安全无小事——技术团队防守

  这里要讨论的是,如何让数千计的开发人员在安全防守安全编程上,得到有效的效果。有人说,我干了xx年,手上从来没有一个项目出过安全漏洞; 还有人说,我一个人做的x项目,也从来没有出现过安全漏洞; 呵呵,集体的智慧不由个人意志来控制,木桶漏水取决于最短的一块。

  一、内防

  内防是需要苦练内功的一块,因为招聘标准不一导致技术团队的水平不一,一个上千人的技术团队,一定要有一定的固定流程进行上线质量的把控。

  1.1 基础

  基础包括了:基础代码框架、基础网络环境、基础硬件环境、基础系统环境。

  基础代码框架:统一的去除xsssql注入等第一层的框架服务,确保出现在每个技术人员的入职学习流程中。

  基础网络环境:业务隔离和灵活兼顾的网络,对基础运维网络工程师有更高的要求,确保每一台新上线的机器都在正确安全的网络中。

  基础硬件环境:确保新的硬件出现在正确安全的地方,安全性要求高的硬件有固定的选择。

  基础系统环境:新系统的投入,有安全标准的套路安装和设置。

  1.2 走查

  走查使变动中的系统周期性也进行了安全检查。

  收集:主要是收集服务,因为公司大了,各种小业务未必会拿得全,特别要关注边缘业务。一个非常好的点,就是在上线系统中进行收集。

  查证:各种侦测手段,扫描脚本,应该流程化,代码化,尽可能缩短全公司运行时间,同时尽最大可能扩大面积。

  1.3 紧跟

  紧跟是各种开源软件如果正在被使用,需要对其安全变动公告进行紧跟。尽可能在重大漏洞发布后最短时间里解决,缩小影响时间。

  这里要求对全公司所使用的开源项目进行有效的登记记录工作,而且上千人的公司,很有可能会漏掉。一个非常好的点,就是在上线系统中进行开源项目检测。

  1.4 重点

  重点是指对经常报漏洞的项目进行重点关注,确保这些项目:1.不引用或保存重要数据 2.不与其他业务在受信网段 3.更加频繁的重复前面三点

  1.5 重要

  重要项目一定要坚持原则,绝对禁止数据的流动、绝对禁止明文重要数据的存放,即便是ceo说可以也不行。

  二、外攻

  外攻是指通过上面的一系列手段,依旧无法控制短板的项目或人出现,于是要做的事情就是尽一切手段尽快地把这短板找到。

  2.1 外援

  外援有很多,包括各种白帽平台、安全厂商平台。下血本也要和他们搞好关系,心甘情愿被敲诈,当有发现重大短板时第一时间取得联系是非常有效的。

  2.2 自建

  自建安全响应平台是对外援的补充,许多短板像xss sql注入都是很显而易见的问题,许多还不足以“下血本”,但积小成大,经常出现短板的团队,需要考虑技术培训等活动。

  三、另类

  非技术漏洞导致的泄密、个人管理密码被盗、VPN密码被盗等类似的另类事件,要求各部门不应该出现扁平化的权限控制系统,每人控制一块,可以减少个人失误扩大变成灾难。

  四、总结

  一个互联网技术企业,绝对不是老板出多少钱就一定不会再出现安全漏洞的,也不是老板出的钱越多就代表越重视的,真正的重视体现在研发人员的日常工作中。

  你的企业没有出现过安全问题,不代表你的团队没有短板,更不代表你的线上没有漏洞,更不代表你的用户数据没有在黑市上买卖。

  不在乎有没有漏洞,就是认真。

上一篇:安卓防火墙 PS DroidWall

下一篇:P2P平台遭遇“黑客劫” 暴露技术软肋