安全无小事--技术团队防守一二三
事情的经过是这样的:
那天在使用某创业团队的APP时,输入完了微博账号还需要他自己的账号,于是就发了条微博,
然后就有人@我是不是在说小米被脱库的事。。。呵呵!
这里要讨论的是,如何让数千计的开发人员在安全防守安全编程上,得到有效的效果。有人说,我干了xx年,手上从来没有一个项目出过安全漏洞; 还有人说,我一个人做的x项目,也从来没有出现过安全漏洞; 呵呵,集体的智慧不由个人意志来控制,木桶漏水取决于最短的一块。
一、内防
内防是需要苦练内功的一块,因为招聘标准不一导致技术团队的水平不一,一个上千人的技术团队,一定要有一定的固定流程进行上线质量的把控。
1.1 基础
基础包括了:基础代码框架、基础网络环境、基础硬件环境、基础系统环境。
基础代码框架:统一的去除xss\sql注入等第一层的框架服务,确保出现在每个技术人员的入职学习流程中。
基础网络环境:业务隔离和灵活兼顾的网络,对基础运维网络工程师有更高的要求,确保每一台新上线的机器都在正确安全的网络中。
基础硬件环境:确保新的硬件出现在正确安全的地方,安全性要求高的硬件有固定的选择。
基础系统环境:新系统的投入,有安全标准的套路安装和设置。
收集:主要是收集服务,因为公司大了,各种小业务未必会拿得全,特别要关注边缘业务。一个非常好的点,就是在上线系统中进行收集。
查证:各种侦测手段,扫描脚本,应该流程化,代码化,尽可能缩短全公司运行时间,同时尽最大可能扩大面积。
1.2 走查
走查使变动中的系统周期性也进行了安全检查。
1.3 紧跟
紧跟是各种开源软件如果正在被使用,需要对其安全变动公告进行紧跟。尽可能在重大漏洞发布后最短时间里解决,缩小影响时间。
这里要求对全公司所使用的开源项目进行有效的登记记录工作,而且上千人的公司,很有可能会漏掉。一个非常好的点,就是在上线系统中进行开源项目检测。
1.4 重点
重点是指对经常报漏洞的项目进行重点关注,确保这些项目:1.不引用或保存重要数据 2.不与其他业务在受信网段 3.更加频繁的重复前面三点
1.5 重要
重要项目一定要坚持原则,绝对禁止数据的流动、绝对禁止明文重要数据的存放,即便是ceo说可以也不行。
二、外攻
外攻是指通过上面的一系列手段,依旧无法控制短板的项目或人出现,于是要做的事情就是尽一切手段尽快地把这短板找到。
2.1 外援
外援有很多,包括各种白帽平台、安全厂商平台。下血本也要和他们搞好关系,心甘情愿被敲诈,当有发现重大短板时第一时间取得联系是非常有效的。
2.2 自建
自建安全响应平台是对外援的补充,许多短板像xss sql注入都是很显而易见的问题,许多还不足以“下血本”,但积小成大,经常出现短板的团队,需要考虑技术培训等活动。
三、另类
非技术漏洞导致的泄密、个人管理密码被盗、VPN密码被盗等类似的另类事件,要求各部门不应该出现扁平化的权限控制系统,每人控制一块,可以减少个人失误扩大变成灾难。
四、总结
一个互联网技术企业,绝对不是老板出多少钱就一定不会再出现安全漏洞的,也不是老板出的钱越多就代表越重视的,真正的重视体现在研发人员的日常工作中。
你的企业没有出现过安全问题,不代表你的团队没有短板,更不代表你的线上没有漏洞,更不代表你的用户数据没有在黑市上买卖。
不在乎有没有漏洞,就是认真。
建议继续学习:
- 腾讯执行的感悟(安全方向) (阅读:4904)
- 如何让ssh登录更加安全 (阅读:4472)
- 微博架构与平台安全演讲稿 (阅读:3770)
- 为flash建立socket安全策略文件服务器 (阅读:3658)
- php.ini安全配置及使用说明 (阅读:3503)
- 查看你服务器的安全性 (阅读:3290)
- IT从业人员需要知道的安全知识(1) (阅读:3297)
- 淘宝网:前端安全须知 (阅读:2929)
- Mysql 安全 (阅读:2728)
- jQuery之保证你的代码安全 (阅读:2528)
扫一扫订阅我的微信号:IT技术博客大学习
- 作者:五四陈科学院 来源: 五四陈科学院
- 标签: 安全
- 发布时间:2014-05-27 22:51:30
- [68] Go Reflect 性能
- [68] 如何拿下简短的域名
- [67] Oracle MTS模式下 进程地址与会话信
- [62] IOS安全–浅谈关于IOS加固的几种方法
- [61] 图书馆的世界纪录
- [60] 【社会化设计】自我(self)部分――欢迎区
- [58] android 开发入门
- [56] 视觉调整-设计师 vs. 逻辑
- [49] 给自己的字体课(一)——英文字体基础
- [48] 读书笔记-壹百度:百度十年千倍的29条法则