博客

安全动态
投稿至邮箱: 在线投稿
  • 信息安全宣传动画制作的艺术
       自从《唯品会信息安全培训体系》文章出来以后,引起安全圈广泛的关注与热情的回复,也有很多童鞋前来进行深入的讨论。我们的信息安全培训体系内容、形式和载体都多种多样。其中,对我们的动画制作过程感兴趣的人不在少数,表示我们的动画很有特色,想了解制作过程。所以,今天准备就我们制作信息安全动画视频的思路和流程进行分享,希望起到抛砖引玉的效果。信息安全动画的制作过程,可以说是一场技术与艺术间的盛宴,魔法与灵魂间的交织。《黑客与画家》里面提到“黑客也是创造者,与画家、建筑师、作家一样,都试图创作优秀的作品。”黑客在渗透、入侵时的步骤、思路是千变万化的,灵感来临时,甚至能发现0Day漏洞,成就一次入侵。黑客是有艺术感的,那么由我们这些“正义黑客”承接企业信息安全的宣贯工作,创作信息安全动画,自然也不是什么难事。下面让我们来看看如何制作优秀的信息安全动画。一、安全动画制作前的考虑因素信息安全动画制作之前,必须要考虑清楚动画目的、动画受众、动画风格、知识管理、用户体验和项目管理等相关要素。可参考以下导图:动画目的:制作动画的目的必须要搞清楚,想清楚要宣传什么,达到什么效果是最重要的。唯品会的动画分了两类,第一是信息安全意识课程,第二是信息安全开发技术与流程。动画制作目的与企业的风险现状是直接挂钩的,当然也与资源和预算先关,毕竟ROI(投入产出比)是我们的重要考虑因素。动画受众:动画目的确定了,动画的受众也就定得差不多了。安全意识类,一般是面向公司全员的。而安全技术类则可以继续细分,包括开发人员、运维人员、项目经理、测试人员等不同岗位。随着企业安全整体规划的逐步实现,针对具体岗位的培训会陆续增加和完善。动画风格:唯品会采用的动画风格是简约和清新。太复杂的动画构图,是没必要的。一方面增加动画交付时间,项目进度难以把控。另一方面,复杂的动画会吸引过多的注意力,从而忽略了要宣贯的信息安全内容。知识管理:课程需要展现什么知识点,也是动手前必须考虑的。例如我们的安全意识课程覆盖了人员安全、环境安全、移动安全、终端安全、网络安全、数据安全、访问控制安全、外包安全、社会工程学、安全管理制度等十个方面。安全技术包括了Top安全漏洞、安全评审流程、开发制度流程和业务安全等。安全意识课程覆盖面要尽量广,并且与企业实际相关。技术课程就要考虑企业的关键风险点来设计,如果应用系统安全漏洞较多,就重点宣传开发安全技术。用户体验:用户体验关乎学习效果,用户不想看,目的就达不到了。所以看得懂、能理解、时间得当就显得很重要了。安全意识课程一定要结合企业的一些安全场景来设置,使用户身同感受。安全技术课程一定要把关键知识点进行归纳总结,不宜面面俱到,如果要深入学习,我们能提供额外的学习途径。例如SQL注入那么多类型,就没必要进行一一举例,将漏洞成因和通用解决方案拿出来就可以了。安全意识课程,一般控制在1-3分钟左右,安全技术课程一般是5-10分钟,这样知识点讲解到位,又不会使用户失去耐心。项目管理:先了解安全团队在动画制作过程中所担任的角色。唯品会的安全团队负责制定剧本,然后由供应商负责实现Flash动画。当然,如果企业本身能承担动画制作,那就最好不过了。既然动画的具体制作不是安全团队,那就涉及到双方对剧本的理解,以及供应商的实现是否符合我们要求。后期安全团队要对动画的质量进行验收。二、安全动画制作中的关键要素安全动画制作中的关键要素有八点,分别是人物设计、故事大纲、画面效果、画面文字、语音、知识点、强调标记和时长。对每个要素的把握,要素之间的交互关联,就是我们所追求的艺术。安全团队是艺术的灵魂,供应商的设计师是艺术的工匠。我们将每个课程所需要传达的知识点和动画效果形成我们的剧本,再把剧本交给艺术的工匠,由他们打造出艺术品。那么在这个过程中,剧本的地位十分重要,扮演着艺术传递者的角色。所有关键要素都是通过剧本进行记录。下面以其中一个动画为例进行详细讲解:下图是动画剧本的信息栏,主要记录了课程标题、人物设计、故事大纲等要素。动画剧本信息栏人物设计:其中人物设计需要反映不同角色的一些职业特点,例如黑客是阴暗的形象,信息安全导师则是正面的形象,原则就是用户能一眼看出角色的身份。另外,配音师与角色形象是否一致,也需要供应商提供配音师的录音片段让我们确认,确保音画一致。 人物形象设计黑客形象故事大纲:故事大纲是对整个剧本的大致背景、过程进行简单概括和总结,使设计师更快速理解我们的需求。 