經(jīng)過(guò)了鳳凰網(wǎng)以及完美世界開(kāi)發(fā)工作的鍛煉，對(duì)于安全開(kāi)發(fā)工作有了一些很好的認(rèn)識(shí)，下面總結(jié)一下過(guò)去的經(jīng)驗(yàn)和教訓(xùn)。

對(duì)于安全開(kāi)發(fā)一定要有一套成熟度模型，例如公司剛開(kāi)始做的時(shí)候定義的級(jí)別可以低一些，可做的事情要少一些。但是隨著熟練程度的增加以及大家對(duì)于安全開(kāi)發(fā)的理解的加深，逐步加深高級(jí)別的安全成熟度模型。

下面就簡(jiǎn)單介紹一下我心中的成熟度模型的相關(guān)控制，未分級(jí)大家可以依靠公司自己的特性來(lái)進(jìn)行補(bǔ)充。

1. 管理安全控制

1.1 建立安全職責(zé)，目標(biāo)就是組織中都明確自己的職責(zé)和責(zé)任

工作內(nèi)容：

a) 組織安全機(jī)構(gòu)組織架構(gòu)圖例如信息安全委員會(huì)等等，這里一定要注意安全機(jī)構(gòu)一定級(jí)別足夠的高，例如屬于董事會(huì)或者CEO下面

b) 文檔化安全角色，職責(zé)，責(zé)任以及授予什么樣的權(quán)限

1.2 管理安全配置

工作內(nèi)容:

a)系統(tǒng)中所有軟件的更新記錄，保證出現(xiàn)問(wèn)題可以很快的追蹤到相對(duì)應(yīng)的版本以及回退

b)系統(tǒng)中所有問(wèn)題的bug記錄以及安全問(wèn)題記錄這樣可以很好的知道現(xiàn)有系統(tǒng)所存在的風(fēng)險(xiǎn)

1.3 安全意識(shí)、培訓(xùn)

工作內(nèi)容:

a) 安全意識(shí)、培訓(xùn)的內(nèi)容的有效性

b)跟蹤用戶對(duì)于培訓(xùn)和意識(shí)課程的理解

c)培訓(xùn)以及安全意識(shí)課程的資料收集，一定要來(lái)源與內(nèi)部，當(dāng)然也可以來(lái)源于外面的安全事件

1.4 管理安全列表

工作內(nèi)容:

a) 收集維護(hù)以及各個(gè)系統(tǒng)的日志

b) 敏感資產(chǎn)的詳細(xì)清單

c) 安全控制失效的原因以及解決方案

1.5  風(fēng)險(xiǎn)評(píng)估

工作內(nèi)容：

a) 識(shí)別安全運(yùn)維過(guò)程中的風(fēng)險(xiǎn)

b) 識(shí)別安全開(kāi)發(fā)過(guò)程中的風(fēng)險(xiǎn)

c) 定義組織內(nèi)統(tǒng)一的安全度量標(biāo)準(zhǔn)

2.協(xié)調(diào)組織內(nèi)的安全角色

2.1  定義協(xié)調(diào)的最終目標(biāo)

工作內(nèi)容:

a) 信息共享的途徑，例如安全部門(mén)一定要建立漏洞管理數(shù)據(jù)庫(kù)保證研發(fā)、運(yùn)維部門(mén)第一時(shí)間得到這些信息，最重要的是要得到他們的相應(yīng)，從這些響應(yīng)中得到相對(duì)應(yīng)的流程，進(jìn)而推動(dòng)了安全部門(mén)的地位，最重要的是保證了安全問(wèn)題第一時(shí)間得到修補(bǔ)。

b) 各個(gè)部門(mén)定義安全員，這樣做的目的可以讓他們?cè)趦?nèi)部幫我們推動(dòng)安全相關(guān)流程。

2.2 協(xié)調(diào)機(jī)制

工作內(nèi)容:

a) 一定要定期或者非定期的進(jìn)行安全溝通，這樣做的目的是第一時(shí)間得到他們對(duì)安全的理解和認(rèn)識(shí)，如果他們出現(xiàn)錯(cuò)誤的認(rèn)識(shí)我們要及時(shí)的進(jìn)行更正，讓他們可以按照我們的想法走

b)一定要注意跟外部安全專(zhuān)家以及安全公司的交流，這樣做可以第一時(shí)間得到最新的安全漏洞以及安全解決方案

3. 組織內(nèi)部建立安全監(jiān)控

3.1 事件記錄

工作內(nèi)容:

