创业团队如何在低成本的情况下保护自己的网站安全?
- - 知乎每日精选一般来说,很多安全专家都会告诉你没有绝对的安全,如果黑客一定要长期盯着你的公司有针对性的渗透,很少有可以幸免的. 这么说难免令人沮丧,尽管如此,我们仍然不能坐以待毙. 就算所有公司都被黑客黑掉了,我们也希望自己能是最后被黑掉的那一个. 同时,如果采取的措施恰当,是有可能将损失降至最低的. 对于创业团队来说,业务发展速度快,运维策略、研发过程可能都不太规范,这给安全工作会带来很多的问题.
创业团队如何在低成本的情况下保护自己的网站安全?
标签:
创业
团队
成本
| 发表时间:2013-08-27 11:32 | 作者:大风
出处:http://www.zhihu.com
简略答一下。
一般来说,很多安全专家都会告诉你没有绝对的安全,如果黑客一定要长期盯着你的公司有针对性的渗透,很少有可以幸免的。
这么说难免令人沮丧,尽管如此,我们仍然不能坐以待毙。就算所有公司都被黑客黑掉了,我们也希望自己能是最后被黑掉的那一个。同时,如果采取的措施恰当,是有可能将损失降至最低的。
对于创业团队来说,业务发展速度快,运维策略、研发过程可能都不太规范,这给安全工作会带来很多的问题。最常见的是:
1. 代码更新频繁且快速,增加安全检查是一种额外的负担
2. 测试环境、生产环境混乱,程序员、测试、运维可能都有服务器的权限
3. 缺乏必要的策略和流程,以至于产生SVN权限乱给、离职员工还能有权限、员工随意在服务器上开端口暴露出去等诸多问题
以上问题都给安全工作带来了很多困难,而且创业团队一般来说是没有全职的安全工程师岗位的。
根据我的经验,一般公司对安全的重视程度,与这家公司是否出过安全事件有着极大的关系。如果一家公司以前从没有遇到过安全问题,那么也不会有什么决心在安全方面有所投入;相对的是,如果一家公司遭遇过黑客攻击,并且造成了一定损失,那么对安全问题的态度就会来个一百八十度的转弯。
无论是教科书上,还是我的从业经验,都认定了一个事实:安全工作需要自顶向下展开。无数次教训告诉我们,自底向上展开安全工作,是注定要失败的。
所以如何有效的开展安全工作?最重要的前提,就是公司的管理层能够从战略上重视安全问题。如果最高管理层本身具有很强的安全意识,甚至懂很多攻击或防御的技术知识,那么安全工作往往会很有成效,而且能够省很多钱。
对于创业团队来说,如何开展安全工作我有如下建议:
1. 定期请第三方安全公司做安全评估
这样你可以减少人力成本的投入,同时让更专业的人做专业的事情。
2. 考虑使用开源或商业的WAF(Web应用防火墙),或者是IPS(入侵防御系统)
使用WAF的好处是可以尽量少的改动代码,同时为打补丁赢得时间。因为有时候改代码是很麻烦的一件事情,而有些第三方程序的代码改起来就更麻烦了。
3. 合理收紧各种权限
包括数据库、服务器、应用后台、SVN等权限,只把权限开放给需要使用的人。
4. 妥善保管好所有的日志
包括各种应用的日志、Web日志、服务器日志等。需要实时的远程收集起来,远程收集的原因是有的黑客入侵后的第一件事情就是篡改日志。
5. 给员工做一些安全培训
基本的安全意识还是要有的。经常有黑客会打客服电话或者发邮件过来搞搞诈骗。同时还要杜绝弱口令,很多管理后台都是因为弱口令被黑掉的。程序员也需要具备一些基本的素质,杜绝常见的不安全代码的写法。
6. 考虑找一套比较合理与靠谱的安全解决方案
解决方案一般考虑三个方面:代码安全如何实现、网络安全策略如何制定、操作系统如何加固。
如果想把整套安全体系跑起来的话,你还需要制定一个安全运营的策略,比如定期扫描网站、审计日志和代码,以及制定应急响应的流程。
大致就这些了,写着写着发现和一般公司做安全差不多了,安全想做好确实不容易,有条件的话还是招聘专业的人吧。
回到题主最开始的问题“低成本”上来。
以上几点都有不花钱的方式,定期的安全评估可以用定期的扫描替代,不过效果要差上一些。还有取巧的方式是向安全社区公开征集漏洞,并有奖答谢,成本也不会很高,但效果却出奇的好。
— 完 —
本文作者: 大风
【知乎日报——比新闻更多】听亲历者和内行专家八仙过海谈新闻,离现场更近一点。
下载知乎新 app - 知乎日报客户端(Android / iPhone 同步上架):
http://daily.zhihu.com/download
此问题还有 4 个回答,查看全部。
延伸阅读:
创业初期如何在没有资金的的情况下组建自己的团队,没技术怎么办?
