安全无小事--技术团队防守一二三

标签: 安全 技术 团队 | 发表时间:2014-05-25 13:56 | 作者:
出处:http://2014.54chen.com/

以下内容由 [五四陈科学院]提供

事情的经过是这样的:

那天在使用某创业团队的APP时,输入完了微博账号还需要他自己的账号,于是就发了条微博,

然后就有人@我是不是在说小米被脱库的事。。。呵呵!

这里要讨论的是,如何让数千计的开发人员在安全防守安全编程上,得到有效的效果。有人说,我干了xx年,手上从来没有一个项目出过安全漏洞; 还有人说,我一个人做的x项目,也从来没有出现过安全漏洞; 呵呵,集体的智慧不由个人意志来控制,木桶漏水取决于最短的一块。

一、内防

内防是需要苦练内功的一块,因为招聘标准不一导致技术团队的水平不一,一个上千人的技术团队,一定要有一定的固定流程进行上线质量的把控。

1.1 基础

基础包括了:基础代码框架、基础网络环境、基础硬件环境、基础系统环境。

  • 基础代码框架:统一的去除xss\sql注入等第一层的框架服务,确保出现在每个技术人员的入职学习流程中。
  • 基础网络环境:业务隔离和灵活兼顾的网络,对基础运维网络工程师有更高的要求,确保每一台新上线的机器都在正确安全的网络中。
  • 基础硬件环境:确保新的硬件出现在正确安全的地方,安全性要求高的硬件有固定的选择。
  • 基础系统环境:新系统的投入,有安全标准的套路安装和设置。

1.2 走查

走查使变动中的系统周期性也进行了安全检查。

  • 收集:主要是收集服务,因为公司大了,各种小业务未必会拿得全,特别要关注边缘业务。一个非常好的点,就是在上线系统中进行收集。
  • 查证:各种侦测手段,扫描脚本,应该流程化,代码化,尽可能缩短全公司运行时间,同时尽最大可能扩大面积。

1.3 紧跟

紧跟是各种开源软件如果正在被使用,需要对其安全变动公告进行紧跟。尽可能在重大漏洞发布后最短时间里解决,缩小影响时间。

这里要求对全公司所使用的开源项目进行有效的登记记录工作,而且上千人的公司,很有可能会漏掉。一个非常好的点,就是在上线系统中进行开源项目检测。

1.4 重点

重点是指对经常报漏洞的项目进行重点关注,确保这些项目:1.不引用或保存重要数据 2.不与其他业务在受信网段 3.更加频繁的重复前面三点

1.5 重要

重要项目一定要坚持原则,绝对禁止数据的流动、绝对禁止明文重要数据的存放,即便是ceo说可以也不行。

二、外攻

外攻是指通过上面的一系列手段,依旧无法控制短板的项目或人出现,于是要做的事情就是尽一切手段尽快地把这短板找到。

2.1 外援

外援有很多,包括各种白帽平台、安全厂商平台。下血本也要和他们搞好关系,心甘情愿被敲诈,当有发现重大短板时第一时间取得联系是非常有效的。

2.2 自建

自建安全响应平台是对外援的补充,许多短板像xss sql注入都是很显而易见的问题,许多还不足以“下血本”,但积小成大,经常出现短板的团队,需要考虑技术培训等活动。

三、另类

非技术漏洞导致的泄密、个人管理密码被盗、VPN密码被盗等类似的另类事件,要求各部门不应该出现扁平化的权限控制系统,每人控制一块,可以减少个人失误扩大变成灾难。

四、总结

一个互联网技术企业,绝对不是老板出多少钱就一定不会再出现安全漏洞的,也不是老板出的钱越多就代表越重视的,真正的重视体现在研发人员的日常工作中。

你的企业没有出现过安全问题,不代表你的团队没有短板,更不代表你的线上没有漏洞,更不代表你的用户数据没有在黑市上买卖。

不在乎有没有漏洞,就是认真。


想快点找到作者也可以到Twitter上留言: @54chen
或者你懒得带梯子上墙,请到新浪微博: @54chen

相关 [安全 技术 团队] 推荐:

安全无小事--技术团队防守一二三

- - 五四陈科学院
以下内容由 [五四陈科学院]提供. 那天在使用某创业团队的APP时,输入完了微博账号还需要他自己的账号,于是就发了条微博,. 然后就有人@我是不是在说小米被脱库的事. 这里要讨论的是,如何让数千计的开发人员在安全防守安全编程上,得到有效的效果. 有人说,我干了xx年,手上从来没有一个项目出过安全漏洞; 还有人说,我一个人做的x项目,也从来没有出现过安全漏洞; 呵呵,集体的智慧不由个人意志来控制,木桶漏水取决于最短的一块.

谈技术团队目标

- - Tim[后端技术]
技术主管新年想得最多的一件事必定是如何比上一年做得更好. 宏大的目标设定每个团队都会做,谈几个不引人注意的小问题. 见过一些技术团队将计划定义为“按时完成需求”,需求驱动并没有什么不对,但是研发工作仅考虑被动需求的话是很难做好. 之前完成的许多需求有什么共性. 经常出问题/bug/故障的项目/功能/模块是哪些.

