這里要討論的是，如何讓數(shù)千計(jì)的開發(fā)人員在安全防守安全編程上，得到有效的效果。有人說，我干了xx年，手上從來沒有一個(gè)項(xiàng)目出過安全漏洞; 還有人說，我一個(gè)人做的x項(xiàng)目，也從來沒有出現(xiàn)過安全漏洞; 呵呵，集體的智慧不由個(gè)人意志來控制，木桶漏水取決于最短的一塊。

[[117757]]

一、內(nèi)防

內(nèi)防是需要苦練內(nèi)功的一塊，因?yàn)檎衅笜?biāo)準(zhǔn)不一導(dǎo)致技術(shù)團(tuán)隊(duì)的水平不一，一個(gè)上千人的技術(shù)團(tuán)隊(duì)，一定要有一定的固定流程進(jìn)行上線質(zhì)量的把控。

1.1 基礎(chǔ)

基礎(chǔ)包括了：基礎(chǔ)代碼框架、基礎(chǔ)網(wǎng)絡(luò)環(huán)境、基礎(chǔ)硬件環(huán)境、基礎(chǔ)系統(tǒng)環(huán)境。

基礎(chǔ)代碼框架：統(tǒng)一的去除xss\sql注入等第一層的框架服務(wù)，確保出現(xiàn)在每個(gè)技術(shù)人員的入職學(xué)習(xí)流程中。

基礎(chǔ)網(wǎng)絡(luò)環(huán)境：業(yè)務(wù)隔離和靈活兼顧的網(wǎng)絡(luò)，對基礎(chǔ)運(yùn)維網(wǎng)絡(luò)工程師有更高的要求，確保每一臺(tái)新上線的機(jī)器都在正確安全的網(wǎng)絡(luò)中。

基礎(chǔ)硬件環(huán)境：確保新的硬件出現(xiàn)在正確安全的地方，安全性要求高的硬件有固定的選擇。

基礎(chǔ)系統(tǒng)環(huán)境：新系統(tǒng)的投入，有安全標(biāo)準(zhǔn)的套路安裝和設(shè)置。

1.2 走查

走查使變動(dòng)中的系統(tǒng)周期性也進(jìn)行了安全檢查。

收集：主要是收集服務(wù)，因?yàn)楣敬罅耍鞣N小業(yè)務(wù)未必會(huì)拿得全，特別要關(guān)注邊緣業(yè)務(wù)。一個(gè)非常好的點(diǎn)，就是在上線系統(tǒng)中進(jìn)行收集。

查證：各種偵測手段，掃描腳本，應(yīng)該流程化，代碼化，盡可能縮短全公司運(yùn)行時(shí)間，同時(shí)盡最大可能擴(kuò)大面積。

1.3 緊跟

緊跟是各種開源軟件如果正在被使用，需要對其安全變動(dòng)公告進(jìn)行緊跟。盡可能在重大漏洞發(fā)布后最短時(shí)間里解決，縮小影響時(shí)間。

這里要求對全公司所使用的開源項(xiàng)目進(jìn)行有效的登記記錄工作，而且上千人的公司，很有可能會(huì)漏掉。一個(gè)非常好的點(diǎn)，就是在上線系統(tǒng)中進(jìn)行開源項(xiàng)目檢測。

1.4 重點(diǎn)

重點(diǎn)是指對經(jīng)常報(bào)漏洞的項(xiàng)目進(jìn)行重點(diǎn)關(guān)注，確保這些項(xiàng)目：1.不引用或保存重要數(shù)據(jù) 2.不與其他業(yè)務(wù)在受信網(wǎng)段 3.更加頻繁的重復(fù)前面三點(diǎn)

1.5 重要

重要項(xiàng)目一定要堅(jiān)持原則，絕對禁止數(shù)據(jù)的流動(dòng)、絕對禁止明文重要數(shù)據(jù)的存放，即便是ceo說可以也不行。

二、外攻

外攻是指通過上面的一系列手段，依舊無法控制短板的項(xiàng)目或人出現(xiàn)，于是要做的事情就是盡一切手段盡快地把這短板找到。

2.1 外援

外援有很多，包括各種白帽平臺(tái)、安全廠商平臺(tái)。下血本也要和他們搞好關(guān)系，心甘情愿被敲詐，當(dāng)有發(fā)現(xiàn)重大短板時(shí)第一時(shí)間取得聯(lián)系是非常有效的。

2.2 自建

自建安全響應(yīng)平臺(tái)是對外援的補(bǔ)充，許多短板像xss sql注入都是很顯而易見的問題，許多還不足以“下血本”，但積小成大，經(jīng)常出現(xiàn)短板的團(tuán)隊(duì)，需要考慮技術(shù)培訓(xùn)等活動(dòng)。

三、另類

非技術(shù)漏洞導(dǎo)致的泄密、個(gè)人管理密碼被盜、VPN密碼被盜等類似的另類事件，要求各部門不應(yīng)該出現(xiàn)扁平化的權(quán)限控制系統(tǒng)，每人控制一塊，可以減少個(gè)人失誤擴(kuò)大變成災(zāi)難。

四、總結(jié)

一個(gè)互聯(lián)網(wǎng)技術(shù)企業(yè)，絕對不是老板出多少錢就一定不會(huì)再出現(xiàn)安全漏洞的，也不是老板出的錢越多就代表越重視的，真正的重視體現(xiàn)在研發(fā)人員的日常工作中。

你的企業(yè)沒有出現(xiàn)過安全問題，不代表你的團(tuán)隊(duì)沒有短板，更不代表你的線上沒有漏洞，更不代表你的用戶數(shù)據(jù)沒有在黑市上買賣。

不在乎有沒有漏洞，就是認(rèn)真。