a) 一定要記錄到每個(gè)安全事件的詳細(xì)內(nèi)容，這樣做可以形成組織內(nèi)部的問(wèn)題管理庫(kù)。組織第一次發(fā)生事件的時(shí)候可能馬慌腳亂，但是有了這樣的過(guò)程發(fā)現(xiàn)同樣問(wèn)題的時(shí)候可以很好的得到第一時(shí)間解決

b) 安全事件的詳細(xì)分析以及歸納，目的是分類(lèi)安全事件形成相對(duì)應(yīng)的響應(yīng)團(tuán)隊(duì)。

3.2 級(jí)別安全突發(fā)事件

工作內(nèi)容:

a) 一定要事先定義好突發(fā)事件的清單，這樣做的目的是防患于未然。

b) 根據(jù)上面的清單來(lái)列出相對(duì)應(yīng)的突發(fā)事件的響應(yīng)手冊(cè)

c) 突發(fā)事件的逐級(jí)報(bào)告，有的部門(mén)怕?lián)?zé)任隱瞞事件的危害，這樣做的危害非常大，高層不了解安全危險(xiǎn)，他就不能做好很好的決策。

3.3 定義檢查安全防御措施

工作內(nèi)容：

a) 定期檢查WEB安全防御措施

b) 定期檢查操作系統(tǒng)安全措施

c) 定期檢查網(wǎng)絡(luò)安全措施

d) 定期檢查人員安全措施

3.4 突發(fā)事件響應(yīng)內(nèi)容

工作內(nèi)容:

a) 系統(tǒng)優(yōu)先恢復(fù)的列表，重要的系統(tǒng)得到DDOS或者其他重要攻擊的時(shí)候先要恢復(fù)那些列表。

b) 應(yīng)急響應(yīng)計(jì)劃，定義突發(fā)事件的響應(yīng)計(jì)劃，定期非定期進(jìn)行演練。

4. 安全組提供相對(duì)應(yīng)的安全建議

4.1 提供安全編碼建議

工作內(nèi)容：

a) 安全設(shè)計(jì)原則，安全編碼規(guī)范以及威脅建模、威脅樹(shù)分析

b) 定義安全體系架構(gòu)以及查找對(duì)應(yīng)的信任關(guān)系，著重注意信任關(guān)系，因?yàn)樾湃侮P(guān)系是最容易出現(xiàn)問(wèn)題的地方

4.2 提供安全運(yùn)維指南

工作內(nèi)容：

a) 安全加固手冊(cè)

b) 安全流程風(fēng)險(xiǎn)分析以及對(duì)應(yīng)的解決方案

4.3  識(shí)別安全需求

工作內(nèi)容：

a) 根據(jù)需求文檔得到安全需求列表

b) 注意隱私保護(hù)以及法律法規(guī)的限制

c) 實(shí)現(xiàn)統(tǒng)一的安全防御措施，這里主要目的是針對(duì)一類(lèi)問(wèn)題進(jìn)行統(tǒng)一的處理

5. 驗(yàn)證

5.1 驗(yàn)證安全編碼漏洞

工作內(nèi)容：

a) 利用owasp ASDR進(jìn)行威脅分析，同時(shí)編寫(xiě)對(duì)應(yīng)的安全測(cè)試手冊(cè)

b) 利用上線前檢查來(lái)測(cè)試相對(duì)應(yīng)的風(fēng)險(xiǎn)

c)測(cè)試框架類(lèi)安全例如Spring,Struts以及zendframework以及其他相關(guān)的MVC架構(gòu)

5.2 驗(yàn)證系統(tǒng)安全漏洞

工作內(nèi)容:

a) 利用相對(duì)應(yīng)的框架來(lái)進(jìn)行系統(tǒng)安全漏洞檢查，例如OSSTMM,ISSAF等框架

5.3 驗(yàn)證網(wǎng)絡(luò)漏洞

工作內(nèi)容:

a) 利用相關(guān)的測(cè)試工具來(lái)進(jìn)行驗(yàn)證網(wǎng)絡(luò)漏洞

由于安全開(kāi)發(fā)的工作非常多，所以我只是大概寫(xiě)了一些關(guān)鍵點(diǎn)，這些關(guān)鍵點(diǎn)展開(kāi)的話工作量那是相當(dāng)?shù)拇蟀。员ＷC一個(gè)軟件或者WEB程序的安全運(yùn)行絕非一朝一夕簡(jiǎn)簡(jiǎn)單單的。