系统安全最大软肋到底是什么？

捺捺 2007-12-12 11:28:57

12月11日消息，据英特尔的风险和威胁分析主管杰克称，社会工程这种攻击方法主要通过“人”，而不是通过攻击计算机获得资料。据国外媒体报道称，杰克在一次会议上表示，企业可以通过技术保护系统的安全，但任何系统在安全方面的软肋都是最终用户。只要用户被诱骗点击一个链接或访问一个不熟悉的网站，就会有受到攻击的危险。

...全文

86 回复打赏收藏转发到动态举报

写回复

回复

切换为时间正序

请发表友善的回复…

发表回复

1、系统和网络编程库：ACE 除了ACE之外，还有很多系统和网络编程方面的程序库。比如在线程库方面，还有ZThread、boost::thread，如果放大到C/C++领域，还有APR，还有CII。在文件和目录操作方面，boost也有相应的组件，而在网络编程方面有socket++，还有boost::asio，未来的C ++0X中几乎肯定有一个网络编程和一个线程库。然而目前看来，ACE仍然是进行系统和高性能网络编程的首选，其地位在一段时间内不会被撼动。它不但是一个实用的程序库、框架集，还是一个典范的设计模式应用范例，非常值得学习。 2、GUI库：Qt 传统上Qt被认为是可移植的GUI库，但实际上Qt现在已经是一个比较完整的可移植应用程序框架了，其中包含了大量的工具，比如正则表达式、Web和 Socket类、2D和3D图形、XML解析、SQL类等，甚至还包括了一个完整的容器类库，不过其王牌还是GUI。在目前的跨平台GUI框架中，Qt成熟度最高，已经被一些大公司应用在关键产品中。由于Trolltech对Qt采用的dual license模式，该产品既可以从开源社区获得支持，又能够赚取足够的商业利润，因此其前景也令人比较有信心。 Qt的主要技术特色是其元对象模型。Qt实际上使用的并不是标准的C++，而是标准C++的一个扩展。它通过元对象模型扩展，实现了著名的signal/slot机制，而这一机制也成为Qt的最大特色和优势。与Qt类似的可移植GUI框架还有wxWidget、FOX等。 3、分布式对象中间件：ICE ICE是分布式对象中间件领域里的后起之秀，可以大致地将其视为“改进版”的CORBA。目前应用在一些大型项目当中，其中包括波音公司主持的下一代陆军作战系统。 ICE的一个特别价值是其代码的范例意义。由于ICE的出现较晚，开发者比较系统地应用了新的C++编程风格，所以成为了研读C++代码的良好目标。 4、正则表达式：boost::regex 正则表达式是编程工作中最强有力的工具之一。C++的正则表达式支持一直以来是一个软肋。大约在2001年左右，boost中出现了regex库，初步解决了这个问题。但是最初的regex无论在效率上还是可靠性方面都有一些问题，后来经过一次大规模的翻修之后，达到了比较完善的程度。其他可以选择的替代品还有C语言的pcre库，Qt中的QRegExp类等。 5、矩阵计算：MTL 自1995年以来，C++在科学计算领域当中取得了巨大的突破。这主要归功于template技术的高级应用，使得C++在科学计算的性能方面取得了巨大的进步，一大批优秀的C++科学计算库涌现出来。比如Blitz++、POOMA、MTL、Boost::uBLAS。而这其中，MTL就功能丰富程度、性能、开发支持和成熟程度来讲，是比较突出的一个，因此可以优先考虑。值得一提的是，2002年，MTL与后来被Intel收购的KAI C++配合，曾经在性能评测中击败了FORTRAN。 6、XML、TinyXml C++的XML相关库不少，但是大部分其实都是C库，使用起来自然不那么轻便。其中基于DOM的有TinyXml，基于SAX的当然是Xerces。前者小巧快捷，便于使用，适合做数据交换。后者则是全功能的XML解析器。 7、内存管理：boost::smart_ptr，Hans-Boehm GC C/C++的内存管理是一个永恒的话题。一般来说，C++的开发者倾向于自己管理内存。然而，出乎很多C++开发者意料的是，近期C++的一些领袖人物已经公开宣称，如果不配备自动内存管理机制，用C++编写安全可靠的大型程序是非常困难的。而Bjarne Stroustrup也曾对中国开发者建议，如果没有特别的理由，应该在大型项目中使用自动内存管理工具。因此，今天的C++开发者应当积极地学习和应用自动内存管理设施。说到自动内存管理，比较轻量级的做法是boost::smart_ptr，而激进的做法是引入完整的GC机制。目前开源而又比较可靠的GC中，Hans- Boehm GC无疑是最受信赖的。作为一个保守的GC，Hans-Boehm GC在性能和功能方面都算是卓越。特别是，使用这个**，你仍然可以*elete、free来自己管理内存，对于我们编程习惯的冲击比较小。 8、配置管理：Lua 随着软件系统越来越复杂，对软件的可配置型提出了越来越高的要求。传统上只要通过命令行参数来配置的系统，现在可能需要越来越多的方式和机制。目前越来越受欢迎、并且得到越来越多证实的做法，是将Lua嵌入到C/C++程序中，而用Lua程序作为配置脚本。这种做法的优势是，Lua语言强大灵活，可以适应复杂的配置要求。同时，Lua便于嵌入C/C++程序，而且编译执行速度非常快，可以说是目前解决C/C++程序配置管理问题的一个出色方案。 9、密码及安全：OpenSSL 安全是今天进行C/C++编程无法回避和必须重视的问题。然而编写安全的应用程序，特别是跟网络相关的C/C++应用程序，是一件十分困难的事情。可以说，整个业界目前在这个进程上仍然处于“初级阶段”。特别是涉及到大量的安全、密码学相关的算法、规范，如果让开发者自己摸索，其工作量和难度达到了不现实的程度。因此必须借助可靠的相关程序库才有可能提高程序的安全性。在这方面，OpenSSL是目前最好的选择，其内容之全面可靠，已经成为业界标杆。然而，由于安全编程固有的复杂性，即使使用penSSL，开发工作仍然是非常繁琐的。因此我们也希望能够尽快看到更简单、更易用的C/C++安全程序库。

