日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
安全無小事——技術(shù)團隊防守

這里要討論的是,如何讓數(shù)千計的開發(fā)人員在安全防守安全編程上,得到有效的效果。有人說,我干了xx年,手上從來沒有一個項目出過安全漏洞; 還有人說,我一個人做的x項目,也從來沒有出現(xiàn)過安全漏洞; 呵呵,集體的智慧不由個人意志來控制,木桶漏水取決于最短的一塊。

讓客戶滿意是我們工作的目標(biāo),不斷超越客戶的期望值來自于我們對這個行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡單的方式提供給客戶,將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價值的長期合作伙伴,公司提供的服務(wù)項目有:主機域名、雅安服務(wù)器托管、營銷軟件、網(wǎng)站建設(shè)、長壽網(wǎng)站維護(hù)、網(wǎng)站推廣。

一、內(nèi)防

內(nèi)防是需要苦練內(nèi)功的一塊,因為招聘標(biāo)準(zhǔn)不一導(dǎo)致技術(shù)團隊的水平不一,一個上千人的技術(shù)團隊,一定要有一定的固定流程進(jìn)行上線質(zhì)量的把控。

1.1 基礎(chǔ)

基礎(chǔ)包括了:基礎(chǔ)代碼框架、基礎(chǔ)網(wǎng)絡(luò)環(huán)境、基礎(chǔ)硬件環(huán)境、基礎(chǔ)系統(tǒng)環(huán)境。

基礎(chǔ)代碼框架:統(tǒng)一的去除xss\sql注入等第一層的框架服務(wù),確保出現(xiàn)在每個技術(shù)人員的入職學(xué)習(xí)流程中。

基礎(chǔ)網(wǎng)絡(luò)環(huán)境:業(yè)務(wù)隔離和靈活兼顧的網(wǎng)絡(luò),對基礎(chǔ)運維網(wǎng)絡(luò)工程師有更高的要求,確保每一臺新上線的機器都在正確安全的網(wǎng)絡(luò)中。

基礎(chǔ)硬件環(huán)境:確保新的硬件出現(xiàn)在正確安全的地方,安全性要求高的硬件有固定的選擇。

基礎(chǔ)系統(tǒng)環(huán)境:新系統(tǒng)的投入,有安全標(biāo)準(zhǔn)的套路安裝和設(shè)置。

1.2 走查

走查使變動中的系統(tǒng)周期性也進(jìn)行了安全檢查。

收集:主要是收集服務(wù),因為公司大了,各種小業(yè)務(wù)未必會拿得全,特別要關(guān)注邊緣業(yè)務(wù)。一個非常好的點,就是在上線系統(tǒng)中進(jìn)行收集。

查證:各種偵測手段,掃描腳本,應(yīng)該流程化,代碼化,盡可能縮短全公司運行時間,同時盡最大可能擴大面積。

1.3 緊跟

緊跟是各種開源軟件如果正在被使用,需要對其安全變動公告進(jìn)行緊跟。盡可能在重大漏洞發(fā)布后最短時間里解決,縮小影響時間。

這里要求對全公司所使用的開源項目進(jìn)行有效的登記記錄工作,而且上千人的公司,很有可能會漏掉。一個非常好的點,就是在上線系統(tǒng)中進(jìn)行開源項目檢測。

1.4 重點

重點是指對經(jīng)常報漏洞的項目進(jìn)行重點關(guān)注,確保這些項目:1.不引用或保存重要數(shù)據(jù) 2.不與其他業(yè)務(wù)在受信網(wǎng)段 3.更加頻繁的重復(fù)前面三點

1.5 重要

重要項目一定要堅持原則,絕對禁止數(shù)據(jù)的流動、絕對禁止明文重要數(shù)據(jù)的存放,即便是ceo說可以也不行。

二、外攻

外攻是指通過上面的一系列手段,依舊無法控制短板的項目或人出現(xiàn),于是要做的事情就是盡一切手段盡快地把這短板找到。

2.1 外援

外援有很多,包括各種白帽平臺、安全廠商平臺。下血本也要和他們搞好關(guān)系,心甘情愿被敲詐,當(dāng)有發(fā)現(xiàn)重大短板時第一時間取得聯(lián)系是非常有效的。

2.2 自建

自建安全響應(yīng)平臺是對外援的補充,許多短板像xss sql注入都是很顯而易見的問題,許多還不足以“下血本”,但積小成大,經(jīng)常出現(xiàn)短板的團隊,需要考慮技術(shù)培訓(xùn)等活動。

三、另類

非技術(shù)漏洞導(dǎo)致的泄密、個人管理密碼被盜、VPN密碼被盜等類似的另類事件,要求各部門不應(yīng)該出現(xiàn)扁平化的權(quán)限控制系統(tǒng),每人控制一塊,可以減少個人失誤擴大變成災(zāi)難。

四、總結(jié)

一個互聯(lián)網(wǎng)技術(shù)企業(yè),絕對不是老板出多少錢就一定不會再出現(xiàn)安全漏洞的,也不是老板出的錢越多就代表越重視的,真正的重視體現(xiàn)在研發(fā)人員的日常工作中。

你的企業(yè)沒有出現(xiàn)過安全問題,不代表你的團隊沒有短板,更不代表你的線上沒有漏洞,更不代表你的用戶數(shù)據(jù)沒有在黑市上買賣。

不在乎有沒有漏洞,就是認(rèn)真。


本文標(biāo)題:安全無小事——技術(shù)團隊防守
文章位置:http://m.5511xx.com/article/coigjdg.html