创业者该如何为自己的创业团队办公地点选址?
一般来说,很多安全专家都会告诉你没有绝对的安全,如果黑客一定要长期盯着你的公司有针对性的渗透,很少有可以幸免的。
这么说难免令人沮丧,尽管如此,我们仍然不能坐以待毙。就算所有公司都被黑客黑掉了,我们也希望自己能是最后被黑掉的那一个。同时,如果采取的措施恰当,是有可能将损失降至最低的。
对于创业团队来说,业务发展速度快,运维策略、研发过程可能都不太规范,这给安全工作会带来很多的问题。最常见的是:
1. 代码更新频繁且快速,增加安全检查是一种额外的负担
2. 测试环境、生产环境混乱,程序员、测试、运维可能都有服务器的权限
3. 缺乏必要的策略和流程,以至于产生SVN权限乱给、离职员工还能有权限、员工随意在服务器上开端口暴露出去等诸多问题
以上问题都给安全工作带来了很多困难,而且创业团队一般来说是没有全职的安全工程师岗位的。
根据我的经验,一般公司对安全的重视程度,与这家公司是否出过安全事件有着极大的关系。如果一家公司以前从没有遇到过安全问题,那么也不会有什么决心在安全方面有所投入;相对的是,如果一家公司遭遇过黑客攻击,并且造成了一定损失,那么对安全问题的态度就会来个一百八十度的转弯。
无论是教科书上,还是我的从业经验,都认定了一个事实:安全工作需要自顶向下展开。无数次教训告诉我们,自底向上展开安全工作,是注定要失败的。
所以如何有效的开展安全工作?最重要的前提,就是公司的管理层能够从战略上重视安全问题。如果最高管理层本身具有很强的安全意识,甚至懂很多攻击或防御的技术知识,那么安全工作往往会很有成效,而且能够省很多钱。
对于创业团队来说,如何开展安全工作我有如下建议:
1. 定期请第三方安全公司做安全评估
这样你可以减少人力成本的投入,同时让更专业的人做专业的事情。
2. 考虑使用开源或商业的WAF(Web应用防火墙),或者是IPS(入侵防御系统)
使用WAF的好处是可以尽量少的改动代码,同时为打补丁赢得时间。因为有时候改代码是很麻烦的一件事情,而有些第三方程序的代码改起来就更麻烦了。
3. 合理收紧各种权限
包括数据库、服务器、应用后台、SVN等权限,只把权限开放给需要使用的人。
4. 妥善保管好所有的日志
包括各种应用的日志、Web日志、服务器日志等。需要实时的远程收集起来,远程收集的原因是有的黑客入侵后的第一件事情就是篡改日志。
5. 给员工做一些安全培训
基本的安全意识还是要有的。经常有黑客会打客服电话或者发邮件过来搞搞诈骗。同时还要杜绝弱口令,很多管理后台都是因为弱口令被黑掉的。程序员也需要具备一些基本的素质,杜绝常见的不安全代码的写法。
6. 考虑找一套比较合理与靠谱的安全解决方案
解决方案一般考虑三个方面:代码安全如何实现、网络安全策略如何制定、操作系统如何加固。
如果想把整套安全体系跑起来的话,你还需要制定一个安全运营的策略,比如定期扫描网站、审计日志和代码,以及制定应急响应的流程。
大致就这些了,写着写着发现和一般公司做安全差不多了,安全想做好确实不容易,有条件的话还是招聘专业的人吧。
回到题主最开始的问题“低成本”上来。
以上几点都有不花钱的方式,定期的安全评估可以用定期的扫描替代,不过效果要差上一些。还有取巧的方式是向安全社区公开征集漏洞,并有奖答谢,成本也不会很高,但效果却出奇的好。
— 完 —
本文作者: 大风
【知乎日报——比新闻更多】听亲历者和内行专家八仙过海谈新闻,离现场更近一点。
下载知乎新 app - 知乎日报客户端(Android / iPhone 同步上架):
http://daily.zhihu.com/download
此问题还有 4 个回答,查看全部。
延伸阅读:
创业初期如何在没有资金的的情况下组建自己的团队,没技术怎么办?
创业者该如何为自己的创业团队办公地点选址?
相关 [创业 团队 成本] 推荐:
创业团队怎样邀请伙伴
- wen - 坏脾气的小肥可能是因为我长得帅,最近几个月收到了十几个创业团队的邀请. 在与创业团队接触的过程中,略微吃惊地发现,大部分邀请没什么技巧,甚至有明显不得体的地方. 我不知道这种邀请方式能有多大效果. 对普通员工,人家跟你谈的是待遇;对核心伙伴,又显得傲慢或者轻率. 不止一个团队在初次接触我的时候,一来就问,你在哪家公司,担任什么职务.
