技术头条 - 一个快速在微博传播文章的方式     搜索本站
您现在的位置首页 --> 安全 --> 安全无小事--技术团队防守一二三

安全无小事--技术团队防守一二三

浏览:1000次  出处信息

   事情的经过是这样的:

   那天在使用某创业团队的APP时,输入完了微博账号还需要他自己的账号,于是就发了条微博,

   

   然后就有人@我是不是在说小米被脱库的事。。。呵呵!

   这里要讨论的是,如何让数千计的开发人员在安全防守安全编程上,得到有效的效果。有人说,我干了xx年,手上从来没有一个项目出过安全漏洞; 还有人说,我一个人做的x项目,也从来没有出现过安全漏洞; 呵呵,集体的智慧不由个人意志来控制,木桶漏水取决于最短的一块。

一、内防

   内防是需要苦练内功的一块,因为招聘标准不一导致技术团队的水平不一,一个上千人的技术团队,一定要有一定的固定流程进行上线质量的把控。

1.1 基础

   基础包括了:基础代码框架、基础网络环境、基础硬件环境、基础系统环境。

  • 基础代码框架:统一的去除xss\sql注入等第一层的框架服务,确保出现在每个技术人员的入职学习流程中。

  • 基础网络环境:业务隔离和灵活兼顾的网络,对基础运维网络工程师有更高的要求,确保每一台新上线的机器都在正确安全的网络中。

  • 基础硬件环境:确保新的硬件出现在正确安全的地方,安全性要求高的硬件有固定的选择。

  • 基础系统环境:新系统的投入,有安全标准的套路安装和设置。

  • 1.2 走查

       走查使变动中的系统周期性也进行了安全检查。

  • 收集:主要是收集服务,因为公司大了,各种小业务未必会拿得全,特别要关注边缘业务。一个非常好的点,就是在上线系统中进行收集。

  • 查证:各种侦测手段,扫描脚本,应该流程化,代码化,尽可能缩短全公司运行时间,同时尽最大可能扩大面积。

  • 1.3 紧跟

       紧跟是各种开源软件如果正在被使用,需要对其安全变动公告进行紧跟。尽可能在重大漏洞发布后最短时间里解决,缩小影响时间。

       这里要求对全公司所使用的开源项目进行有效的登记记录工作,而且上千人的公司,很有可能会漏掉。一个非常好的点,就是在上线系统中进行开源项目检测。

    1.4 重点

       重点是指对经常报漏洞的项目进行重点关注,确保这些项目:1.不引用或保存重要数据 2.不与其他业务在受信网段 3.更加频繁的重复前面三点

    1.5 重要

       重要项目一定要坚持原则,绝对禁止数据的流动、绝对禁止明文重要数据的存放,即便是ceo说可以也不行。

    二、外攻

       外攻是指通过上面的一系列手段,依旧无法控制短板的项目或人出现,于是要做的事情就是尽一切手段尽快地把这短板找到。

    2.1 外援

       外援有很多,包括各种白帽平台、安全厂商平台。下血本也要和他们搞好关系,心甘情愿被敲诈,当有发现重大短板时第一时间取得联系是非常有效的。

    2.2 自建

       自建安全响应平台是对外援的补充,许多短板像xss sql注入都是很显而易见的问题,许多还不足以“下血本”,但积小成大,经常出现短板的团队,需要考虑技术培训等活动。

    三、另类

       非技术漏洞导致的泄密、个人管理密码被盗、VPN密码被盗等类似的另类事件,要求各部门不应该出现扁平化的权限控制系统,每人控制一块,可以减少个人失误扩大变成灾难。

    四、总结

       一个互联网技术企业,绝对不是老板出多少钱就一定不会再出现安全漏洞的,也不是老板出的钱越多就代表越重视的,真正的重视体现在研发人员的日常工作中。

       你的企业没有出现过安全问题,不代表你的团队没有短板,更不代表你的线上没有漏洞,更不代表你的用户数据没有在黑市上买卖。

       不在乎有没有漏洞,就是认真。

建议继续学习:

  1. 腾讯执行的感悟(安全方向)    (阅读:4904)
  2. 如何让ssh登录更加安全    (阅读:4472)
  3. 微博架构与平台安全演讲稿    (阅读:3770)
  4. 为flash建立socket安全策略文件服务器    (阅读:3658)
  5. php.ini安全配置及使用说明    (阅读:3503)
  6. 查看你服务器的安全性    (阅读:3290)
  7. IT从业人员需要知道的安全知识(1)    (阅读:3297)
  8. 淘宝网:前端安全须知    (阅读:2929)
  9. Mysql 安全    (阅读:2728)
  10. jQuery之保证你的代码安全    (阅读:2528)
QQ技术交流群:445447336,欢迎加入!
扫一扫订阅我的微信号:IT技术博客大学习
© 2009 - 2024 by blogread.cn 微博:@IT技术博客大学习

京ICP备15002552号-1