日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
安全無(wú)小事——技術(shù)團(tuán)隊(duì)防守

這里要討論的是,如何讓數(shù)千計(jì)的開(kāi)發(fā)人員在安全防守安全編程上,得到有效的效果。有人說(shuō),我干了xx年,手上從來(lái)沒(méi)有一個(gè)項(xiàng)目出過(guò)安全漏洞; 還有人說(shuō),我一個(gè)人做的x項(xiàng)目,也從來(lái)沒(méi)有出現(xiàn)過(guò)安全漏洞; 呵呵,集體的智慧不由個(gè)人意志來(lái)控制,木桶漏水取決于最短的一塊。

讓客戶滿意是我們工作的目標(biāo),不斷超越客戶的期望值來(lái)自于我們對(duì)這個(gè)行業(yè)的熱愛(ài)。我們立志把好的技術(shù)通過(guò)有效、簡(jiǎn)單的方式提供給客戶,將通過(guò)不懈努力成為客戶在信息化領(lǐng)域值得信任、有價(jià)值的長(zhǎng)期合作伙伴,公司提供的服務(wù)項(xiàng)目有:主機(jī)域名、雅安服務(wù)器托管、營(yíng)銷軟件、網(wǎng)站建設(shè)、長(zhǎng)壽網(wǎng)站維護(hù)、網(wǎng)站推廣。

一、內(nèi)防

內(nèi)防是需要苦練內(nèi)功的一塊,因?yàn)檎衅笜?biāo)準(zhǔn)不一導(dǎo)致技術(shù)團(tuán)隊(duì)的水平不一,一個(gè)上千人的技術(shù)團(tuán)隊(duì),一定要有一定的固定流程進(jìn)行上線質(zhì)量的把控。

1.1 基礎(chǔ)

基礎(chǔ)包括了:基礎(chǔ)代碼框架、基礎(chǔ)網(wǎng)絡(luò)環(huán)境、基礎(chǔ)硬件環(huán)境、基礎(chǔ)系統(tǒng)環(huán)境。

基礎(chǔ)代碼框架:統(tǒng)一的去除xss\sql注入等第一層的框架服務(wù),確保出現(xiàn)在每個(gè)技術(shù)人員的入職學(xué)習(xí)流程中。

基礎(chǔ)網(wǎng)絡(luò)環(huán)境:業(yè)務(wù)隔離和靈活兼顧的網(wǎng)絡(luò),對(duì)基礎(chǔ)運(yùn)維網(wǎng)絡(luò)工程師有更高的要求,確保每一臺(tái)新上線的機(jī)器都在正確安全的網(wǎng)絡(luò)中。

基礎(chǔ)硬件環(huán)境:確保新的硬件出現(xiàn)在正確安全的地方,安全性要求高的硬件有固定的選擇。

基礎(chǔ)系統(tǒng)環(huán)境:新系統(tǒng)的投入,有安全標(biāo)準(zhǔn)的套路安裝和設(shè)置。

1.2 走查

走查使變動(dòng)中的系統(tǒng)周期性也進(jìn)行了安全檢查。

收集:主要是收集服務(wù),因?yàn)楣敬罅?,各種小業(yè)務(wù)未必會(huì)拿得全,特別要關(guān)注邊緣業(yè)務(wù)。一個(gè)非常好的點(diǎn),就是在上線系統(tǒng)中進(jìn)行收集。

查證:各種偵測(cè)手段,掃描腳本,應(yīng)該流程化,代碼化,盡可能縮短全公司運(yùn)行時(shí)間,同時(shí)盡最大可能擴(kuò)大面積。

1.3 緊跟

緊跟是各種開(kāi)源軟件如果正在被使用,需要對(duì)其安全變動(dòng)公告進(jìn)行緊跟。盡可能在重大漏洞發(fā)布后最短時(shí)間里解決,縮小影響時(shí)間。

這里要求對(duì)全公司所使用的開(kāi)源項(xiàng)目進(jìn)行有效的登記記錄工作,而且上千人的公司,很有可能會(huì)漏掉。一個(gè)非常好的點(diǎn),就是在上線系統(tǒng)中進(jìn)行開(kāi)源項(xiàng)目檢測(cè)。

1.4 重點(diǎn)

重點(diǎn)是指對(duì)經(jīng)常報(bào)漏洞的項(xiàng)目進(jìn)行重點(diǎn)關(guān)注,確保這些項(xiàng)目:1.不引用或保存重要數(shù)據(jù) 2.不與其他業(yè)務(wù)在受信網(wǎng)段 3.更加頻繁的重復(fù)前面三點(diǎn)

1.5 重要

重要項(xiàng)目一定要堅(jiān)持原則,絕對(duì)禁止數(shù)據(jù)的流動(dòng)、絕對(duì)禁止明文重要數(shù)據(jù)的存放,即便是ceo說(shuō)可以也不行。

二、外攻

外攻是指通過(guò)上面的一系列手段,依舊無(wú)法控制短板的項(xiàng)目或人出現(xiàn),于是要做的事情就是盡一切手段盡快地把這短板找到。

2.1 外援

外援有很多,包括各種白帽平臺(tái)、安全廠商平臺(tái)。下血本也要和他們搞好關(guān)系,心甘情愿被敲詐,當(dāng)有發(fā)現(xiàn)重大短板時(shí)第一時(shí)間取得聯(lián)系是非常有效的。

2.2 自建

自建安全響應(yīng)平臺(tái)是對(duì)外援的補(bǔ)充,許多短板像xss sql注入都是很顯而易見(jiàn)的問(wèn)題,許多還不足以“下血本”,但積小成大,經(jīng)常出現(xiàn)短板的團(tuán)隊(duì),需要考慮技術(shù)培訓(xùn)等活動(dòng)。

三、另類

非技術(shù)漏洞導(dǎo)致的泄密、個(gè)人管理密碼被盜、VPN密碼被盜等類似的另類事件,要求各部門(mén)不應(yīng)該出現(xiàn)扁平化的權(quán)限控制系統(tǒng),每人控制一塊,可以減少個(gè)人失誤擴(kuò)大變成災(zāi)難。

四、總結(jié)

一個(gè)互聯(lián)網(wǎng)技術(shù)企業(yè),絕對(duì)不是老板出多少錢(qián)就一定不會(huì)再出現(xiàn)安全漏洞的,也不是老板出的錢(qián)越多就代表越重視的,真正的重視體現(xiàn)在研發(fā)人員的日常工作中。

你的企業(yè)沒(méi)有出現(xiàn)過(guò)安全問(wèn)題,不代表你的團(tuán)隊(duì)沒(méi)有短板,更不代表你的線上沒(méi)有漏洞,更不代表你的用戶數(shù)據(jù)沒(méi)有在黑市上買(mǎi)賣。

不在乎有沒(méi)有漏洞,就是認(rèn)真。


標(biāo)題名稱:安全無(wú)小事——技術(shù)團(tuán)隊(duì)防守
文章鏈接:http://m.5511xx.com/article/coigjdg.html