剧本的信息栏设计好后,就进入剧本正文了。剧本正文使用表格的形式,将编号、画面效果、画面文字和语音分别进行描述。结合简单的图形、图片、文字描述、强调标记来构造剧本。剧本正文表格的表头画面效果:画面效果需要描述人物、动画出现的先后顺序,以及将“高亮显示”的内容重点标记出来,如图5所示,按剧本设计出来后的动画效果如图6和图7所示。剧本正文例1动画效果:30分钟过去了动画效果:HTTPS传输 画面文字:画面文字就是动画的画面,里面使用图形、图片和文字对画面进行简单的展现,使设计师理解你的意图。在画面文字的剧本做好后,其实在我们大脑中也可以简单把动画想象出来了。语音:是角色配音和旁白。剧本中对语音的描述要考虑用户是否能理解、设计师是否能理解,描述是否清晰,语音是否与动画文字对应等。强调标记:强调标记用于将重点内容进行展示,可以在剧本中按需使用。具体强调标记在动画中可以表现为“高亮显示”、“闪烁”、“放大”、“加粗”、“代码画圈”等方式。如图8所示。强调标记--代码画圈知识点:在课程中要讲解哪些知识点,需要我们进行策划和设计。课程中需要讲解几个知识点,知识点之间如何编写成故事场景,都是一种艺术的表达方式。举个简单的例子,我们的开发安全红线要求共22条知识点,我们通过让小安老师带同学们进入数字世界中的“商城”,然后让角色经历商城注册、登录、购物、支付、注销等环节。最后小安老师还带同学们带到“商城管理办公室”参观门禁认证系统、监控日志等设施,用于讲解管理后台的安全设计要求。时长:动画的时间长度应该适当,如果是安全意识动画,1-3分钟为佳,安全技术动画5-10分钟为佳。时长的要求可以先定下来,然后让设计师帮忙增减。三、安全意识动画设计要点了解了剧本如何编制后,下面来看看安全意识动画的创作的一些思路。安全意识动画是面向公司全员的,所以设计时把握几个设计要点。课程内容覆盖面全,关注企业风险特色我们的安全意识课程,基本覆盖了常见的企业安全风险,也有一些具有企业特色的课程。例如客户信息保护、关键岗位职责分离、第三方人员账号安全等。每个企业都有自己的特色,切忌千篇一律。唯品会安全意识课程目录如下图所示:课程目录故事紧贴企业安全案例在故事内容设计上,我们使用了企业曾经发生过的安全事件作为案例,能有效避免同类事件再次发生。其他安全场景,也应该紧贴企业实际情况,使用户身同感受。知识点简单易懂,违规后果发人深省故事表达出的知识点简单易懂,安全违规用开除、公安扣留等严重后果表现出来,发人深省。违规后果发人深省避免使用专业安全术语在动画设计过程中,应该要考虑到大部分人都没有安全专业知识,我们应该避免使用专业安全术语,或者可以先对安全术语进行解释,后面再使用安全术语来讲故事。例如,我们对“撞库攻击”进行了解释,如下图:撞库攻击解释加入互动问题,引发学员思考为了避免用户在观看动画的时候精神不集中,可以适时加入一些问答环节。一方面可以提高培训的注意力,另一方面也可以使用户更加熟练掌握知识点。如下图所示:无线WIFI安全威胁问答题账号共享问答题最后简单总结知识点看完动画以后,我们再通过安全贴语对课程知识点进行简单的提炼总结,形成安全贴语,加深用户的记忆。安全贴语四、安全技术动画设计要点技术动画是面向各个岗位的技术人员的,目的是让学员掌握安全技术的基本常识,以及熟悉公司安全流程,避免在开发、测试和运维中发生低级错误,也能降低流程不熟悉所带来的反复沟通成本。下图是技术课程的目录:安全技术课程目录安全技术动画设计时,关注技术严谨规范、攻击过程再现、原理简单呈现、提供解决方案等四个方面,下面分别介绍。技术严谨规范技术是严谨的,要经得起推敲。所以动画的每一行代码,每一个参数,每个漏洞原理和每个解决方案,我们都进行了反复验证,确保技术严谨性。我们所使用的代码,会更加贴近目前企业使用的编程语言、编程风格,以求最大程度贴近企业的实际情况,为学员带来亲切感。“正义黑客”们技术都十分高超,在平常的沟通交流中,很多时候都把关键的术语和原理不经意地隐藏起来,但对于“开发程序猿”或者“运维攻城狮”来说,这些术语未必每个人都了解。那么在知识传递的过程中,我们应该把完整的攻击过程、漏洞原理和解决方案描述清楚,避免引起歧义。攻击过程再现开发人员、运维人员虽然经常听到安全漏洞,但未必能清楚知道安全漏洞的成因和攻击过程,仍然会觉得安全漏洞离他们很遥远,“反正你有漏洞要我修复,我修复就是了”。那么我们在安全技术培训中就一定要让他们直观地看到漏洞的成因以及攻击的过程,让他们觉得漏洞离我很近,拉近距离,引起共鸣。