關於網路服務的安全原則(安全培訓簡要提綱)
阿新 • • 發佈:2021-12-01
安全的原則是: 多上幾把鎖,多加幾道防火牆 (需要了解常見的手段,waf、主動安全防護層、常見的安全措施)
繃著一根弦(安全):安全問題多思考,多走一步,就是巨大的商業價值。無數慘痛的血淚教訓,其實都可以通過在設計開發階段多走一小步解決。(需要了解各類常見的安全漏洞,sql注入,xss等,拒絕服務攻擊等)
內在邏輯:有多道防護情況下,兜底原則;在出現不可預知的環境變化情況下(人為或機器因素、或各類隱含因素誘發),能保障至少有一道防火牆(措施)生生效,這樣可以保障底線安全。
效能考量:多加幾層防護,一般情況下並不會對效能產生多大的影響。
①一般情況下,多增加的防護一般是CPU計算層面,當前時代CPU資源一般是過剩的,程式的效能瓶頸遇到的一般是計算層面之外的瓶頸(IO、網路併發等);
②不能脫離壓測場景,空談效能。(完美是成功的敵人)
------------------------------------------------------------------------------
關於安全編碼幾個參考觀點:
① 安全編碼是軟體生命週期中的重要一環,讓研發人員更好的理解和實踐安全開發,一直是安全從業者努力的方向。
② 經統計,90%的安全問題可以通過前置安全編碼和安全配置的方式進行規避。