链客，专为开发者而生，有问必答！此文章来自区块链技术社区，未经允许拒绝转载。今天我们来谈谈区块链的安全软肋。作为比特币中的核心技术，在无法建立信任关系的互联网上，区块链技术依靠密码学和巧妙的分布式算法，无需借助任何第三方中心机构的介入，用数学的方法使参与者达成共识，保证交易记录的存在性、合约的有效性以及身份的不可抵赖性。区块链技术常被人们提及的特性是去中心化、共识机制等，由区块链引申出来...

为了帮助大家更好的学习网络安全，我给大家准备了一份网络安全入门/进阶学习资料，里面的内容都是适合零基础小白的笔记和资料，不懂编程也能听懂、看懂，所有资料共282G，朋友们如果有需要全套网络安全入门+进阶学习资源包，可以点击免费领取（如遇扫码问题，可以在评论区留言领取哦）~😝有需要的小伙伴，可以点击下方链接免费领取或者V扫描下方二维码免费领取🆓👉CSDN大礼包🎁：全网最全《网络安全入门&进阶学习资源包》免费分享**（安全链接，放心点击）**👈。

在网络安全的世界里，身份就是钥匙。“这本来是个很安全的设计，”公共互联网反网络钓鱼工作组技术专家芦笛解释道，“但问题在于，如果这个‘发证机关’本身被攻破了，那它开出的每一张通行证，哪怕内容是假的，也会被云服务信任。“这就像小偷不仅偷了你的家门钥匙，还学会了你家指纹锁的录入方式，”芦笛比喻道，“他不仅能进你家，还能给自己‘注册’一个新的合法指纹，以后你换了钥匙也没用。“我们不能再假设‘内部系统’就一定是安全的，”芦笛说，“未来的安全架构，必须是‘零信任’的——无论请求来自哪里，都必须持续验证其合法性。

在当今信息时代，企业信息系统最大的软肋，就在内网服务器等核心设备，企业面临最大信息安全威胁，依然是源自内部人员对于内部网络资源设备的攻击，和对于内部机密数据文档的窃取。堡垒机综合了运维管理和安全性的融合，切断了终端计算机对网络和服务器资源的直接访问，而是采用协议代理的方式，接管了终端计算机对网络和服务器的访问。形象地说，终端计算机对目标的访问，均需要经过堡垒机的翻译。打了一个比方，堡垒机扮演着看门

英特尔边缘计算技术

568

社区成员

7,024

社区内容

发帖

与我相关

我的任务

社区管理员

加入社区

近7日
近30日
至今

加载中

查看更多榜单

社区公告

暂无公告

试试用AI创作助手写篇文章吧

+ 用AI写文章