企業安全之如何在保證業務的同時做好安全

2022-07-19 00:30:24 字數 2101 閱讀 8312

「活動頁面一定要在七夕當天上線。」

「活動已經安排好,頁面按照計畫在製作,準時上線沒問題。」

「業務系統更改需要經過我們安全部門測試才可以上線。」

「這個活動頁面是有時效性的,七夕當天必須要上線,安全測試完,活動都結束了,先上線再說,不然,活動期間業績完不成。」

「我們發出去的1千個優惠券,怎麼一下子就被搶光了,而且,我們真正的使用者都反應說沒搶到。」

「又是羊毛黨,頁面有個漏洞可以批量刷優惠券,使用者現在說我們耍猴,優惠券根本搶不到。」

「安全部門請解釋一下。」

安全部門:「我太難了......」

上述情景在很多企業會遇到,企業都是以業績為主,業務部門是賺錢的部門,安全部門是燒錢的。除了大型電商公司外,企業一般以業務部門的要求,優先考慮,安全工作要在不影響業務部門正常運轉的情況下開展。如何在保證業務的同時做好安全,是企業安全建設需要考慮的重要環節。

凡事預則立,不預則廢,安全部門首先要做的,是制定乙份安全工作方針,方針中除了整體安全建設外,還應包括業務部門和安全部門配合工作部分:

1)安全部門會擬定安全工作流程,包括安全測試、基線加固、補丁更新等,列舉每項工作需要業務部門配合的部分、對業務執行可能造成的影響,流程與業務部門確定,達成一致,如:系統上線前、迭代更新前,需要預留充分的安全檢測時間給安全部門。具體測試時長,收集業務部門、安全測試人員要求後由領導決定。

2)業務部門應該配置完善的灰度測試環境,保證灰度、真實環境一模一樣。

3)業務系統公升級迭代工作計畫,需要安全部門派人參與,避免設計階段帶來安全隱患,如:儘量減少網際網路暴露面,減少漏洞較多的中介軟體、框架的使用。

4)資產變更情況及時與安全部門同步,包括新資產下線,舊資產廢棄等,保證安全部門日常檢測的資產是全面的。

使用者互動性較高的系統,很難既做到安全又不影響使用者體驗,舉個栗子:某網銀系統沒有驗證碼,安全部門判斷存在暴力破解的風險,業務部門認為,每次都要輸入驗證碼,會影響使用者體驗。這時候需要平衡業務與安全,做個取捨,安全部門需要列舉不同場景下存在的風險,業務部門列舉同場景下使用者體驗的影響,由老闆做取捨。

同時,安全部門也需要從業務的角度出發,輸出對業務系統影響最小又保證安全的方案,老闆希望能解決問題的下屬多過只知道丟擲問題的下屬。

類似的方案包括:

1) 前幾次輸入不需要驗證碼,輸入次數過多,才需要輸入驗證碼。

2) 業務邏輯漏洞容易被羊毛黨利用,造成嚴重的經濟損失,修復可以採用session機制等方式,跟進每個使用者的狀態。

3) 建立完善的風控系統,遏制羊毛黨,不影響真正、優質使用者使用系統。

4) 不易修復的漏洞,如果上線時間緊的話,先輸出緊急抑制方案,如struts2漏洞,先關閉相應的功能,臨時修復。漏洞不能利用,業務不影響使用,後面再考慮公升級框架。同時,網路中使用流量監控的方式,發現系統執行期間,網際網路攻擊行為。

5) 錯誤提示頁面友好化,如:「您訪問頻率太快,請稍後訪問。」等。

攻防是個博弈的過程,沒有一直勝利的將軍,安全工作從來都是,平時看不到工作效果,出事了才知道安全的作用。安全事件也反應了前期安全工作中的疏漏,安全部門可以借助事件,推進之前沒法推進的工作。如以下場景:

某單位業務系統,管理員經常對映高危埠到網際網路,方便在家裡遠端辦公,安全部門一直沒法收集網際網路開放的埠,以及弱口令控制。有一次單位中勒索病毒,大量伺服器、資料庫被加密。經查實是管理員對映3389埠到網際網路,黑客破解口令進入伺服器後,在內網大量散發勒索病毒。安全部門藉此事件,向單位發布安全生產管理要求,網際網路開放埠必須要經過安全部門審核,所有伺服器統一使用堡壘機登入,杜絕弱口令行為等等。

安全與業務是對冤家,不打不相識,懂得技術,撩得業務,才是合格的甲方安全。

最大的榮譽感是把售前大咖們吹的牛落地實現。

測試人員如何保證業務安全性?

業務安全 某個平台上的業務是指該平台使用者在使用過程中涉及到的一系列流程,而業務安全就是保證這些流程按照預定的規則執行。下面先來看看常見的業務安全點 業務威脅 常見的業務安全點 由於網際網路企業的特性,其主要業務直接體現在其平台上。其中有不少通用的業務流程 a 註冊 b 登入 c 密碼找回 d 使用...

如何保證Web Service的安全

要以安全的方式訪問web服務方法,可以考慮以下安全措施 l 是誰呼叫?soapheader身份認證。l 來自 訪問ip認證。l 加密傳輸 ssl安全訪問。這些安全保護措施常常是配合使用的。1 web service實現步驟 1 定義自己的soapheader派生類。定義自己的soapheader派生...

HTTPS 是如何保證安全的?

每當我們討論到資訊保安的時候,我們最長接觸到的資訊加密傳輸的方式莫過於 https 了,當我們瀏覽器位址列閃現出綠色時,就代表著這個 支援 https 的加密資訊傳輸方式,並且你與它的連線確實被加密了。但是 https 並不是乙個單一的東西,它知識我們常見的 http 協議和某個加密協議的乙個混合,...