创业团队如何在低成本的情况下保护网站安全
一般来说,很多安全专家都会告诉你没有绝对的安全,如果***一定要长期盯着你的公司有针对性的***,很少有可以幸免的。
这么说难免令人沮丧,尽管如此,我们仍然不能坐以待毙。就算所有公司都被***黑掉了,我们也希望自己能是最后被黑掉的那一个。同时,如果采取的措施恰当,是有可能将损失降至最低的。
对于创业团队来说,业务发展速度快,运维策略、研发过程可能都不太规范,这给安全工作会带来很多的问题。最常见的是:
1. 代码更新频繁且快速,增加安全检查是一种额外的负担
2. 测试环境、生产环境混乱,程序员、测试、运维可能都有服务器的权限
3. 缺乏必要的策略和流程,以至于产生SVN权限乱给、离职员工还能有权限、员工随意在服务器上开端口暴露出去等诸多问题
以上问题都给安全工作带来了很多困难,而且创业团队一般来说是没有全职的安全工程师岗位的。
根据我的经验,一般公司对安全的重视程度,与这家公司是否出过安全事件有着极大的关系。如果一家公司以前从没有遇到过安全问题,那么也不会有什么决心在安全方面有所投入;相对的是,如果一家公司遭遇过******,并且造成了一定损失,那么对安全问题的态度就会来个一百八十度的转弯。
无论是教科书上,还是我的从业经验,都认定了一个事实:安全工作需要自顶向下展开。无数次教训告诉我们,自底向上展开安全工作,是注定要失败的。
所以如何有效的开展安全工作?最重要的前提,就是公司的管理层能够从战略上重视安全问题。如果最高管理层本身具有很强的安全意识,甚至懂很多***或防御的技术知识,那么安全工作往往会很有成效,而且能够省很多钱。
对于创业团队来说,如何开展安全工作我有如下建议:
1. 定期请第三方安全公司做安全评估
这样你可以减少人力成本的投入,同时让更专业的人做专业的事情。
2. 考虑使用开源或商业的WAF(Web应用防火墙),或者是IPS(***防御系统)
使用WAF的好处是可以尽量少的改动代码,同时为打补丁赢得时间。因为有时候改代码是很麻烦的一件事情,而有些第三方程序的代码改起来就更麻烦了。
3. 合理收紧各种权限
包括数据库、服务器、应用后台、SVN等权限,只把权限开放给需要使用的人。
4. 妥善保管好所有的日志
包括各种应用的日志、Web日志、服务器日志等。需要实时的远程收集起来,远程收集的原因是有的******后的第一件事情就是篡改日志。
5. 给员工做一些安全培训
基本的安全意识还是要有的。经常有***会打客服电话或者发邮件过来搞搞诈骗。同时还要杜绝弱口令,很多管理后台都是因为弱口令被黑掉的。程序员也需要具备一些基本的素质,杜绝常见的不安全代码的写法。
6. 考虑找一套比较合理与靠谱的安全解决方案
解决方案一般考虑三个方面:代码安全如何实现、网络安全策略如何制定、操作系统如何加固。
如果想把整套安全体系跑起来的话,你还需要制定一个安全运营的策略,比如定期扫描网站、审计日志和代码,以及制定应急响应的流程。
注:此文转载于道哥的黑板报:http://taosay.net/
转载于:https://blog.51cto.com/helloeveryone/1283141
创业团队如何在低成本的情况下保护网站安全相关推荐
- linux如何锁定文件夹,如何在没有加密的情况下保护Linux / Unix上的文件夹? | MOS86...
如果您不需要或想要加密计算机上的文件,但希望停止随意窥探,那么在Linux / Unix上密码保护文件夹的最佳方法是什么?今天 今天的问题 照片由Nathan Meijer(Flickr)提供. 问题 ...
- html h1 h2 h3并列,H1、H2、H3标签分别在什么情况下使用?
在seo的工作中,一个好的页面必须有h1\h2\h3,那么,H1.H2.H3标签分别在什么情况下使用? H1.H2.H3标签分别在什么情况下使用? H1:通常用于一个页面最重要的地方,这个要分不同的场 ...
- 网络营销激烈竞争下,网站被黑了怎么办?
随着网络营销竞争力度越来越大,同行业竞争的对手也难免会使些"小手段",让对手猝不及防.一般情况下,网站被黑也不外乎是首页被修改.程序被篡改.网站被恶意加代码.被挂黑链这四种情况,但 ...
- inprivate浏览是什么意思_保护Internet隐私,打开IE浏览器InPrivate浏览默认情况下...
为了更好地保护Internet上用户的隐私,可以使用InPrivate浏览模式,该模式可以防止使用计算机的任何人查看您访问的网页和您查看的内容. 如果您每次都需要在任务栏上的IE浏览器上单击鼠标右键, ...
- 如何在不知道密码的情况下解除excel的工作表中的保护
如何在不知道密码的情况下解除excel的工作表中的保护 在工作过程中经常会遇到打开一个受保护的excel文件,不知道密码只能查看不能进行编辑,那如何在不知道密码的情况下解除excel工作表的保护呢?下 ...
- 入门深度学习,但你知道哪些情况下不该使用深度学习吗?
来源 | hyperparameter.space 编译 | 聂震坤 我知道以深度学习的缺点来开始本文是不合时宜的,但是此前关于深度学习的一大波讨论我觉得可以很好的引出我观点.一切都是从 Jeff L ...
- vue xss 存在_默认情况下,Vue是否为XSS提供安全性或防御XSS?
我试图找出如何保护, 角度的 Vue 反应 抵抗XSS攻击.当我访问Angular官方文档时, , 它说: 为了系统地阻止XSS错误,默认情况下,Angular将所有值视为不可信.当通过属性,属性,样 ...
- 相册权限_苹果手机惊现漏洞?App在未获取相册权限的情况下成功读取照片
近日,知乎上网友爆料发现苹果手机存在漏洞,一款名叫"时间规划局"的App可在未获取相册权限的情况下读取照片.专家猜测可能是App调用了苹果的私有库,绕过了系统的授权机制. 2月26 ...
- 如何在不影响网络的情况下构建边缘计算策略
阅读本文之前先问一下自己这个问题:"为什么我需要使用边缘计算?" 随着越来越多的科技公司宣称他们提供"边缘智能"的能力,边缘计算吸引了众多公司高管们的关注.哪个 ...
最新文章
- 理解Golang的Time结构
- DirectX11 driver类型浅析
- JavaScript学习笔记05【高级——DOM对象】
- Oracle高级SQL培训与讲解
- linux 运行选择哪个cpu核,判断Linux进程在哪个CPU核运行的方法
- 当AI遇上云计算,北京 · DevRun 华为云开发者大会
- poj 3126 BFS
- 惠普服务器装Linux7系统,如何安装惠普服务器操作系统
- 【Linux查看tomcat版本】
- 怎样远程访问 MySQL
- 简书优秀IT专栏作者推荐
- resiprocate 之repro注册
- win10快捷键启动屏幕保护程序
- CRM-数据权限设计
- [Python知识图谱] 一.哈工大pyltp安装及中文分句、中文分词、导入词典基本用法
- 前端获取本地ip和外网ip
- linux 使用c语言如何获取网关地址
- 如何预测用户query意图 « 搜索技术博客-淘宝
- 做一个墨水屏电子钟,炫酷!
- 如何尽量不用百度等远离流氓软件随笔