对创业团队组建随感
- - 人月神话的BLOG最近有朋友问我对于组建一个创业型团队有哪些建议或感想,我自己没有真正组建过,不敢谈真正的建议,只能说根据自己的一些观察有一些这方面的杂感. 如果你完全是牵头人,组建的时候自己一定要出钱,不要是自己只出技术完全靠别人出钱,这跟知道哪支股票要涨缺自己不愿意投钱,借别人的钱来投资,还告诉别人赚钱了平分亏钱了你担着一样的道理.
互联网创业团队都使用些什么工具?
- blankyao - 爱范儿 · Beats of Bits对于任何一个白手起家的互联网创业团队而言,能找到经济且功能强大的运营和组织工具是一件相当重要的事情. Best Vendor 通过550份抽样的调查,制作了这份颇为详尽的创业团队的最常用工具集. 这份调查的抽样对象主要是来自于小型创业公司的市场和管理人员,且近半数人都就职于科技公司. 可以说,从如此构成的调查对象所得到的数据对想从事互联网创业的读者有非常实用的借鉴意义.
如何组建一个疯狂而伟大的创业团队?
- nicing - 每日鲜果精选本文作者Jenn Houser是一位知名的连环创业者和初创公司顾问,这是她最近在MIT的斯隆商学院讲“如何组建疯狂而伟大的创业团队”的话题的整理稿. 我很喜欢这个话题,所以在这里分享给大家. 先要搞清楚一个问题,创业团队应该怎么样,为什么要组建疯狂而伟大的创业团队. 你是和你的联合创始人“配对的”,不管是在情感上还是财务上.
工程师在创业团队的技术挑战
- cong - DBA Notes曾经有不少人对我问过类似的问题:作为技术人员在创业团队(或是小公司)工作,技术上没什么挑战,觉得自己得不到锻炼,我该怎么办. 的确,就说互联网这个领域吧,创业团队或是小公司的网站规模往往并不大,或者至少要从小做起,用户访问量和那些大型网站在当下自然没法比,从这个角度上看,很多中小网站的确暂时面临不到这些高并发、大流量、高可用的这些"严峻挑战",另外,团队的职能岗位甚至也没有大型公司那么齐全,人家连做配置管理的团队规模甚至都比你整个公司人多,似乎在小团队作技术的出门都低人家一头,见面不好意思打招呼,真的有必要妄自菲薄么.
说说技术型创业团队的技术选型
- rhyttr - DBA Notes看到微博上《程序员杂志》在征集"一分钟先生"的话题:如何做好公司/团队的技术选型. 其实大公司或者大一点的团队选型几乎不需要太多讨论的 -- 最后会不可避免的绕到技术官僚的话题上去. 这里我想简单说说技术型创业团队技术上的选型问题. 如果只能选择微软的技术路线,比如团队几个人只会用微软的技术做开发,甚至也不想学别的,那么似乎没有别的办法,将就一下吧.
加入创业团队需要具备的9点素质[转]
- 火锅土豆 - 互联网产品经理—高巍谈互联网产品管理、产品创新及设计作者:西涯无忌:网站(www.lezipu.com),博客(http://horusming.blog.163.com/). 来源:http://horusming.blog.163.com/blog/static/8180263720105210729435/. 你究竟是想要一份稳定的工作,还是去一个创业团队里打拼.
来自日本创业团队的TechCrunch Disrupt攻略心得
- pestwave - 36氪编者按:近期召开的TechCrunch Disrupt大会俨然成为互联网界的创意盛会,能够在这里崭露头角是许多创业团队的目标. 近年来,世界各地的团队纷纷在此一展身手. 今天向大家介绍一家日本年轻团队的参会心得,希望在不远的将来,能够在这里看到中国人的身影,大家一起加油吧. 日本智能手机应用开发创意团队Genesix,最近在美国召开的TechCrunch Disrupt上,展示了其语音社区应用[Jumvo].
【案例分析】创业团队如何做好时间管理
- - 时间管理行动家 | GTDLife前一段时间有机会接触到一个移动互联网的创业团队,和他们坐在一起交流了一些如何提高效率的问题,他们是非常有活力的团队. 最后我们一起建立了能帮他们提高效率、协同工作的系统,现在总结一下拿出来,希望和大家一起探讨交流. 发起人:有点像项目经理,负责整体运营和进度掌控. 发起人和这两个开发人员非常熟悉,但是两个开发人员之间此前没有见过面.