所以唯品会的技术动画中,会使用一些黑客工具来展示黑客攻击的过程,输入的命令、执行的效果通通一目了然。例如SQL注入漏洞讲解会通过使用SQLMAP工具找到漏洞点,列出数据库、列出表然后导出账号密码。虽然一次真实的攻击,肯定不止这些步骤,但是我们不要纠结,在真实攻击和艺术表达间取得平衡,才是我们要做的事情。下面讲解如何用动画展示黑客攻击过程。原理简单呈现让技术人员了解攻击过程后,可以从代码层面剖析漏洞原理,讲解代码中哪些参数有问题,然后用强调标记展示出来;也可以通过简单的原理流程示意图展示。无论哪种方法,只要能将原理讲清楚就可以了。GET型CSRF的原理漏洞原理一定要简单,漏洞示例代码要有代表性,加深学员的理解。XSS漏洞示例代码提供解决方案攻击过程,漏洞原理都清楚后,就应该告诉技术人员如何去避免安全漏洞的发生。我们在技术动画中提供安全漏洞的统一解决方案,解决方案要体现纵深防御的思想。有解决漏洞产生根本原因的,也有其他辅助策略。安全漏洞难以百分百杜绝,但是做好一些辅助策略,使漏洞无法被利用,也是培训中要体现出的思想。例如SQL注入漏洞,可以通过预编译和带参数的存储过程解决,而辅助策略可以是限制DB的连接权限、限制本地文件创建权限、敏感数据加密等方法解决。如下图所示:SQL注入漏洞修复方法SQL注入防御的辅助策略五、结语唯品会的安全动画虽然已经初步成型,但安全团队的艺术之旅并没有结束,我们将继续完善安全动画,以求用卓越的精品将安全融入企业文化中,为此将不懈努力。动画制作的艺术已经介绍完啦,相信大家一定已经跃跃欲试了吧,赶紧打造自己的艺术精品吧! 
    阅读全文
  • APP安全之通信安全(下篇)
    APP安全之通信安全(下篇)既然APP通信存在诸多安全问题,那么究竟如何才能提高APP的通信安全呢?对数据做HASH加密校验(1)在so文件中进行HASH校验,即KEY+parameters,当然也会对KEY进行混淆,但KEY保存在APP本地迟早是要泄露,更好的做法是使用动态KEY。(2)有效利用APP的签名证书,服务器端使用该证书的私钥加密动态KEY发送到客户端,客户端使用从本地APP中获取到的公钥信息解密得到KEY,然后进行签名。(3)重打包过的APP,获取到的公钥信息与官方APP不同,就无法解密得到动态KEY,从而可以在一定程度上预防重打包。当然实现上需要注意,如图6为获取APP公钥信息的函数。(4)若在需要动态KEY的地方调用该函数,重打包时只需要修改该函数返回值,就可以被绕过,正确做法应该如图7所示。在APP的多个功能处使用本地公钥信息,可以一定程度解决重打包风险。所以,在APP通信安全方面,应优选SSL Pinning方式的HTTPS的传输和动态获取KEY方式的完整性校验。点击以下链接,查看完整内容:http://mp.weixin.qq.com/s?__biz=MzI5ODE0ODA5MQ==&mid=2652277120&idx=1&sn=ece9ce6624b141a305aa8a7f7a9f068d#rd
    阅读全文
  • APP安全之通信安全(上篇)
    APP安全之通信安全(上篇)在信息安全等级保护体系中,根据信息系统的机密性(Confidentiality)、完整性(Integrality)和可用性(Availability)来划分信息系统的安全等级,这三个性质也就是我们常说的CIA三要素。在APP与服务器这段信息流里,通信安全在一定程度上负责保证信息机密性和完整性,在现行的架构中,APP一般使用HTTP协议进行通信,通过HTTPS与对称加密以保证机密性,对信息进行HASH校验以保证完整性,但实现上却有许多细节未做到安全。点击以下链接,查看完整内容:
    阅读全文
  • 巧用客户端防御 - 谈谈HSTS
    巧用客户端防御-谈谈HSTSHSTS是HTTP Strict Transport Security响应头的简称,它的主要作用是防止协议降级攻击,如SSL剥离中间人攻击。它的工作原理是允许服务器下发指令给客户端浏览器,要求其只能通过安全的HTTPS连接与服务端进行交互。 HSTS是一种IETF标准协议, 具体可参见RFC6797。点击以下链接,查看完整内容:http://mp.weixin.qq.com/s?__biz=MzI5ODE0ODA5MQ==&mid=404686121&idx=1&sn=52e258da31c807c50a3fcd1f9ea24793#rd
    阅读全文