![在这里插入图片描述](https://i-blog.csdnimg.cn/blog_migrate/fefbccddf848b94c196a67eb825fd6d3.png)
问题
- 问题
- 信息安全问题给人们的生活带来了很多坏的影响,经济上,精神上等等
分析
数据泄露攻击方式
- 利用程序框架或库的已知漏洞
- 暴力破解密码
- 代码注入
- 利用程序日志不小心泄露的信息
- 社会工程学,员工安全意识薄弱
- 数据管理上的问题
- 只有一层安全
- 弱密码
- 向公网暴露了内部系统
- 对系统及时打安全补丁
- 安全日志被暴露
- 保存了不必要保存的用户数据
- 密码没有被合理地散列
-
学而思
不存在的东西才是最安全的,所以业务处理中,不必须需要的用户数据不要保存,日志中也不要添加敏感数据.采用安全的加密,不用md5,当前项目就采用了证书,了解其流程
解决
专家建议
-
理解你的软件产品中使用了哪些支持性框架和库,它们的版本号分别是多少。时刻跟踪影响这些产品和版本的最新安全性声明.
-
建立一个流程,来快速地部署带有安全补丁的软件产品发布版,这样一旦需要因为安全方面的原因而更新支持性框架或库,就可以快速地发布.
-
所有复杂的软件都有漏洞。要有这种意识.
-
建立多个安全层.在一个面向公网的表示层(比如 Apache Struts 框架)后面建立多级有安全防护的层次,是一种良好的软件工程实践。就算表示层被攻破,也不会直接提供出重要(或所有)后台信息资的访问权。
-
针对公网资源,建立对异常访问模式的监控机制。
- 学而思
- 了解你的项目所使用的技术和版本很重要
- 针对于快速发布版本建立一套机制,应对各种情况
- 复杂软件有漏洞,这是事实,不要在其对立面建立假设,避免造成0推1问题
- 监控异常
技术做法
- 一般来说,在这个区域内,这些敏感数据只入不出。通过提供服务接口来让别的系统只能在这个区域内操作这些数据,而不是把数据传出去,让别的系统在外部来操作这些数据。
- 双因子认证
- 物理身份验证
-
学而思
传标识,操作后返结果,不给调用者敏感信息
总结
要建立这种安全意识,有了这种意识,可以更容易理解项目的架构,结合架构知识,加深对项目的理解.