关于网络安全的一些事

关于网络安全的一些事

公司有一个负责网络安全的团队。研发这边的源代码，负责网络安全的团队会检查每一行代码。然后把有问题的代码反馈回研发。目前研发和网络安全的人数比例是 1比10。网络安全的团队还负责网络维护等其他工作。
下面就说说遇到的几件事：
1、系统上线了10个月了，负责网络安全的团队反馈说密码的处理有问题，不应该使用“md5”来进行密码验证，必须使用“sha256”。但是， 为啥不在上线前指出这个问题？已经几百家客户上线了。现在再改密码，真的很麻烦。改一下代码倒是几分钟的事情，但是更新系统，通知客户重新设置密码的工作量很大。

2、系统和很多医院或第三方的公司进行了数据集成。这些数据主要是各种文件，有些单个文件超过4G（一般是几万页的一个PDF文件，里面还有很多图像）。采用的是Socket + 自定义的通讯包协议的方式进行数据传输的。上线半年了，负责网络安全的人认为这样的方式不安全，必须使用tls 1.2进行加密通讯。然后就是 改代码，升框架（.NET Framework 升到4.6）。购买证书，绑定域名，然后就是更新无数个机器上的程序。好在运维的人比较多。

3、还是上面的那个接口程序，因为一个病人的数据可能有几个G，所以采用了多线程分块的传输。网络安全部门认为会造成连接过多，不允许这样做。然后经过一番讨论，最后，在设置里把原来的16线程改成了8线程。这次没有改代码。

4、公司新开了一个产品线，是和微软的 Teams 对接，进行实时语音服务的。研发开发完了，演示了，CIO 和 CEO 很高兴。然后催着上线，然后上线时，网络安全的团队不允许打开相关的端口。这个 Teams SDK是微软的，对于多路音频，需要打开一些端口。然后，这个产品线就卡在这里了。邮件还在飞来飞去，估计再飞一会才有答案。

总结一下，负责网络安全的团队的人员配置还是不够，只有研发的10倍，不能够及时的检查研发开发的每一行代码。另外就是 负责网络安全团队应该在系统前期设计时，给出指导意见。或者是研发写代码太快了，一天就秃噜出一大片代码。负责网络安全的团队根本来不及检查。