddu Sudhakar)最后说道。(汤姆)   腾讯科技讯
    信息安全
    2014年12月23日
  • 信息安全
    大数据时代的用户信息安全三原则 作者:周鸿祎 随着智能设备越来越多,厂商手收集的数据越来越多,一个人变得越来越透明,这时候个人安全问题就变得越来越突出。大家应该抛弃门户之间,携手共同制定用户信息安全原则:一,用户所有权原则;二、平等交换的原则;三、安全处理原则。 几年前,雷·库兹韦尔写过一本书叫做《奇点临近》。他说,人类文明经过这么多年发展,在本世纪的中叶会经过一个点,这个点,就是奇点。奇点是一个拐点,也就是说人类文明可能会进入一个分岔,可能会进入一个新的文明高度,也可能会急转直下,人类就此灭亡。所以奇点有双重的含义,有可能变得更好,也有可能变得更糟糕。 我认为随着大数据时代的到来,互联网也将走到一个奇点,而安全将决定互联网走过这个奇点之后,到底是向上走到一个新高度,还是向下走到一个坏局面。大数据时代,有两个事情无法避免。首先,现在用户产生的数据都会存在云端,都会存在各个厂商的服务器上。第二,数据采集能力更强大,采集范围更广阔。 现在不仅有移动互联网,未来还会有物联网、车联网,会有更多的可穿戴智能设备,这些硬件普及之后,你会发现用户使用这些设备产生的数据规模将是空前的。在移动互联网上,厂商对用户了解之深入,是PC互联网完全不能比的。 比如,原来在PC互联网里,所谓用户信息,就用户存下来的那点艳照,而且很可能是还存在本地目录里。但有了智能手机以后,手机变成了你的钱包,而且手机里有太多私密的东西。一旦你丢了手机,就会产生很多问题。 一个行业大佬跟我讲过他的智能冰箱梦想。冰箱按成本价卖,一分钱不赚。我问那你最终靠什么赚钱呢?他回答说,我在冰箱里设置了好多摄像头,而且冰箱接入互联网。以后中国13亿人民买多少鸡蛋,买了多少青菜,放在里面有没有过期,我全都知道。这些数据里面就有很大的商业机会呀。 我想,那也是,现在的智能手环可以随时记录你的运动数据,你半夜干点什么厂商通过分析数据就能知道。以后很可能灯泡都要连上Wifi,插座都要连Wifi,最近我看到的一条新闻是,连城管都戴智能眼镜来执法了。 中国已经有10亿互联网用户,但是将来连接互联网的设备不只是10亿台,因为每个人可能同时有多种智能设备联网,可能50亿台,可能是100亿台,这么多设备产生的数据会让一个人变得越来越透明。当大数据时代来临,这些用户信息能不能保证足够的安全,这将是一个奇点,决定这个拐点何去何从。 最近,互联网行业出了很多安全事故,例如曝出SSL心脏流血漏洞,还有电商公司存储了用户信用卡里不该存储的信息。 在未来两三年里,这个情况会变得特别严重。你会发现,安全问题已经不是说在你的电脑、手机上杀病毒,清理插件。汽车现在正向智能化发展,无人驾驶汽车已经开发出来,软件是汽车智能化的基础。任何软件都有漏洞,软件功能越多,就越复杂;软件越复杂,出现漏洞的可能性就越大。如果黑客发现了漏洞,攻破这个软件,黑客就有可能通过远程云数据交换,从云端控制这个汽车。这就不是一个电脑重新格式化的问题,而是生命安全的问题。 如果在大数据时代,安全不能得到保障,那么或者用户不再信任你,不敢选择你。就像今天曝出心脏流血漏洞,很多人立刻就把手机和网银解绑,有的电商存储了用户信用卡的CVV码,有的用户就选择抵制这家公司。另一种可能,是消费者都无知无觉,但完全不知道自己把什么数据交给了厂商,也不知道厂商如何处理。一旦再出重大安全事故,那甚至将导致一定程度的社会混乱。如果没有足够强大的安全保障,云计算和大数据向未来发展,必将付出惨重的代价。 我们所有的互联网从业者都要考虑一下,如何在憧憬大数据产生商业效益的时候,也考虑一下如何更好的保护用户信息这个问题。当年阿西莫夫在很多科幻小中提出了著名的机器人三原则,就是为了防范机器人取代人类等安全问题。 那么现在,我认为也需要在大数据来临的时候,大家一起抛弃门户之间,携手共同制定一个用户信息安全三原则,来自我约束,自我监督。 第一,用户的信息是用户的个人资产。很多互联网大公司可能比较抵制我这个观点,因为互联网大公司在用户协议里说:因为用户号码是我给的,所以用户是我的,用户的好友列表也是我的,用户产生的内容也是我的。但是,它又发表一个免责声明,说用户产生的任何法律问题,都与自己无关。先不说这种自相矛盾的逻辑,我的观点是,用户使用厂商的服务产生的信息,是属于用户自己的个人资产。用户使用各种设备、各种软件产生的数据,虽然存储在厂商的服务器上,但是从所有权方面讲,它应该明确地属于用户,是用户的财产。 二是平等交换的原则。在大数据时代,通过云端的数据交换,厂商为用户提供服务。只要用户使用了厂商的服务,就会有相关的数据产生。你用微信的时候,为了匹配朋友,你的地址本自然要上传。为了与朋友聊天,你的聊天记录自然会保存在厂商的服务器上。但是,用户的信息和厂商之间,应该遵循平等交换的原则。什么叫平等交换?用户享受服务,厂商获取信息,但在这个过程中,用户要有知情权,厂商要得到用户授权才能使用用户信息,也就是说,用户要有选择权,有拒绝权。 举个例子,如果是一个类似大众点评这样的应用,因为要根据用户的地点给他找饭馆,自然它需要用户的位置信息,我认为这是合理的。这就是平等交换。但如果是一个小说阅读软件,也要获取用户的位置信息,我认为这个服务就不再是一个平等的交换,实际上它要了不该要的东西。平等交换原则也符合《消费者权益保护法》的基本原则,就是消费者要有知情权、选择权。 三是安全处理原则。有的人认为安全就是互联网安全公司干的事,就是杀毒软件的事,我觉得这个观点是错的。任何一家互联网公司,包括现在做可穿戴硬件的公司,都会变成一个互联网服务公司,用户会使用这些硬件产生大量的数据。所以,任何一家互联网公司都有责任保护用户信息的安全,要在云端对用户数据进行足够强度的加密,包括安全存储和安全传输。 只有用户觉得自己的信息是安全的,用户放心,他们才会更大胆地去尝试各种新的互联网服务。如果像大家每天在网上看到的,都是你说我的支付不安全,我说你的红包有危险。最后的结果是什么?很多人会说,反正在网上用手机支付不安全,那我就不用了。如果是这样,互联网想繁荣,我觉得是不可能的。 所以,这个三原则不是我们一家公司的问题,也不是几家安全公司的问题,而是从巨头到各位创业公司,大家要共同推动的事情。我们这些互联网行业里的人有责任给用户建立一个安全的基础。所以是时候抛弃门户之见了!将三原则推行起来,让用户对互联网建立真正的信心。
    信息安全
    2014年04月25日