了解豆瓣技术团队必看

- - 张沈鹏
文 挑灯看剑@ douban.com. 以下内容按照时间倒叙排列,方便各位阅读,以后不定期更新:. (之前发布的内容,不保证符合现状). 豆瓣首席科学家、算法组leader在程序员杂志上发文《下一代个性化推荐系统》. 豆瓣高级工程总监段念在letagilefly会议上讲豆瓣的技术团队敏捷实践. 豆瓣设计师在极客公园讲豆瓣FM的设计.

说说技术型创业团队的技术选型

- rhyttr - DBA Notes
看到微博上《程序员杂志》在征集"一分钟先生"的话题:如何做好公司/团队的技术选型. 其实大公司或者大一点的团队选型几乎不需要太多讨论的 -- 最后会不可避免的绕到技术官僚的话题上去. 这里我想简单说说技术型创业团队技术上的选型问题. 如果只能选择微软的技术路线,比如团队几个人只会用微软的技术做开发,甚至也不想学别的,那么似乎没有别的办法,将就一下吧.

续——冯大辉谈技术性创业团队的技术选型[原创]

- huyun - 运维进行时
       原文冯大辉谈技术性创业团队的技术选型提到了天涯,好吧. 站在一个天涯从事6年运维工作的角度,我就多说几句,天涯属于破釜沉舟要摆脱这种束缚的这一类. 原因不用多说,文中提到的问题天涯多少都有碰到或存在. 目前已全面拥抱开源技术,这不是一时头脑发热所做出的决定. 根据现状、未来的发展策略理性来选择的.

工程师在创业团队的技术挑战

- cong - DBA Notes
曾经有不少人对我问过类似的问题:作为技术人员在创业团队(或是小公司)工作,技术上没什么挑战,觉得自己得不到锻炼,我该怎么办. 的确,就说互联网这个领域吧,创业团队或是小公司的网站规模往往并不大,或者至少要从小做起,用户访问量和那些大型网站在当下自然没法比,从这个角度上看,很多中小网站的确暂时面临不到这些高并发、大流量、高可用的这些"严峻挑战",另外,团队的职能岗位甚至也没有大型公司那么齐全,人家连做配置管理的团队规模甚至都比你整个公司人多,似乎在小团队作技术的出门都低人家一头,见面不好意思打招呼,真的有必要妄自菲薄么.

如何做好企业/团队的技术选型?

- 【虎.无名】 - 《程序员》杂志官网
好的技术选型,能最大程度地提高企业和团队的效率,从而开发出满足用户需求的产品. 作为一线的技术管理者,他们都是怎样做的呢. 大公司或者大一点的团队的技术选型几乎不需要太多讨论,因为最后会不可避免地绕到技术官僚的话题上去. 这里我简单说说技术型创业团队的技术选型问题. 如果只能选择微软的技术路线,比如团队只会用微软技术,也不想学别的,那么似乎没有别的办法,将就一下吧.

技术团队看板方法实践的难点分析

- - csdnNews
CTO俱乐部看板研修班开课. 北京、上海、深圳三站火热报名中. 感兴趣的朋友可扫描左侧二维码加入看板公开课与路宁、何勉两位讲师直接沟通. 成功加入 CTO俱乐部会员并. 获赠6个月《程序员》iPad/Android版电子刊. 会员权益:个人主页、定期餐叙、最新周刊、折扣优惠、《程序员》杂志、大会门票、人才招聘、每月赠书等,.

关于技术团队管理的胡言乱语

- - 博客园_知识库
  临近年底,接到《程序员》杂志的邀请,希望我能写一篇与团队管理有关的年终盘点文章,盘点2013年业界与团队管理相关的大事. 试想,揪出各个公司在2013年的各种“大事”,指点江山,激扬文字,那种众人皆醉我独醒的感觉是相当的妙不可言. 可细细一想,2013年可以归纳为团队管理大事的事件倒是不少,例如Yahoo!美女CEO宣布取消在家办公制度,最近又按照绩效评估结果排名开始裁员;最近知乎上好事者提出的“你问什么离开xx公司”系列,各种回答纷至沓来,为2013的团队管理大事记提供了不少素材.

马云:如何组建自己的技术团队

- - ITeye博客
创业道路上,我常常把马云当作我的精神领袖,大家看到我平时不管是项目路演还是做创业分享都非常有激情,其实这是我看了很多鸡汤后的表现. 相信也有很多人和我一样,但创业光有满怀激情是不够的,创业做事还是要接地气才行. 最近我发现“技术合伙人”这个关键词非常热,经常在微信群、朋友圈及各种第三方创业社交平台都看到某某项目缺技术合伙人,由于个人职业原因,我经常会通过对方留下的联系方式与其取得沟通的机会.